awsのIAMについての概要理解

インフラ

awsのIAMについて学習したので、そのまとめを作成しました。

IAMとは、Identity and Access Managemetnの略安全にAWS操作を実施するための認証・認可の仕組みです。AWSでは登録してすぐはルートユーザーを使用しますが、基本的にはこのルートユーザーを使わずにIAMを利用してAWSの各種設定をすることが推奨されています。

ポリシー効果について

  • 許可ポリシー

アクセス許可を設定するポリシー

  • 信頼ポリシー

特定のユーザーやリソースへアクセスを許すための前提となる信頼を形成するためのポリシー。外部のアカウントからの許可をするときには許可ポリシーと信頼ポリシーを付与しないといけない。

監査等をしてもらう場合、IAMロールを監査人に作成してもらいログを見てもらう必要がある。そのときに一時的に権限を委譲する際にも信頼ポリシーは使用される。

ユーザーのアクティビティの記録について

  • IAMアクセスアナライザー

S3バケットやIAMロールなど、リソースベースのポリシーを確認して信頼ゾーンの外からのアクセスの有無を特定する。部外者がアクセスしていないかを監視する。

  • IAMアクセスアドバイザー

IAMユーザーのアクセス可能なリソースと最終アクセス日時を確認することができる

  • Credential Report

すべてのユーザーの認証情報が記載されたレポート

  • AWS Config

ユーザー・グループ・ロール・ポリシーの変更履歴等を管理するサービス

  • AWS CloudTrail

各プリンシパルのログを記録してモニタリングするサービス。APIのコールログ等を見ることができる。

IAM権限のベストプラクティスについて

特に重要なものを抜粋しました。

  • 多要素認証(MFA)を設定する必要がある。
  • 最小権限アクセス許可を適用する。(無闇に適用しない)
  • IAM Access Analyzerを使用し、リソースへのパブリックアクセスやクロスアカウントアクセスを確認する。また、IAMポリシーを検証し、安全で機能的なアクセス許可を確保する。

IAM関連の用語について

ユーザー・グループ・ロールのこと。

  • IAMユーザーやIAMユーザーグループに対してアクセス権限を付与するための設定ドキュメント
  • インラインポリシー:1つのプリンシパルエンティティ(ユーザー・グループ・ロール)に与えられるポリシー。インラインポリシーは複数のプリンシパルに付与することはできない。
  • AWS管理ポリシー:AWSが用意したポリシー
  • 管理ポリシー:ユーザーが管理でき、IAMユーザーやグループに付与する。
  • リソースベースのポリシー:S3などでは、S3側でIAMポリシーが設定できる。リソースベースポリシーより、リソース側からアクセス範囲を制御することができる。

ユーザー・ロールのこと

ログインして、IAMポリシーで設定された権限を利用することができる。また、IAMユーザーは複数のルートユーザーで共有することができる。

  • ユーザーIDとパスワード
  • アクセスキーとシークレットアクセスキー
  • 複数のIAMユーザーの集まり。IAMユーザーグループにIAMポリシーを付与することで、複数のIAMユーザーの権限を一括管理できる。

IAMで保存・管理されるユーザー・グループ・ロール・ポリシー

  • AWSサービスに権限を付与するもの。一時的にアクセス権を付与する。

ルートユーザー・IAMユーザー・IAMロールを使用する人など

  • AWS key management serviceの略。暗号化。
  • データキー:データを暗号化するキー
  • マスターキー:データキーを暗号化するキー。エンベロープ暗号化と呼ばれる。

コメント

タイトルとURLをコピーしました