IAMの基本(ポリシー, ユーザー, グループ, ロール)

まずは、IAMを利用する上で押さえておきたい基本概念について解説します。その後、ポリシー、グループ、ユーザーの作成手順を確認します。

ルートユーザーとIAMユーザー

AWSアカウント作成に使用した メールアドレスパスワード でログインできるユーザーを ルートユーザー と言います。

通常作業で ルートユーザー は利用せずに、適切な権限設定が行われた IAMユーザー を利用することが推奨されています。

IAMの基本概念

IAMを利用するには、以下用語の概念を理解しておく必要があります。

  • アクセス許可
  • IAMポリシー
  • IAMユーザー
  • IAMグループ
  • IAMロール

管理ポリシーとインラインポリシー

ポリシーには 管理ポリシーインラインポリシー が存在します。

  • 管理ポリシー
    • 独立したポリシーです。
    • エンティティ( ユーザー グループ ロール )に割り当てることができます。
  • インラインポリシー
    • エンティティ( ユーザー グループ ロール )に組み込まれたポリシーです。
    • エンティティを削除するとポリシーも削除されます。

参考

https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/access_policies_managed-vs-inline.html

ポリシーとアクセス許可

IAMポリシー には1つ以上の アクセス許可 が紐づきます。

476-aws-iam-basic_1.png

アクセス許可について

アクセス許可 では、以下設定を行います。

  • どの AWSサービス の、
    • EC2 RDS S3 など
  • どの リソース に対して、
    • EC2なら instance image route-table など
    • S3なら bucket object など
    • RDSなら cluster db snapshot など
  • どういった アクション を許可するか
    • リスト 読み込み 書き込み アクセス権限の管理 すべて など

ユーザーとポリシー

IAMユーザー複数のIAMポリシー を紐づけることができます。

476-aws-iam-basic_2.png

ただし、後述する IAMグループ を利用したほうが管理が楽になります。

ユーザーとグループとポリシー

IAMグループ複数のIAMポリシー を紐づけることができます。
IAMグループ複数のIAMユーザー を紐づけることができます。

476-aws-iam-basic_3.png

管理者、開発者などのようにIAMグループを作成しておけば管理が楽になります。

AWSサービスとロールとポリシー

IAMロール複数のIAMポリシー を紐づけることができます。
AWSサービスIAMロール を紐づけることができます。

具体的にいうと、EC2インスタンス に対して 1つのIAMロールを紐づけることができます。
紐付け作業は インスタンスプロファイル を通じて行われます。

476-aws-iam-basic_4.png

IAMユーザーの アクセスキーID シークレットアクセスキー をWebサーバーに持たせることで権限を与えることもできます。その場合、キー情報の漏洩に気をつけなければいけません。

まずは、IAMロールで管理できないか検討します。

IAMユーザー作成手順

AWSコンソールにログイン

IAM権限を持ったIAMユーザーでログインします。
まだ存在しない場合は、ルートユーザーでログインします。

ポリシーの作成

IAMのポリシー画面です。

476-aws-iam-basic_create_1.png

画面から、ポリシーの作成 をクリックします。

AWS定義のポリシー
AWS側で定義したポリシーが既に存在します。こちら で詳細について確認できます。

アクセス許可の設定をします。以下のように複数のAWSサービスに対してのアクセス許可を設定できます。

476-aws-iam-basic_create_2.png

各アクセス許可の設定では、サービス アクション リソース リクエスト条件 を設定します。

476-aws-iam-basic_create_3.png

アクセス許可の設定が終わったらポリシーの名前、説明を登録します。
Create Policy をクリックするとポリシーが作成されます。

476-aws-iam-basic_create_4.png

グループ作成

IAMのグループ画面です。画面から、新しいグループの作成 をクリックします。

476-aws-iam-basic_group_1.png

グループ名を入力します。

476-aws-iam-basic_group_2.png

先ほど作成したポリシーを紐付けます。

476-aws-iam-basic_group_3.png

グループの作成 をクリックするとグループが作成されます。

476-aws-iam-basic_group_4.png

ユーザー作成

IAMのユーザー画面です。画面から、ユーザーを追加 をクリックします。

476-aws-iam-basic_user_1.png

画面指示通り入力します。他人が利用するアカウントであれば、パスワードのリセットが必要 にチェックを入れておくと良いです。

476-aws-iam-basic_user_2.png

先ほど作成したグループを選択します。

476-aws-iam-basic_user_3.png

タグを設定することもできます。

476-aws-iam-basic_user_4.png

作成するユーザー情報の確認画面です。ユーザーの作成 をクリックするとユーザーが作成されます。

476-aws-iam-basic_user_5.png

ユーザーが作成されました。この画面で自動生成されたパスワードを確認できます。

476-aws-iam-basic_user_6.png