【AWS】IAMとはなにか？

こちらはこれだけでOK！ AWS 認定ソリューションアーキテクト – アソシエイト試験突破講座（SAA-C02試験対応版）を受講し、勉強した内容をまとめたものになります。

IAMとはなにか

責任共有モデル

AWSでは、ユーザーとAWS側で責任範囲が明確に線引されています。

物理的なインフラ部分はAWS側の責任範囲があり、
ユーザー側ではOSから上のレイヤーについての責任範囲があります。

AWSリソースへのアクセスを安全に管理するために、ユーザーはIAMによるアカウント管理行う必要があります。

ルートユーザー

通常は使用しないことが推奨されています。
全てのAWSサービスとリソースを使用できるユーザーです。
日常のタスクではルートユーザーを使用しないようにします。

IAMユーザー

1アカウントで5000ユーザ作成できます。
10グループまで所属出来ます。

IAMグループ

1アカウントで300グループまで作成出来ます。

セキュリテーを高めたい場合はMFAを付与します。

IAM画面のグループから設定できます。
ポリシーをアタッチして作成します。

IAMポリシー

どのリソースにアクセスできるかを設定します。
IAM画面のポリシーから設定できます。

IAMロール　＝　AWSのリソースに付与するもの
IAMポリシー　＝　AWSリソースにアクセスするための権限設定

IAMポリシーは管理ポリシーとインラインポリシーに分けることが出来ます。
基本的には管理ポリシーを使用することが推奨されています。
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/best-practices.html#best-practice-managed-vs-inline

管理ポリシー

AWS管理ポリシー
→AWSが作成管理する
カスタム管理ポリシー
→AWSアカウントで作成管理する
同じポリシーを複数のIAMエンティティにアタッチできる

インラインポリシー

自身で作成及び管理するポリシー
1つのプリンシパルエンティティに埋め込まれた固有ポリシー
プリンシパルエンティティにアタッチできる

JSON形式で設定される

ユーザーに適用するポリシーとリソース(SNSやSQSなど)に適用するポリシーがある

IAMロール

AWSのリソースに付与するものである
リソースにポリシーをつける
例）EC2インスタンスがバッチ処理でS3にデータを保存するときなど
→ EC3インスタンスにS3へのアクセス権限を設定する

ユーザーのアクティビティ記録

Access AdvisorのService LastAccessed Data → IAMエンティティが最後にAWSサービスにアクセスした日時と時刻
Credential Report → 利用日時が記録されたIAM認証情報に関わるレポートファイル
AWS Config → IAMのUser Group Role Policyに関しての変更履歴、構成変更を管理確認出来る
AWS CloudTrail → AWSインフラストラクチャ全体でアカウントアクティビティをログに記録し、継続的に監視保持出来る