社内システムをつくろう!

社内システムをつくろう!

あるシステム担当のブログ。本サイトのご利用は自己責任にてお願い致します。

【AWS資格取得日記】#11 試験範囲の『AWS Identity and Access Management(IAM)』について

どうも!今日はセキュリティサービスの試験範囲のうちの1つIAMについて! IAMは名前は知っており、以前の投稿で勉強してた下記の本の内容でちょっといじりましたが、 ポリシージェネレーターとかよく分からなかったので避けてきました笑。

Amazon Web ServicesではじめるWebサーバ (I・O BOOKS)

ですが、試験合格のためには避けてられない内容です。 頑張ってやってきます。 関係ないですが、「やろう、いったことやろう」ってNHKのドキュメンタリーで本田圭佑が言ってました。彼はぼくが尊敬する人の一人です。

今回の参考資料

今回の参考資料は例によってこれ。AWS Black Belt Techシリーズです。

AWS Black Belt Techシリーズ AWS IAM http://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-tech-aws-iam

IAMとは?

IAMとはAWSの操作をよりセキュアに行うための認証・認可の仕組みで、AWS利用者の認証と、アクセスポリシーの管理を行います。具体的には、IAMで、AWSを操作するユーザ・グループ・ロールを定義し、グループ・ユーザごとに実行できる操作を細かく指定することができます。認証情報はユーザ毎に指定することが可能です。

IAMの動作イメージをわかりやすく説明してくれたスライドがありましたので参照させて頂きましたー。 aws-black-belt-tech-aws-iam-5-638

IAMに利用料金はかかりませんのでこちらもガンガン時間があれば検証していきたいと思っています。ちなみに読み方は「アイエーエム」ではなく、「アイアム」だそう。

ちなみにIAMユーザは1AWSアカウントで5000ユーザまで作成可能とのこと。自分が関与する会社だったらこれくらい作れたら十分だなぁ。 ユーザ毎に設定可能な情報は、 ・ユーザ名(マネジメントコンソールのログインに利用) ・所属グループ(1ユーザを10グループまで所属させることが可能なよう。) ・パーミッション(AWSサービスへのアクセス権限)  ※JSON形式でアクセス権限を記述(ポリシージェネレータのことですね。) ・パス(オプション情報)  ※つかいどころはよく分かんなかった。。。

IAMのベストプラクティス

IAMのベストプラクティスとして、上記の参考資料のなかで、以下の事項があげられています。 ・利用者に対して個別のIAMユーザを作成する ・パーミッションの管理はグループに対して行う ・最小権限の原則に従う ・強度の高いパスワードポリシーを設定する ・特権を持つIAMユーザアカウントには、MFAを利用する ・EC2インスタンスにはIAM Roleを利用する ・アクセス権の共有にはIAM Roleを利用する ・認証情報は定期的に更新する ・Conditionを利用して特権アクセスに対してきめ細かい制限を行う ・AWSアカウントは極力使用しない 言われてみれば当たり前のことですが、IAMの設定をいじるときは常に注意しておきたい内容です。

まとめ

つぎはセキュリティサービスの最後の試験範囲 ・CIA および AAAモデル、イングレスフィルタとエグレスフィルタ、および該当するAWSサービスと機能 について学習します!