本日は、NALのSE PHAM NGOC HOANGが、AWSを使う人が知っておかなければならない重要な最初のサービスをご紹介します。それは、AWSです。

フォロー&いいね!してね!
IAMについて

 本日は、NALのSE PHAM NGOC HOANGが、AWSを使う人が知っておかなければならない重要な最初のサービスをご紹介します。それは、AWSです。

 1. IAMとは?
 IAM(Identity and Access Management)とは、AWS内のリソースへのアクセスや利用を、ユーザーやグループごとに制御するためのサービスです。
すべてのユーザーが無料でIAMを利用できます。

 2. IAMは以下のような問題を解決することができます。 IAMが解決できる問題とは:
 - AWSのアカウントを持っていて、他のメンバーにConsoleの権利を作って共有したい⇒IAMで可能。
 - AWSアカウントを持っていて、ユーザーとグループ(dev、sale)を分けて、それぞれのグループに独自の権限を持たせたい => IAMで可能。
 - AWSアカウントを持っていて、チームに一部のサービスを利用する権利を与えたいが、Consoleには入れないようにしたい => IAMで可能。
 - サービスを利用する権限をチームに与えた後、一部の人が何か間違ったことをするので、いくつかの特別なタブ、機能、領域(読み取り専用)を制限したい=>IAMで可能。
 - 1つのインスタンス(Ec2)を使用しており、1つのバケット(S3)を作成、このバケットへのアクセスを1つのインスタンスにのみ許可したい=> IAMで可能。

 3. IAMにおけるいくつかの主要な専門用語

IAMについて

 上記の問題を解くと同時に、以下のような専門用語にも慣れていきましょう:
 "AWSアカウントを持っていて、チームの他のメンバーにConsoleを入力する権限を作って共有したい場合
  AWSアカウントを持っていて、チームのためにいくつかのサービスの使用権を与えたいが、Consoleには入れない"
 - ユーザー: 権限を持つアカウントで、Rootアカウントによって作成され、権限を与えられている。
 - 各アカウントのユーザーには、ユーザー名/パスワード(Consoleへのログインに使用)と、1つまたは複数のカップルアクセス/シークレットキー(CLIやSDKなどの使用に使用)が含まれます。
 - 使用するオブジェクトに応じて、対応するリソースを提供してください。コンソールを入力したくない場合は、1つのキーペアだけ与えます。
 "AWSのアカウントを持っていて、ユーザーとグループ(Dev、sale)を分けて、それぞれのグループに権限を持たせたい。"
 - グループ:ユーザーのグループで、1人のユーザーは多くのグループに所属することが可能。
 - ユーザーは、グループの共通権限を継承します。
 - チームにセールス担当と開発担当がいて、それぞれがプライベートなアクセス権を必要としている場合、セールス担当と開発担当の2つのグループを作成し、それぞれのグループに許可を与えることができます。
 - 新しい開発者(または新しいセールス)がグループに加わった場合、そのユーザーを対応するグループに追加するだけです。
 "サービスを利用する権利をチームに与えた後、一部の人が間違ったことをするので、いくつかの特別なタブ/機能/領域を制限したい" (読み取り専用)"
 - ポリシー – ポリシーは、IAMにおけるユーザー/グループ/ロールで、どのようなアクションが許可されるかどうかを指定します。
 - ポリシーはJSON構造になっており、一見すると複雑ですが、読んで理解すればよく、すべてを覚える必要はありません。なぜなら、IAMはポリシーを作成するためのユーザーインターフェースを用意しているからです。
 - ポリシーの項目をクリックし、必要なサービスを選択し、権限と範囲を選択します。何度か失敗しているうちに、慣れてきて、標準的なポリシーを作成できるようになります。
 - パーミッションを作成した後は、ユーザー、グループ、ロール(サービスも含む)に対して権限を付与することができます。
 "インスタンス(Ec2)を使用しているので、バケット(S3)を作成し、そのバケットに1つのインスタンスしかアクセスできないようにしたい”等。"
 - ロールは、必要なAWSリソースにアクセスするために使用できる権限のセットです。
 - 上記の指示に従って、必要なポリシーを作成します。その後、ロールを作成して、それぞれのポリシーを適用します。
 - ロールを用意したら、Ec2 Console で対応するインスタンスを選択し、「Attach / Replace IAM Role」をクリックして対応するロールを選択します。
 - また、別のタイプのロールもあり、必要に応じてユーザースイッチ用のロールを作成することができます。このロールはパスワードやアクセスキーを持たないので、ユーザーでログインした後にロールに切り替えることができます。
 - このロールは、異なる役割を持つ様々なタスクを解決するための一時的なアカウントとして考えられています。
 - MFA(Multi-factor Authentication)とは、ユーザー名とパスワードをカバーするセキュリティ層のことです。ユーザーがMFAを有効にすると、ログインしたユーザーは、MFAから受け取った認証コードを入力しなければならなくなります。=> MFAを使って、ユーザー名とパスワードが明らかになっても保護する。

0/5 (0 Reviews)
フォロー&いいね!してね!