IAMの基本(ポリシー, ユーザー, グループ, ロール)

まずは、IAMを利用する上で押さえておきたい基本概念について解説します。その後、ポリシー、グループ、ユーザーの作成手順を確認します。

ルートユーザーとIAMユーザー

AWSアカウント作成に使用した メールアドレスパスワード でログインできるユーザーを ルートユーザー と言います。

通常作業で ルートユーザー は利用せずに、適切な権限設定が行われた IAMユーザー を利用することが推奨されています。

IAMの基本概念

IAMを利用するには、以下用語の概念を理解しておく必要があります。

  • アクセス許可
  • IAMポリシー
  • IAMユーザー
  • IAMグループ
  • IAMロール

管理ポリシーとインラインポリシー

ポリシーには 管理ポリシーインラインポリシー が存在します。

  • 管理ポリシー
    • 独立したポリシーです。
    • エンティティ( ユーザー グループ ロール )に割り当てることができます。
  • インラインポリシー
    • エンティティ( ユーザー グループ ロール )に組み込まれたポリシーです。
    • エンティティを削除するとポリシーも削除されます。

参考

https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/access_policies_managed-vs-inline.html

ポリシーとアクセス許可

IAMポリシー には1つ以上の アクセス許可 が紐づきます。

476-aws-iam-basic_1.png

アクセス許可について

アクセス許可 では、以下設定を行います。

  • どの AWSサービス の、
    • EC2 RDS S3 など
  • どの リソース に対して、
    • EC2なら instance image route-table など
    • S3なら bucket object など
    • RDSなら cluster db snapshot など
  • どういった アクション を許可するか
    • リスト 読み込み 書き込み アクセス権限の管理 すべて など

ユーザーとポリシー

IAMユーザー複数のIAMポリシー を紐づけることができます。

476-aws-iam-basic_2.png

ただし、後述する IAMグループ を利用したほうが管理が楽になります。

ユーザーとグループとポリシー

IAMグループ複数のIAMポリシー を紐づけることができます。
IAMグループ複数のIAMユーザー を紐づけることができます。

476-aws-iam-basic_3.png

管理者、開発者などのようにIAMグループを作成しておけば管理が楽になります。

AWSサービスとロールとポリシー

IAMロール複数のIAMポリシー を紐づけることができます。
AWSサービスIAMロール を紐づけることができます。

具体的にいうと、EC2インスタンス に対して 1つのIAMロールを紐づけることができます。
紐付け作業は インスタンスプロファイル を通じて行われます。

476-aws-iam-basic_4.png

IAMユーザーの アクセスキーID シークレットアクセスキー をWebサーバーに持たせることで権限を与えることもできます。その場合、キー情報の漏洩に気をつけなければいけません。

まずは、IAMロールで管理できないか検討します。

IAMユーザー作成手順

AWSコンソールにログイン

IAM権限を持ったIAMユーザーでログインします。
まだ存在しない場合は、ルートユーザーでログインします。

ポリシーの作成

IAMのポリシー画面です。

476-aws-iam-basic_create_1.png

画面から、ポリシーの作成 をクリックします。

AWS定義のポリシー
AWS側で定義したポリシーが既に存在します。こちら で詳細について確認できます。

アクセス許可の設定をします。以下のように複数のAWSサービスに対してのアクセス許可を設定できます。

476-aws-iam-basic_create_2.png

各アクセス許可の設定では、サービス アクション リソース リクエスト条件 を設定します。

476-aws-iam-basic_create_3.png

アクセス許可の設定が終わったらポリシーの名前、説明を登録します。
Create Policy をクリックするとポリシーが作成されます。

476-aws-iam-basic_create_4.png

グループ作成

IAMのグループ画面です。画面から、新しいグループの作成 をクリックします。

476-aws-iam-basic_group_1.png

グループ名を入力します。

476-aws-iam-basic_group_2.png

先ほど作成したポリシーを紐付けます。

476-aws-iam-basic_group_3.png

グループの作成 をクリックするとグループが作成されます。

476-aws-iam-basic_group_4.png

ユーザー作成

IAMのユーザー画面です。画面から、ユーザーを追加 をクリックします。

476-aws-iam-basic_user_1.png

画面指示通り入力します。他人が利用するアカウントであれば、パスワードのリセットが必要 にチェックを入れておくと良いです。

476-aws-iam-basic_user_2.png

先ほど作成したグループを選択します。

476-aws-iam-basic_user_3.png

タグを設定することもできます。

476-aws-iam-basic_user_4.png

作成するユーザー情報の確認画面です。ユーザーの作成 をクリックするとユーザーが作成されます。

476-aws-iam-basic_user_5.png

ユーザーが作成されました。この画面で自動生成されたパスワードを確認できます。

476-aws-iam-basic_user_6.png
【エンジニア向け】仕事を見つける方法

転職する

転職エージェントを活用する

転職サイトの場合、自身でサイト上から企業を探す必要があります。 一方「レバテックキャリア」 などの転職エージェントの場合、エージェントが企業を紹介してくれます。エージェントが間に入ることにより、日程調整や、条件交渉などもサポートしてくれます。

転職ドラフトを活用する

転職ドラフト」は、 企業がITエンジニアをドラフトという形で指名するサービスです。年収が最初に提示されるなどのメリットがあります。 ただ、初回登録時にレジュメ作成が必要で、すでにエンジニア経験が豊富にあるエンジニア向けのサービスかと思います。 レジュメ作成が手間ですが、自身のキャリアを見直す機会になり、他の仕事探しにも役立つはずです。

エンジニア転職保証のあるスクールを活用する

ある程度、開発経験のあるかたであれば、独学で必要なスキルを身につけることができるはずです。ただ、別業種からエンジニアに転職したい場合など、1から独学で学ぶのはハードルが高いです。そういった方は、スクールの活用を検討しても良いと思います。 「TechAcademy」は、エンジニア転職保証コースを提供しています。給付金制度の対象講座として認定されているため、金銭面の負担も抑えることができます。

フリーランスとして活動する

レバテックフリーランス」「ITプロパートナーズ」「ギークスジョブ」は、フリーランスエージェントサービスです。 エージェントによって、支払いサイトなど細かい違いはありますが、まずは良い案件を見つけることが重要です。 登録自体は無料なので、複数エージェントに登録して、より多くの案件を紹介してもらうのがおすすめです。

logo
わくわくBank.
技術系の記事を中心に、役に立つと思ったこと、整理したい情報などを掲載しています。