AWSを使う際のIAMユーザーなどについてメモ。
主にユーザー、グループ、ロール、ポリシーについて。
参考リンク
AWS初心者にIAM Policy/User/Roleについてざっくり説明する
基本的な考え
「認可」と「認証」を行う重要なサービス。
認証・・相手が誰なのか確認すること
認可・・特定のリソースへのアクセス権限を与えること
ユーザー
AWS自体を使用するアカウント。
AWSルートアカウントと呼ばれるルートユーザーに近いようなアカウントもあれば、IAMアカウントと呼ばれる特定のリソースへの許可が許されたアカウントも存在する。(Linuxでいう非ルートユーザーに近いと思う。)
ともに特定のアクセスIDとシークレットアクセスキーを使ってAWSリソースにアクセスができる。
グループ
複数のユーザーをまとめて扱いたいときにグループを使う(Linuxのユーザーと近い概念だと思う。)
ポリシー
ユーザーや後述するロールに付与することのできる1つ1つの権限許可。
基本的にはユーザー、グループ、後述するロールは複数のポリシーの集合体となることが多い。
例として、以下のようなもの
AmazonS3FullAccess・・S3へのフルアクセス権限
上記のようにAWSが最初から用意しているディフォルトの管理ポリシーもあれば、独自にJSONファイルで設定するようなカスタマー管理ポリシー(細かいIPなど)、インラインポリシー(通常ポリシーは複数のユーザーに設定することが可能だが、そうではなく1つのユーザーに1:1でひもづくポリシーのこと)などがある。
ロール
ユーザーではなく、EC2などサービス自体に操作権限を付与する仕組み。
EC2やlambdaなどで使われる。