AWS SAA対策 IAM
2度のSAA試験を受けたので、そこで見かけた
内容を基にアウトプットしていきます。
今回はIAM
IAM (Identity and Access Managemaent)
安全にAWS操作を実施する認証・認可の仕組み
・IAMユーザー
・IAMグループ
・IAMポリシー
・IAMロール
がある
IAMポリシー
アクセス権限を付与するJSON形式の設定ドキュメント
"Effect"
"Action"
"Resource"
"Condition"
などの要素で、どのサービスに、どのようなアクションを、許可・非許可するなどを設定する
IAMユーザー
IAMポリシー内でAWSを利用できるユーザー
・ルートユーザー(アカウント作成者のユーザー、IAMユーザーではない)
・AWSアカウント作成時に作られるIDアカウント
・全てのAWSサービスとリソースを使用できる権限を有する
・日常的なタスクはルートユーザーを使用しないことを推奨
・管理者権限ユーザー(IAMユーザー)
・管理者権限の許可が付与されたIAMユーザーのこと
・IAMの操作権限まであり
・ルートアカウントしかできない権限は付与されない
・パワーユーザー(IAMユーザー)
・IAM以外の全てのAWSサービスにフルアクセス権限を有するIAMユーザー
・IAMの操作権限はない
IAMグループ
グループとして権限をまとめて設定された単位。複数のIAMユーザーを設定
IAMロール
リソース(エンティティ)に対してアクセス権限を付与
一時的な権限を委譲する際にも利用される
ユーザーに適用するなど、IAMロールはエンティティ(アカウント、IDフェデレーションなど)に適用する
ユーザーアクティビティの記録(★はよく見かけるので覚えておきたい)
★IAM Access Analyzer
S3バケットやIAMロールなどを分析し、セキュリティ上のリスクであるリソースとデ ータへの意図しないアクセスを特定
★AWS Config
IAMのユーザー、グループ、ロール、ポリシーの変更履歴、構成変更の管理・確認ができる機能
★AWS Cloud Trail
AWSインフラストラクチャ全体でアカウントアクティビティをログに記録し、断続的に監視、保持できる機能。APIログなどを監視できる
Service Last Accessed Data
IAMエンティティ(ユーザー、グループ、ロール)が、最後にサービスにアクセスした日付と時刻を表示する機能
Credential Report
利用日時などが記録されたIAM認証情報のレポートファイル
IAM権限のベストプラクティス(選択肢で出てきた気がする部分)
・IAMユーザーやIAMグループには最小権限のみを設定
・新しいポリシーを作るのではなくAWS管理ポリシーを利用する
・インラインポリシーではなくカスタマー管理ポリシーを使用
・MAFを有効化する
・第三者に一時的に権限を付与する場合はIAMロールを使用してアクセスを許可する
IAM設計
AWSを利用するユーザーの役割やアクセス権限を自社の組織構造と組み合わせて設計する
将来を見据えてIAMユーザーよりIAMグループを利用してするのが基本
AWS Organization
複数のAWSアカウントを利用している場合に、統合管理を実施することができる
IAMのアクセス管理を大きな組織でも楽に実施できるようにするマネージド型サービス
・複数アカウントの一元管理
AWSアカウントをグループ化、ポリシーを適用し一元的に管理
・新規アカウントの一元管理
コンソール、CLIなどでAWSアカウントを新規作成、内容を管理できる
・一括請求
複数アカウントの請求を一括化する
AWSアカウントの中からマスターアカウントを選定し、マスターアカウントによって管理
組織(OU)を構成してマスターアカウントがメンバーアカウントを管理する
SCP
メンバーアカウントを持つ個々のAWSアカウント、またはOU内のアカウントグループに対して、サービスへのアクセス許可・拒否の設定
タグ付戦略
リソースにメタデータをタグ形式で割り当てる
タグは、リソースの管理、識別、整理、検索、フィルタリングに役立つ
以下別セクション
AWS SAA 試験対策アウトプット - はしばみあきら blog
