AWSでの権限を管理する-IAM-

-まえがき-

※↑noteの連載で達成することはこちらから

- 本編 -

【このnoteを読むメリット】
・IAMロール、IAMユーザー、IAMポリシーについての役割、概要が分かる

IAMとは

AWSのサービスを使うなかで頻繁に出てくるIAMの言葉ですが、この機会に明確にしていきたいと思います。
IAMはIdentity and Access Managementの略で、日本語に直すと「IDとアクセス管理」
AWSにおいて、IAMは人やサービスへのアクセスを管理する機能を持っています。
具体的にどういうものか、次のIAMの種類で見ていきます。

ーIAMの種類
まず、IAMにどういったものがあるかを説明します。

上記の図のようにIAMユーザー、IAMロール、IAMポリシー
を設定してAWSを運用しています。
それぞれの詳細については以下です。

ーIAMポリシー

ーIAMユーザー

ーIAMロール

主にこれらを管理することでAWSの運用を行っていきます。
以下の図はIAMポリシーのIAMユーザー、IAMロールとの関係です。

上記のようなイメージで、IAMポリシーに権限が書かれていて、それをIAMユーザー、IAMロールに適応していく形で、
場合によっては、IAMポリシーを複数適用して設定を行います。

IAMロールの働き

サービスを使う中で頻繁に出てくるIAMロールについて説明をします。

ーIAMロールの働きの例
▽以下の図を参考にして説明します。

この例では、映像を変換するサービスのMediaConvertの書き出し先をS3のバケットとしたとき、
S3のバケットに「Media Convertからの出力を受け付けない」というポリシーがS3のIAMロールに適用されていた場合、書き出しは拒否される。
という例です。

逆にこのサービスからの連携は受け付ける。という設定も対応するIAMポリシーを適用するという形です。

ーアイデンティティベースのポリシー・リソースベースのポリシー
さきほどの例ですと、処理される側のS3のポリシーが効いていましたが、処理する側（ここではMediaConvert）にも同様にポリシーを設定することが出来ます。

上記の図のように、
処理する側のポリシーを「アイデンティティベースのポリシー」
処理される側のポリシーを「リソースベースのポリシー」
という呼び方で表現します。

サービス間との連携に問題がある場合は、どちらのポリシーに問題があるのかをまず、明確にする必要があります。

明日は、実際にAWSの管理画面でのIAMの設定の方法について説明をしていきます。