AWS IAMの「IAM Policy」「IAM User」「IAM Role」について簡単に解説!!
AWSのセキュリティと権限管理の要となるIAM(Identity and Access Management)。
その中核を成すIAM User、IAM Role、IAM Policyの3つの概念は、クラウドリソースへのアクセス制御を効率的かつ柔軟に実現します。
本記事では、これらの要素について、分かりやすい解説いたします。
AWS IAMとは?
- AWS IAM
- 解説
- AWS IAM(Identity and Access Management)とは、
AWS内のどの「サービス」に対しての、どの様な「アクション」を許可/拒否するかを、設定するためのサービス。 - AWS IAMには、「IAM Policy」「IAM User」「IAM Role」これら3つの重要概念があります。
IAM Policy
- IAM Policy
- 解説
- IAM Policyとは、AWS内のどの「サービス」に対しての、どの様な「アクション」を許可/拒否するか の設定データ。
- この「IAM Policy」は、
ユーザに対して権限を付与したい際は「IAM User」 に、
AWSサービス(S3,Lambda)に対して権限を付与したい際は「IAM Role」 に
付与する形で使用します。 - IAM Policyは以下のようなJson形式のデータ
- 例
{
”Version”: “2012-10-17″,
”Statement”: [
{
”Effect”: “Allow”,
”Action”: [
”s3:Get*”,
”s3:List*”,
”s3:Describe*”,
”s3-object-lambda:Get*”,
”s3-object-lambda:List*”
],
”Resource”: “*”
}
]
} - IAM Policyは自分で記述して作成することもできるが、事前にAWS側で用意されているのものを使用することが大半。
IAM User
- IAM User
- 解説
- 開発者などの人間が AWS にログインして操作するための、AWSユーザのこと。
- AWSアカウント作成時に、作られるユーザは、ルートユーザーといわれる特別なユーザーで
AWSの全てのサービスを操作可能な最も強い権限が付与されている。 - ルートユーザー以外にも、複数アカウントを作成可能で、
各アカウントごとにアクセス権限データのIAM Policyをアタッチすることで、自在に権限を付与することができる
IAM Role
- IAM Role
- 解説
- AWSのLambdaやMediaConvertなどの各サービスに対して、
アクセス権限データのIAM Policyをアタッチする際に用いる。 - AWSのサービスに対して、直接IAM Policyをアタッチすることはできない。
→IAM Roleに対して、アクセス権限データのIAM Policyをアタッチ。
→IAM Roleを、AWSのサービスに対してアタッチ。。
こうすることで、AWSのサービスに対して、権限を付与することができる。 - 例:
→RoleForMediaConvertという名前でIAM Roleを作成し、
S3に対しての操作権限を持ったIAM Policyをアタッチ
→IAM RoleのRoleForMediaConvertを、MediaConvertにアタッチ
→MediaConvertからS3の操作が可能に!!
最後に
ここまで、AWS IAMについて解説してきましたがいかがだったでしょうか??
AWS AIMは、セキュリティーにおいて非常に重要な役割を果たします。
AWSのサービスを安全に使用するためには、必須の知識となってきますので是非ともinputしておきましょう。
また、この記事の内容を動画でも見たいということは、以下のyoutube動画をご確認下さい。
全く同じ内容を扱っています。
追加の情報や詳細な説明が必要な場合は、お気軽にお申し付けください。
ここまで拝読して頂きありがとうございました。
ここまで拝読して頂きありがとうございました。
