AWSでの権限を管理する-IAM-
-まえがき-
※↑noteの連載で達成することはこちらから
- 本編 -
【このnoteを読むメリット】
・IAMロール、IAMユーザー、IAMポリシーについての役割、概要が分かる
IAMとは
AWSのサービスを使うなかで頻繁に出てくるIAMの言葉ですが、この機会に明確にしていきたいと思います。
IAMはIdentity and Access Managementの略で、日本語に直すと「IDとアクセス管理」
AWSにおいて、IAMは人やサービスへのアクセスを管理する機能を持っています。
具体的にどういうものか、次のIAMの種類で見ていきます。
ーIAMの種類
まず、IAMにどういったものがあるかを説明します。
上記の図のようにIAMユーザー、IAMロール、IAMポリシー
を設定してAWSを運用しています。
それぞれの詳細については以下です。
ーIAMポリシー
ーIAMユーザー
ーIAMロール
主にこれらを管理することでAWSの運用を行っていきます。
以下の図はIAMポリシーのIAMユーザー、IAMロールとの関係です。
上記のようなイメージで、IAMポリシーに権限が書かれていて、それをIAMユーザー、IAMロールに適応していく形で、
場合によっては、IAMポリシーを複数適用して設定を行います。
IAMロールの働き
サービスを使う中で頻繁に出てくるIAMロールについて説明をします。
ーIAMロールの働きの例
▽以下の図を参考にして説明します。
この例では、映像を変換するサービスのMediaConvertの書き出し先をS3のバケットとしたとき、
S3のバケットに「Media Convertからの出力を受け付けない」というポリシーがS3のIAMロールに適用されていた場合、書き出しは拒否される。
という例です。
逆にこのサービスからの連携は受け付ける。という設定も対応するIAMポリシーを適用するという形です。
ーアイデンティティベースのポリシー・リソースベースのポリシー
さきほどの例ですと、処理される側のS3のポリシーが効いていましたが、処理する側(ここではMediaConvert)にも同様にポリシーを設定することが出来ます。
上記の図のように、
処理する側のポリシーを「アイデンティティベースのポリシー」
処理される側のポリシーを「リソースベースのポリシー」
という呼び方で表現します。
サービス間との連携に問題がある場合は、どちらのポリシーに問題があるのかをまず、明確にする必要があります。
明日は、実際にAWSの管理画面でのIAMの設定の方法について説明をしていきます。
この記事が気に入ったらサポートをしてみませんか?