SAA学習-IAM-IAM設計
今回のテーマ:IAM設計
IAM設計
IAMの設計する際、AWSを利用するユーザーの役割やアクセス権限を自社の組織構造と合わせて行います。
IAM設計のベストプラクティス
IAMの設計のベストプラクティスとして以下のものが挙げられます。
- アカウント設定などの必要な場合を除いて、rootユーザーを利用しない
- ルートユーザーなどの特権ユーザーに対して、MFAを有効化
- 利用者ごとにIAMユーザーを作成
- 組織利用の場合、役割ごとのIAMグループを作成してグループで単位で管理
- 最低限の権限設定と不要な認証情報の削除を行う
- ユーザーのために強度の高いパスワードポリシーを設定
- EC2インスタンスで作動するアプリケーションなどプログラムから利用する場合、ロールを使用
- モバイルやアプリケーションを含め、一時利用にはSTSなどで最低限の利用許可
- AWSアカウントのアクティビティは常に利用状況を監視
cf) AWS STS:AWS Security Token Serviceの略称で一時利用するための認証情報を発行するサービス
IAM の一時的な認証情報 - AWS Identity and Access Management
IAMの設計観点
IAM設計観点で以下の2つに対し留意しておくことが大切になります。
① IAMユーザ or IAMグループ
② グループ設計
①IAMユーザ or IAMグループ
個人のみで利用する場合を除いて、複数人で同じAWSアカウントを利用します。
そのため、小数利用でも最初からIAMグループを設計・設定することが望ましいです。
例:アプリ開発と運用管理など
② グループ設計
同じAWSアカウントを組織または個人利用者とその役割別の利用範囲を整理してグループ設計を行います。
フェーズとして以下のようなSTEPでの仕分けを行います。
STEP1:AWS利用者と役割の洗い出し
STEP2:利用グループへと集約
今回のテーマは以上です。