セキュリティとコンプライアンスに戻る
1 / 10 ブロック10%
イントロ
イントロ

IAMと最小権限

誰に、何を、どこまで許可するか

IAMはAWSリソースへのアクセスを制御する入口です。大切なのは、ログインできることと、操作を許可されることを分けて考えることです。

定義

AWS Identity and Access Management

教科書では
AWSリソースへの認証と認可を管理し、ユーザー、グループ、ロール、ポリシーでアクセスを制御するサービス。
言いかえると
IAMでは、まず誰かを確認する認証があり、その後に何をしてよいかを決める認可があります。すべて許可ではなく、必要最小限にします。
手順

アクセス判断の流れ

  1. 1

    主体を確認する: ユーザーやロール

  2. 2

    ポリシーを読む: 許可・拒否を確認

  3. 3

    対象を見る: S3やEC2などのリソース

  4. 4

    操作を決める: 読む、作る、削除する

要点

読み分けの合図

問題文では、誰が、どのリソースに、何の操作をできるかの3点で読む。 よくある誤解: ログインできる人は、すべてのAWS操作ができると思う。

  1. 1

    IAMの役割

  2. 2

    認証との違い

  3. 3

    用途で選ぶ

図解IAMと最小権限の関係を短いラベルで整理した図
IAMの判断を、主体、ポリシー、リソース、操作の順に見ます。最小権限は必要な操作だけを許す考え方です。 何を分けるかをこの図で確認します。
場面
研修担当者に、教材ファイルの閲覧だけを許可したい。
順に考えると
対象はS3の教材ファイル、操作は閲覧です。削除や権限変更は仕事に不要なら許可しません。これが最小権限の読み方です。 判断軸は、誰が、どのリソースに、何の操作をできるかの3点で読む。
ここが結論
権限は人ではなく、仕事に必要な操作から決めます。 迷ったら、IAMと認証を分けます。
注意

認証と認可を混ぜない

確認

確認テスト

Q1

最小権限の考え方として最も適切なのはどれですか。

まとめ

まとめ

  1. 1

    IAMはアクセス管理の中心

  2. 2

    認証認可を分ける

  3. 3

    最小権限は必要な操作だけ許す

  4. 4

    ユーザー、ロール、ポリシーの関係を見る