AWS IAMメモ - pikesaku’s blog

ユーザーガイドの内容をまとめる。

What is IAM? - AWS Identity and Access Management

AWS Identity and Access Managementの略
AWSリソースへの認証・認可を制御するWebサービス

特徴

・複数ユーザーできめ細かいアクセス制御
・EC2で動作するアプリにセキュアなリソースへのアクセス方法を提供
・MFA
・外部IdP連携(Identity federation)
・CloudTrailで監査ログを取得可能
・PCI DSS対応
・多くのAWSサービスとの統合　※以下情報は要チェック
　AWS services that work with IAM - AWS Identity and Access Management
・更新反映に時間がかかる。
・利用料無料

IAM関連機能で、セキュアな一時的な資格情報(credentials)を提供するAWS Security Token Service(STS)があり。
ロールや外部IdP連携(Identity federation)のセッションに適用される。
詳細は以下URL参照。
AWS STSメモ - pikesaku’s blog

参考

【IAM講座再配信】13分でロールとポリシーがすんなり分かる！AWS講座 - YouTube
【AWS IAM】セキュアなアクセス管理の方法を語る会 #AKIBAAWS #6 - YouTube
https://d1.awsstatic.com/webinars/jp/pdf/services/20190129_AWS-BlackBelt_IAM_Part1.pdf
What is IAM? - AWS Identity and Access Management
IAM とは - AWS Identity and Access Management　※上記URL日本語

基本事項

IAM=Identity and Access Management
AWSアカウント=ルートユーザーアカウント
ルートユーザーアカウントで作成したユーザー=IAMユーザー
ルートユーザー、IAMユーザーともにオペレーション実行方法により以下2種類の認証情報を使い分ける。

実行方法	認証情報
AWSマネジメントコンソール	パスワード
AWS CLI等	アクセスキー

IAMアーキテクチャ

IAM の仕組みについて - AWS Identity and Access Management より引用

キーワード	説明
IAMリソース	IAMの構成要素(ユーザー、グループ、ロール、ポリシー、IDプロバイダ等)
IAMアイデンティティ	識別されたもの=IAMポリシーをアタッチする対象(ユーザー、グループ、ロール)
IAMエンティティ	認証されるもの(ユーザー、ロール)
プリンシパル	リクストの実行主体。IAMユーザー・ロール・アプリケーション。フェデレーション構成の場合、

　
https://d1.awsstatic.com/webinars/jp/pdf/services/20190129_AWS-BlackBelt_IAM_Part1.pdf より引用。

IAMポリシーとは？(作成中)

https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/access_policies.html

クロスアカウントの場合は、&がいいでしょ。
勝手な推測。andの方が明示的＝直感的&クロスアカウントは別組織扱いだし。意図しない動きを減らす実装があるべき。
awsブラックベルトがやっぱり良かった。
こっちを見ろ！

IAMロールとは？(作成中)

Trust & Permissions
ヘルメット=かぶりもの
サービスに付与されるケースが多い
別アカウント or 同一アカウント内のIAMユーザーへの割り当ても可能。この場合、スイッチロール操作が必要。
　マネジメントコンソールの場合は"ロールの切り替え"、CLIの場合は、--proifileオプションでスイッチロールが可能

フェデレーティッドユーザーとロール
フェデレーティッドユーザーが AWS にサインインすると、そのユーザーはロールに関連付けられ、ロールで定義されているアクセス許可が付与されます。