前回(2024/12/9)に引続き個別のAWSサービスについて掘り下げていきます。
三つ目のテーマは「Identity and Access Management=IAM」です。
概要
IAMはAWSのセキュリティの根幹となるサービスで、AWSのユーザーの作成や各AWSサービスへの権限の割り当てなどを行うサービスです。IAMを正しく使用することでAWSリソースへのアクセスを制御することができます。
特徴
IAMはAWS利用をする上で必ず利用するサービスで、この利用方法やルールを正しく理解、実行することがとても重要となります。AWSではIAMの利用を間違わないよう、いくつかの重要な概念を定義づけています。
① 最小限の原則
必要最低限の権限のみを付与し過剰な権限を与えないようにする原則です。この原則を遵守するためには本来細かな権限管理作業が必要になりますがAWSではユーザーグループやロールといった概念を利用して管理者の負担が軽減されるような機能を持っています。
② ベストプラクティスの定義
具体的なシチュエーションに対して、どのように設定するのがベストなのかといったいくつかの事例を準備しています。例えばAWSアカウントを作成した際、デフォルトで全権限を持ったルートユーザーが作成されます。しかしこのユーザーをそのまま管理ユーザーとして使用することはNGとされています。そのかわりに管理者用のユーザーを作成し、そこに①にある最小権限を付与して利用することがベストプラクティスとされています。
このような原則や事例をベースに体系的にユーザー・権限管理ができるのがIAMの特徴となります。
利用方法
IAMでは以下の内容を設定して利用します。
◎ IAMユーザー
AWSを利用する各ユーザー情報です。
例)開発チームにいる田中太郎さんに対してIAMユーザーを作成する
◎ IAMグループ
複数のIAMユーザーをグルーピングする概念です。部署やチームなどで区切るのが一般的です。
例)開発チームというIAMグループを作成し、IAMユーザー(田中太郎)を追加する
◎ IAMポリシー
AWSサービスの各機能への権限を付与する制御文です。これをユーザーやグループに充てることでそのユーザーやユーザーグループに権限を付与できます。
例)S3のバケットを作成する権限が記載されたIAMポリシーを開発チームIAMグループに付与
→開発チームグループが入っているユーザーがバケット作成をすることができるようになる
◎ IAMロール
外部アカウントのユーザーやAWSのアプリケーションに対しての一時的な権限を付与する際に利用します。IAMロールにもIAMポリシーを充てて権限を付与する点でIAMユーザーとも似ていますが、特定の個人に紐づくものではありません。
例)S3のバケットを別AWSアカウントのユーザーが一時的に触れるようにするためIAMロールを別アカウントのIAMユーザーに付与する
利用料金
IAMは基本的に無料で利用ができます。一部の高度な機能を利用する際(分析など)に料金が発生する場合があります。
最後に、IAMはAWSを利用する際必ず通るサービスで、認定試験にもよく出題があります。このサービスを使いこなしてセキュアなAWS運用を理解できるようにしていきましょう。
次回もセキュアなAWS運用に必須のサービスを紹介する予定です。
2025年2月