【AWS】IAM ~ 入門編 ~

AWS

 ■ はじめに

 Amazon DynamoDB で
アクセスキー IDと、シークレットアクセスキーを取得する必要があるが
IAM (Identity and Access Management) って単語が出てきたので、調べてみた

目次

【1】IAM
 1)料金体系
 2)できること
 3)はじめの一歩
 4)公式サイト
【2】IAM Policy(ポリシー)
【3】IAMユーザ・グループ
 1)認証種類
 2)MFA設定手順
【4】IAM role
 1)ロールを切り替えるのは
【5】Billing and Cost Management コンソールの閲覧許可する
【6】公式サイト

 【1】IAM

http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/introduction.html

 * Identity and Access Management(IAM) 
 * 「IAM」の読み方は、「アイアム」だそう
 * ユーザーに対して AWS へのアクセスを安全に制御するための仕組み

 1)料金体系

 * 完全無料

2)できること

[1] IAMユーザー、グループを追加し、管理できる
[2] IAMロール(認証情報)と権限を追加し、管理する
[3] IAM identityを管理する

詳細は以下のサイトを参照のこと

http://www.atmarkit.co.jp/ait/articles/1408/11/news005.html

3)はじめの一歩

以下のサイト参照

https://qiita.com/moiwasaki/items/ac65481c0b7433aac468

4)公式サイト

ベストプラクティス
http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/best-practices.html
AWS アクセスキーを管理するためのベストプラクティス
http://docs.aws.amazon.com/ja_jp/general/latest/gr/aws-access-keys-best-practices.html
 その他
http://blog.serverworks.co.jp/tech/2017/02/13/releasing-iam-attach-detach-action/
http://www.task-notes.com/entry/20141021/1413901474
https://www.skyarch.net/blog/?p=617
http://qiita.com/yoshidashingo/items/cd206daca0596659b440
http://docs.aws.amazon.com/ja_jp/general/latest/gr/aws-access-keys-best-practices.html
ポリシー
http://dev.classmethod.jp/cloud/aws-iam-policy/
IAMユーザを追加して、アクセスキーとシークレットキーを取得する
http://blog.jicoman.info/2014/04/aws_iam_user_add/
AWS 権限管理のベストプラクティスについて考えてみた
https://blog.manabusakai.com/2015/03/aws-authority-management/
https://www.youtube.com/watch?v=Mu40H3sw5kk&list=PLtpYHR4V8Mg9WxxoTGzj-hSuNwu9QGHU_

 【2】IAM Policy(ポリシー)

http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/access_policies.html

* アクセス制御
 => AWSユーザに対して、AWS サービス を実行権限をコントロールできる
* 詳細は、以下の関連記事を参照のこと。

https://dk521123.hatenablog.com/entry/2020/09/30/133123

【3】IAMユーザ・グループ

1)認証種類

* 以下の2種類
~~~~~~~
[1] ユーザーIDとパスワード
[2] アクセスキーとシークレットアクセスキー
~~~~~~~

[1] ユーザーIDとパスワード 

* Webコンソールでアクセスする際に使用
* MFAと組み合わせも可能(後述「2)MFA設定手順」参照)

[2] アクセスキーとシークレットアクセスキー 

* CLIやAPIからAWSリソースにアクセスする際に使用

2)MFA設定手順

 * 以下の関連記事を参照

IAM ~ 多要素認証(MFA)の設定 ~
https://dk521123.hatenablog.com/entry/2020/12/09/150822

【4】IAM role

* 一時的にAWSリソースへのアクセス権限を付与する場合などに使用
~~~~~
 [1] AWSリソースへの権限付与
 [2] クロスアカウントアクセス
 [3] IDフェデレーション
 => Active Directoryでアクセス
 [4] Web ID フェデレーション
 => GoogleやFacebookアカウントでアクセス
~~~~~

1)ロールを切り替えるのは

* 1ユーザには複数のロールを設定することができ、
   ログインした際に切り替えることできる

https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles_use_switch-role-console.html
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles_use_permissions-to-switch.html
手順 

[1] [IAM]-[ロール] を選択
[2] 対象のロールを選択する
[3] コンソールで [ロールの切り替える]リンクを押下

【5】Billing and Cost Management コンソールの閲覧許可する

* IAMユーザでの Billing and Cost Management コンソールの
 閲覧許可する方法を記載する。

 現象 

 * IAM ユーザ/AdministratorAccess 管理ポリシーで、
   Billing and Cost Management コンソールへのアクセスしても権限で怒られる

 原因 

 * Billing and Cost Management コンソールへのアクセスを
 アクティベートする必要がある

 対応方法
http://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/grantaccess.html

に記載されている 

[1] ルートアカウント認証情報 (AWS アカウントの作成に
 使用した E メール アドレスとパスワード) で 
    AWS マネジメントコンソール にサインイン
[2] ナビゲーションバーでアカウント名を選択してから、[アカウント] を選択
[3] [IAM User Access to Billing Information] の横で、[編集] を選択
[4] [Activate IAM Access] チェックボックスをオンにする
[5] ログオフして、IAMユーザでログインし直して、
    Billing and Cost Management コンソールにアクセスできるか確認する

 関連記事

IAM ~ IAM Policy 編 ~
https://dk521123.hatenablog.com/entry/2020/09/30/133123
IAM ~ クロスアカウント ~
https://dk521123.hatenablog.com/entry/2022/05/23/000000
IAM ~ 多要素認証(MFA)の設定 ~
https://dk521123.hatenablog.com/entry/2020/12/09/150822
エラー「Invalid length for parameter SAMLMetadataDocument」が発生
https://dk521123.hatenablog.com/entry/2022/06/01/154618
Amazon VPC (Virtual Private Cloud)
https://dk521123.hatenablog.com/entry/2019/12/08/105415
多要素認証(MFA:Multi-Factor Authentication)
https://dk521123.hatenablog.com/entry/2019/10/03/222600