skillup

技術ブログ

サーバー・ネットワーク

IAMに関して

投稿日:2024年8月17日 更新日:

7月からインフラの案件に参画しておりますが、今まで理解が不十分だったIAM部分の整理をしてみたいと思います。

権限の考え方について

AWSでは基本的にあるリソースへのなんらかの行為の許可をポリシーという形で定義しています。

実態としては以下のようなJSONなのですが、

Resource: 実際にActionを許可する対象

Action: 許可(or拒否)する対象

となります。

下記の例で言うと(arn:aws:ec2:region:account-id:instance/instance-id) にたいして、EC2の開始と停止を許可する、と言う意味になります。

 

基本的にはこういったポシリー(行為の許可)を特定のロール(役割)に付与させる、というのがAWSの権限管理になるかと思います。

(一部バケットポリシーなどリソースに直接付与するタイプのものもあります。)

信頼ポリシーとは

あるリソースがロールを引き受ける場合、ロールを引き受けることができることに対するポリシーが必要になります。(ロール引き受け自体がActionということでしょう・・)

この際、使われるのが「信頼ポリシー」というもので、以下のような形で定義されます。

これにより、lambdaに任意のロールを付与することができるようになります。

信頼ポリシーはいろいろと難しいので、説明リンクを・・・

【PART11 IAMロール】ぜんぜんわからなかったIAMについてまとめてみました

【覚え書き】実装で学ぶIAMポリシーとIAMロールとAssumeRole

lambdaになんらかの権限を持たせる場合、

信頼ポリシー+なんらかの任意のaction→これらのポリシーが付与されたロールを作成→lambdaに付与、といった流れになるかと思います。

サービスロールとは

少し似た概念としてサービスロールを。

特定のAWSリソースが使用するために作成されたポリシーがサービスポリシーになります。

IAMロールとサービスロールの違い

IAMロールとAWSサービスロールの違いって何?(自分なりの理解)

-サーバー・ネットワーク

執筆者:


comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

関連記事

no image

VPSのCentOS上にVirtualBox+Vagrantをインストール

普段使っているPCにVirtualBox+Vagrantをいれることはあったんですが、VPS上のCentOSに仮想環境を入れたいとの要件があり、試してみました。 結論からすると結局できなかったんですが …

no image

zabbixエージェント設定

本日はzabbixのエージェント設定について。 zabbixでは監視される側と監視する側があり、する側は通常Zabbix Serverになり、される側はzabbix Agentになります。 要はサーバ …

no image

pidファイルに関して

サーバー上であるサービスを動いている(と思っている)時にstopしようとしたらpidファイルがありませんと怒られました。 pidファイルってよく聞くけどわかっていなかったのでこれを機にメモ。 Linu …

no image

セッションとクッキーについて

セッションとクッキーについての違いを整理しておこうと思います。 Contents1 そもそものHTTPプロトコルについて2 ステートフルな状態を実現するために2.1 方法1 クライアント側で情報を保持 …

no image

Addtypeについて

htmlにはPHPを埋め込むことができますが、拡張子がhtmlの場合、そのままでは実行できません。 この場合、通常では拡張子を変えなければいけないところですが、apacheを使っている場合、設定ファイ …

アーカイブ