skillup

技術ブログ

サーバー・ネットワーク

IAMユーザー、ロールのポリシーの付与など

投稿日:

以前、↓のリンクでIAMの基本について少し扱ったので、もう少し具体的なパターンについて。

IAMユーザーについて

押さえておきたい概念としてはやはり

ユーザー・・特定のキーなどでログインするユーザー

ポリシー・・1つ1つの具体的な権限(EC2に何何ができるなど)

ロール・・ポリシーを付与して、サービスを実行できる仕組みそのもの(ユーザーと違いサービスやユーザーに紐付けられる)

具体的なポリシーについて

概念だけでは分かりにくいので、具体的なポリシーについて。

サンプル
AmazonSSMReadOnlyAccess — AWSSystemManagerへのアクセス

JSONだと以下のように定義できる

具体的なロールについて

以下が作成された具体的なロール。

PrinciPal・・実行ユーザーのこと。ここでは具体的なユーザーだが、サービス全体になることもある。

Action・・sts:AssumeRoleとは一時的に権限を付与してもらう仕組み。(ずっとではないので、セキュリティレベルが高い)

以下のロールで一時的にecs_sampleに権限を付与させようとしている。

IAM ロールの PassRole と AssumeRole をもう二度と忘れないために絵を描いてみた

プリンシパルがややこしい

まだまとまってないので、別途まとめる必要あり・・・

-サーバー・ネットワーク
-

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

no image

CIツールを使ったオートデプロイに関して

gitlabをあるプロジェクトで使っていますが、自動デプロイについて色々調べなんとかできたのでメモしておきます。 結論から書きますと下記のような手順でいけます。 1.まずデプロイしたいサーバーに鍵認証 …

no image

journald

CentOS7では従来のsyslogデーモンと並行してjournaldというログ管理サービスがあります。 Contents1 コマンド一覧2 参考図書・リンク コマンド一覧 [crayon-641b4 …

no image

Perlワンライナー他

Perlではcgiと連動してWEBアプリケーションを作るケースが多いですが、元々テキストの編集や置換が非常に便利です。 例えば、あるディレクトリにある特定のファイル名(正規表現使用可)だけを抽出する場 …

no image

jenkinsでのSSH鍵認証&herokuからのソース取得

jenkinsでGitからソースを取得するときに鍵認証をかけている場合はそれ用の設定が必要になります。 基本的な考え方ですが、userがjenkinsだったときに、ssh鍵認証やherokuでどのよう …

no image

apacheでのバーチャルホストの設定

このブログを旧サイトから移管し、同一ホストで別々のドメインを運用することになったので、バーチャルホストの設定を行いました。 Contents1 設定方法1.1 http.conf1.2 実際のバーチャ …

アーカイブ