■ はじめに
Amazon DynamoDB で アクセスキー IDと、シークレットアクセスキーを取得する必要があるが IAM (Identity and Access Management) って単語が出てきたので、調べてみた
目次
【1】IAM 1)料金体系 2)できること 3)はじめの一歩 4)公式サイト 【2】IAM Policy(ポリシー) 【3】IAMユーザ・グループ 1)認証種類 2)MFA設定手順 【4】IAM role 1)ロールを切り替えるのは 【5】Billing and Cost Management コンソールの閲覧許可する 【6】公式サイト
【1】IAM
http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/introduction.html
* Identity and Access Management(IAM) * 「IAM」の読み方は、「アイアム」だそう * ユーザーに対して AWS へのアクセスを安全に制御するための仕組み
1)料金体系
* 完全無料
2)できること
[1] IAMユーザー、グループを追加し、管理できる [2] IAMロール(認証情報)と権限を追加し、管理する [3] IAM identityを管理する 詳細は以下のサイトを参照のこと
http://www.atmarkit.co.jp/ait/articles/1408/11/news005.html
3)はじめの一歩
以下のサイト参照
https://qiita.com/moiwasaki/items/ac65481c0b7433aac468
4)公式サイト
ベストプラクティス
http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/best-practices.html
AWS アクセスキーを管理するためのベストプラクティス
http://docs.aws.amazon.com/ja_jp/general/latest/gr/aws-access-keys-best-practices.html
その他
http://blog.serverworks.co.jp/tech/2017/02/13/releasing-iam-attach-detach-action/
http://www.task-notes.com/entry/20141021/1413901474
https://www.skyarch.net/blog/?p=617
http://qiita.com/yoshidashingo/items/cd206daca0596659b440
http://docs.aws.amazon.com/ja_jp/general/latest/gr/aws-access-keys-best-practices.html
ポリシー
http://dev.classmethod.jp/cloud/aws-iam-policy/
IAMユーザを追加して、アクセスキーとシークレットキーを取得する
http://blog.jicoman.info/2014/04/aws_iam_user_add/
AWS 権限管理のベストプラクティスについて考えてみた
https://blog.manabusakai.com/2015/03/aws-authority-management/
https://www.youtube.com/watch?v=Mu40H3sw5kk&list=PLtpYHR4V8Mg9WxxoTGzj-hSuNwu9QGHU_
【2】IAM Policy(ポリシー)
http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/access_policies.html
* アクセス制御 => AWSユーザに対して、AWS サービス を実行権限をコントロールできる * 詳細は、以下の関連記事を参照のこと。
https://dk521123.hatenablog.com/entry/2020/09/30/133123
【3】IAMユーザ・グループ
1)認証種類
* 以下の2種類 ~~~~~~~ [1] ユーザーIDとパスワード [2] アクセスキーとシークレットアクセスキー ~~~~~~~
[1] ユーザーIDとパスワード
* Webコンソールでアクセスする際に使用 * MFAと組み合わせも可能(後述「2)MFA設定手順」参照)
[2] アクセスキーとシークレットアクセスキー
* CLIやAPIからAWSリソースにアクセスする際に使用
2)MFA設定手順
* 以下の関連記事を参照
IAM ~ 多要素認証(MFA)の設定 ~
https://dk521123.hatenablog.com/entry/2020/12/09/150822
【4】IAM role
* 一時的にAWSリソースへのアクセス権限を付与する場合などに使用 ~~~~~ [1] AWSリソースへの権限付与 [2] クロスアカウントアクセス [3] IDフェデレーション => Active Directoryでアクセス [4] Web ID フェデレーション => GoogleやFacebookアカウントでアクセス ~~~~~
1)ロールを切り替えるのは
* 1ユーザには複数のロールを設定することができ、 ログインした際に切り替えることできる
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles_use_switch-role-console.html
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles_use_permissions-to-switch.html
手順
[1] [IAM]-[ロール] を選択 [2] 対象のロールを選択する [3] コンソールで [ロールの切り替える]リンクを押下
【5】Billing and Cost Management コンソールの閲覧許可する
* IAMユーザでの Billing and Cost Management コンソールの 閲覧許可する方法を記載する。
現象
* IAM ユーザ/AdministratorAccess 管理ポリシーで、 Billing and Cost Management コンソールへのアクセスしても権限で怒られる
原因
* Billing and Cost Management コンソールへのアクセスを アクティベートする必要がある
対応方法
http://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/grantaccess.html
に記載されている [1] ルートアカウント認証情報 (AWS アカウントの作成に 使用した E メール アドレスとパスワード) で AWS マネジメントコンソール にサインイン [2] ナビゲーションバーでアカウント名を選択してから、[アカウント] を選択 [3] [IAM User Access to Billing Information] の横で、[編集] を選択 [4] [Activate IAM Access] チェックボックスをオンにする [5] ログオフして、IAMユーザでログインし直して、 Billing and Cost Management コンソールにアクセスできるか確認する
関連記事
IAM ~ IAM Policy 編 ~
https://dk521123.hatenablog.com/entry/2020/09/30/133123
IAM ~ クロスアカウント ~
https://dk521123.hatenablog.com/entry/2022/05/23/000000
IAM ~ 多要素認証(MFA)の設定 ~
https://dk521123.hatenablog.com/entry/2020/12/09/150822
エラー「Invalid length for parameter SAMLMetadataDocument」が発生
https://dk521123.hatenablog.com/entry/2022/06/01/154618
Amazon VPC (Virtual Private Cloud)
https://dk521123.hatenablog.com/entry/2019/12/08/105415
多要素認証(MFA:Multi-Factor Authentication)
https://dk521123.hatenablog.com/entry/2019/10/03/222600