クラウドを利用したシステムの設計構築がすっかり当たり前になってきて、ユーザ側でもある程度専門的な知識をつけてきている方が増えてきました。
フルスタックテクノロジーコンサルタントとしては、ユーザ側と同レベルの知識だけでは、クライアントにより良い提案をしていくことはできないので、クライアントよりも新しくかつ深い知識を習得することは、必要不可欠です。
ここでは、その知識を証明できるよう、代表的な資格である、AWS 認定 Solutions ArchitectのAssociate levelの取得に向け、私が勉強した内容を公開していきます!
AWSのサービスは百数十を数え、いったい何をどこから手を付けていいかわかりづらいと思いますので、カテゴリごとに体系的に情報を整理したので、是非情報整理の参考にしていただければと思います。なお、ここで書いてあることのみを丸暗記することで試験合格を保証するものではありません。また、AWSのブラックベルトやホワイトペーパーなどの資料もきちんと確認もしてくださいね。
⑤IAM
IAMについてです。AWS Identity and Access Management です。
これが、私のまとめ資料です。(誤字脱字誤謬ご容赦ください)
1. IAMとは
IAMとは、AWSリソースに対する認証・認可の管理のための仕組み。
最小権限の原則
ベストプラクティス=最小権限の原則
AWSアカウントは、すべてのリソースへフルアクセスできるので、日常の操作に利用せず、追加のIAMユーザを作成し、権限を割り当てること。 管理者権限が必要な時であっても、IAMユーザを作成し、フルアクセスを割り当てる。
全てのアクセスはデフォルトDeny:明示的に許可設定しない限り、アクセスは全て拒否される
2.セキュリティ認証情報のタイプ
- AWSアカウント(ルートアカウント)…Eメールアドレス&パスワードで認証(※MFAも利用可能)
- IAMユーザ(追加したAWSアカウント)…IAMユーザID&パスワードで認証(※MFAも利用可能)
- APIやプログラム…アクセスキーID&シークレットアクセスキーで認証
- EC2インスタンスへのログインはkeypairを使用してSSH接続する
MFA 多要素認証
Multi Factor Authentication- 第1の認証…ユーザが知っているもの(パスワード)
- 第2の認証…ユーザが持っているもの(MFAデバイス、スマホアプリ)
インスタンスプロファイル
インスタンスプロファイルとは、IAM ロールのコンIAMあり、EC2インスタンスの起動時に、 EC2インスタンスにIAMロール情報を渡すために使用。(EC2に紐づけられるのはIAMロールそのものではなく、インスタンスプロファイルでしか紐づけできない。)
3.ユーザ・グループ・ロール・ポリシー
- IAMユーザ…AWS内のリソースを操作するアカウント
- IAMグループ…IAMうーざの集合体(IAMユーザは複数のグループに所属可能。グループの入れ子はできない)
- IAMロール…ユーザやサービスが、リソースへアクセスするのを委任する仕組み(※帽子イメージ)
- IAMポリシー…AWSリソースへのアクセスに対する権限設定(JSON形式で、エンティティに対して実行できるアクションを定義)
4.監査関連の機能
AWS Cloud Trail
- AWS Cloud Trail…AWSアカウントで利用されたAPI Callを記録する
IAMアクセスアドバイザー
- IAMアクセスアドバイザー…IAMユーザ/グループ/ロールが最後にAWSサービスにアクセスした日時を表示
>Credential Report
- Credential Report…認証情報に関するレポート機能
AWS Config
- AWS Config…IAMユーザ/グループ/ロール/ポリシーに対する変更履歴、構成変更を記録管理
5.SAMLベースのFederation
AWS STS(Security Token Service)…一時的にトークンを発行するサービスを利用
組織内の全員にIAMユーザを作成しなくても、①組織内の認証機能と紐づけて、②SAMLアサーションを利用し、③一時的なSTSトークンを取得し、④AWS内のリソースへのアクセスを許可する。
繰り返しになりますが、ここで書いてあることのみを丸暗記することで試験合格を保証するものではありません。また、AWSのブラックベルトやホワイトペーパーなどの資料もきちんと確認もしてくださいね。
0 件のコメント :
コメントを投稿