勉強記録 #13【AWS認定クラウドプラクティショナー】IAMまとめ

・IAM(Identity and Access Management)

AWSリソースへのアクセス管理をするためのwebサービス
誰がどのサービスにアクセスを許可できるのかを設定する

・IAMポリシー

AWSリソースへの操作権限を設定する機能
JSON形式で設定する

・IAMユーザー

ルートユーザー配下のユーザー
ルートユーザーとはAWSを利用する際に最初に作成するアカウントで、AWSが提供する全てのサービスやリソースにアクセス可能な権限を持つユーザー
ルートユーザーがIAMユーザーに対してIAMポリシーをアタッチ(付与)する事でIAMユーザーアクセス権限が与えられる
ルートユーザー ＞ IAMユーザー

・IAMグループ

厳密にはIAMユーザーグループ
IAMユーザーを複数まとめてひとつのグループとしたもの
IAMグループに対してIAMポリシーをアタッチ(付与)する事で、グループに所属している全てのIAMユーザーに対してポリシーを適用できる
（IAMユーザーの数が多く、ひとりずつポリシーをアタッチすると非効率な場合にIAMグループが用いられる）

・IAMロール

　AWSリソースに対してアクセス権限を付与する方法
AWSのユーザーではなく、リソース(EC2やS3などのサービスのこと)を対象にアクセス権限を付与する
例）EC2(仮想サーバ) → S3(ストレージ)のアクセスを許可する

・AWS Orgaizationsとの違い

AWS Orgaizationsは複数アカウントを統合管理する機能。
複数アカウントに対して権限許可を与えることができる権限範囲をSCPによって指定することができる

イメージとしては
・AWS Orgaizationsで複数アカウントのアクセスを制御
・IAMで各アカウント内のユーザーに対して細かなアクセス

序列はこんな感じ
AWS Orgaizations ＞ ルートユーザー ＞管理者ユーザー  ＞ IAMユーザー

企業で例を挙げるなら
①ある企業がAWS Orgaizationsを用いて部署単位でAWSアカウントを管理
②各部署の部長がルートユーザー、部署内社員がIAMユーザー
部署内社員に対してIAMポリシーをアタッチ（付与）してアクセス制御を管理する

問題演習

問題19
ある会社には1000人の従業員がいます。同社のAWSの管理者は 各部門や担当グループ別にAWSアクセスを設定したいと考えています。IAMのどのような設定を利用するべきですか？
・IAMユーザーグループに対する権限設定
・IAMユーザーに対する権限設定
・IAMロールに対する権限設定
・AWS Orgaizationsに対する権限設定

問題文中に
”1000人の従業員”
”各部門や担当グループ別にAWSアクセスを設定したい”
とあるのでIAMユーザーグループだとわかります

正解：IAMユーザーグループに対する権限設定