pikesaku’s blog

個人的なプログラム勉強メモです。記載内容について一切の責任は持ちません。

AWS IAM調査メモ

メモ

・アカウント作成時のID/PASSがルートユーザー
・ルートユーザーはユーザー作成以外では基本使わないのがベストプラクティクス。
・ユーザー、グループを作成し、グループに利用可能なサービスを設定

ユーザー作成画面

ユーザー名とアクセス方法を指定
f:id:pikesaku:20181021100702p:plain
 
グループの作成をクリックし、所属するグループを作成
f:id:pikesaku:20181021101058p:plain
 
ポリシーで利用を許可するサービスを指定(今回はS3指定)
f:id:pikesaku:20181021101305p:plain
 

動作確認

ユーザー作成後、以下情報が得られる。

項目 説明
アクセスキーID SDK/CLIからのアクセス時に必要な情報
シークレットアクセスキー SDK/CLIからのアクセス時に必要な情報
コンソールアクセスリンク 作成したユーザー用ログインURL

 
コンソールアクセスリンクにアクセスしログイン。許可されてないEC2インスタンス起動操作をするエラーになる。
f:id:pikesaku:20181021103508p:plain
 

ロール

・アクセスキー、シークレットが漏洩し、莫大な請求されるケースあり。
プログラムではアクセスキー/シークレットキーを使わずにRoleを利用する | DevelopersIO
・アクセスキーなどを書いたPrgをgitにアップロードしてしまい発生する
・アクセスキーは使わずにプログラムからAWSサービスを利用するにはロールを使う
・ロールはEC2の起動時に割り当てる。該当EC2からアクセスキーを使わずにプログラムアクセスが可能