AWS - 大事なIAMという概念とその設計方法

AWSに初めて触れる人がつまずくところがこのIAMというサービスだ。IAMとは”Identity and Access Management”の略で、AWSのサービスの一つである。

下のリンクが公式ページなのだが、初めての人はわからないだろう。

IAMサービスとは、ユーザやシステムの権限を設定するサービスである。サービスの中には、ロールやポリシーという仕組みが存在する。

この二つの概念をまず理解しよう。

IAMという概念の理解

この3点を頭に入れて、AWSの公式ページをさっと読んでほしい。

細かく書いてあるし、アイデンティティとかなんとかベースとか書いてあるが、おおざっぱに要約すると、まずは「ポリシーを作って、グループに紐づける。」ということである。

この考え方であれば、オンプレのWindows ServerやActive Directoryのユーザ管理と似ているため、理解しやすい（とっつきやすい）はずだ。

IAMロールとは

公式ページを読んでもAWSに慣れていない人は理解に苦しむだろう。

そこで、IAMロールのシンプルアイコンを見てほしい。

単純に帽子である。これ本当シンプル。このアイコンは、つまりロールとは、（権限の）つけ外しができる。帽子（権限）を貸したり出来る。という概念を表しているのである。

このことから、例えば、一時的なアクセスをユーザに許可する場合はグループへの所属ではなく、ロールをユーザに付けることが推奨されていると理解できる。さらに、APIやコマンドラインでのAWSサービスへのアクセスの場合でも、アクセスするユーザにはロールを渡した方がAWSの設計指針にあっているということが理解できるだろう。

このように、IAMロールとIAMポリシー、IAMユーザとIAMグループの違いを理解しよう。

設計のポイント

まずはシステム全体でどんなユーザが必要か、そしてどんなユーザグループが必要か考えよう。これはクラウドもオンプレも違いはない。

必要なユーザとグループが判明したら、どんな権限が必要か、権限の割り振りが必要か考えよう。そして、対応するポリシーを作成しよう。AWS既存のユーザグループで問題なければそのグループを活用することは構わない。

最後にポリシーをユーザグループもしくは、ロールに紐づけで、ユーザと紐づけよう。