今回のテーマ：IAM設計

IAM設計

IAMの設計する際、AWSを利用するユーザーの役割やアクセス権限を自社の組織構造と合わせて行います。

IAM設計のベストプラクティス

IAMの設計のベストプラクティスとして以下のものが挙げられます。

• アカウント設定などの必要な場合を除いて、rootユーザーを利用しない
• ルートユーザーなどの特権ユーザーに対して、MFAを有効化
• 利用者ごとにIAMユーザーを作成
• 組織利用の場合、役割ごとのIAMグループを作成してグループで単位で管理
• 最低限の権限設定と不要な認証情報の削除を行う
• ユーザーのために強度の高いパスワードポリシーを設定
• EC2インスタンスで作動するアプリケーションなどプログラムから利用する場合、ロールを使用
• モバイルやアプリケーションを含め、一時利用にはSTSなどで最低限の利用許可
• AWSアカウントのアクティビティは常に利用状況を監視

cf) AWS STS：AWS Security Token Serviceの略称で一時利用するための認証情報を発行するサービス

IAM の一時的な認証情報 - AWS Identity and Access Management

IAMの設計観点

IAM設計観点で以下の2つに対し留意しておくことが大切になります。

① IAMユーザ　or IAMグループ
② グループ設計

①IAMユーザ　or IAMグループ

個人のみで利用する場合を除いて、複数人で同じAWSアカウントを利用します。
そのため、小数利用でも最初からIAMグループを設計・設定することが望ましいです。

例：アプリ開発と運用管理など

② グループ設計

同じAWSアカウントを組織または個人利用者とその役割別の利用範囲を整理してグループ設計を行います。
フェーズとして以下のようなSTEPでの仕分けを行います。

STEP1：AWS利用者と役割の洗い出し
STEP2：利用グループへと集約

今回のテーマは以上です。