<h2 id="%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB">
<a class="header-anchor-link" href="#%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB" aria-hidden="true"></a> はじめに</h2>
いろんなことをいい感じにしてくれるAWSさんのおかげで独自ルールのある繰り返しカレンダー登録を自動化できました（うれしい） 
その仕組みをTerraformで構築したことで、権限周りの設定を書く過程で「どのサービスにどのようなIAM設定が必要でどのように記述するのか」という点を理解する必要がありました。 
改めてIAM周りの勉強になった＋このあたりの設定をする度に忘れている（理解があいまいなままである）ので、具体的＋よくある簡単な実装を通して整理してみます。
<h3 id="%E8%A9%B1%E3%81%99%E3%81%93%E3%81%A8">
<a class="header-anchor-link" href="#%E8%A9%B1%E3%81%99%E3%81%93%E3%81%A8" aria-hidden="true"></a> 話すこと</h3>
<ul>
<li>IAMポリシーとIAMロールとAssumeロールの違いと関係</li>
</ul>
<h3 id="%E8%A9%B1%E3%81%95%E3%81%AA%E3%81%84%E3%81%93%E3%81%A8">
<a class="header-anchor-link" href="#%E8%A9%B1%E3%81%95%E3%81%AA%E3%81%84%E3%81%93%E3%81%A8" aria-hidden="true"></a> 話さないこと</h3>
<ul>
<li>IAMポリシーの種類について</li>
<li>IAMロールの使い方について</li>
</ul>
<h2 id="%E3%82%84%E3%81%A3%E3%81%9F%E3%81%93%E3%81%A8">
<a class="header-anchor-link" href="#%E3%82%84%E3%81%A3%E3%81%9F%E3%81%93%E3%81%A8" aria-hidden="true"></a> やったこと</h2>
<ul>
<li>EventBridgeSchedulerによるLambda定期実行</li>
<li>LambdaはS3に保存されたファイルを取得する</li>
<li>Lambdaの実行ログをCloudWatchに保存する 
<img src="https://res.cloudinary.com/zenn/image/fetch/s--Tw-oaznn--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/cf97ffd8127c8b753bdd6b24.png%3Fsha%3D0f7ae29e99073910b9986b2e8ea4f1f0794b3dcc" loading="lazy" class="md-img"> 
よくある構成です。</li>
</ul>
<h2 id="%E3%81%BE%E3%81%9A%E3%81%AF%E7%AD%94%E3%81%88%EF%BC%88%E5%BF%85%E8%A6%81%E3%81%AA%E6%A8%A9%E9%99%90%E8%A8%AD%E5%AE%9A%EF%BC%89">
<a class="header-anchor-link" href="#%E3%81%BE%E3%81%9A%E3%81%AF%E7%AD%94%E3%81%88%EF%BC%88%E5%BF%85%E8%A6%81%E3%81%AA%E6%A8%A9%E9%99%90%E8%A8%AD%E5%AE%9A%EF%BC%89" aria-hidden="true"></a> まずは答え（必要な権限設定）</h2>
<h3 id="%E3%80%90eventbridgescheduler%E3%80%91">
<a class="header-anchor-link" href="#%E3%80%90eventbridgescheduler%E3%80%91" aria-hidden="true"></a> 【EventBridgeScheduler】</h3>
<ul>
<li>実行ロール
<ul>
<li>Lambdaを実行するポリシーのアタッチ
</li>
<li>ユーザーに代わってロールを引き受けるための信頼ポリシーの定義
</li>
</ul>
</li>
</ul>
<h3 id="%E3%80%90lambda%E3%80%91">
<a class="header-anchor-link" href="#%E3%80%90lambda%E3%80%91" aria-hidden="true"></a> 【Lambda】</h3>
<ul>
<li>実行ロール
<ul>
<li>以下を許可するポリシーのアタッチ
<ul>
<li>S3からオブジェクト取得</li>
<li>CloudWatchへの書き込み</li>
</ul>
<aside class="msg message">!<div class="msg-content">
AWSLambdaBasicExecutionRoleというAWS管理ポリシーがあり、こちらのCloudWatchへの書き込み権限が定義されています。Roleという言葉だけどこれはポリシーの一つ。言葉はいったん無視🥲
</div></aside>
</li>
<li>ユーザーに代わってロールを引き受けるための信頼ポリシーの定義
</li>
</ul>
</li>
</ul>
他のAWSサービスを使用する場合にそのための権限が必要、と理解しました。（EventBridgeSchedulerがLambdaを実行する／LambdaがS3を使う・CloudWatchを使う） 
上記図で言うと矢印の向きに対し設定が必要というイメージです。
<h2 id="iam%E3%83%8A%E3%83%B3%E3%83%88%E3%82%AB%E3%81%A3%E3%81%A6%E3%81%AA%E3%82%93%E3%81%A0%E3%81%A3%E3%81%91%EF%BC%9F">
<a class="header-anchor-link" href="#iam%E3%83%8A%E3%83%B3%E3%83%88%E3%82%AB%E3%81%A3%E3%81%A6%E3%81%AA%E3%82%93%E3%81%A0%E3%81%A3%E3%81%91%EF%BC%9F" aria-hidden="true"></a> IAMナントカってなんだっけ？</h2>
AWS IAM=Identity and Access ManagementとはAWSリソースへのアクセスを安全に管理するためのサービスです。 
IAMにより、誰を認証して誰に何を許可するかを制御します。 
IAMの話をするにあたって、AWSには大きく二種類の概念があると思っています。それは「人」と「物」です。（※この記事では「何」と表しているものは「物」を指しています。） 
IAMの仕組みをものすごく簡単に表すと「誰 or 何が」「何に対して」「何をできるか」だと理解しています。 
この制御を定義するために使われるのが「IAMポリシー」や「IAMロール」です。 
<img src="https://res.cloudinary.com/zenn/image/fetch/s--F217NJA2--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/ed7216588ca8741c8aa7a199.png%3Fsha%3D5884a364935b2f5b493b0c5f148f7b6a32352e71" loading="lazy" class="md-img">
<h3 id="iam%E3%83%9D%E3%83%AA%E3%82%B7%E3%83%BC">
<a class="header-anchor-link" href="#iam%E3%83%9D%E3%83%AA%E3%82%B7%E3%83%BC" aria-hidden="true"></a> IAMポリシー</h3>
「誰 or 何が」「何に」「何をできるか」を定義したものです。条件を決めることもできます。使い方によって主語を除くこともあります。 
こういうことができますよ〜っていう許可証のイメージ。いろんな種類がある。
<div class="code-block-container">
<div class="code-block-filename-container">S3からオブジェクト取得を許可するポリシー</div>
<pre class="language-json"><code class="language-json">{
 "Version": "2012-10-17",
 "Statement": [
 {
 "Effect": "Allow",
 "Action": "s3:GetObject",
 "Resource": "arn:aws:s3:::${bucket_name}/*"
 }
 ]
}
</code></pre>
</div><h3 id="iam%E3%83%AD%E3%83%BC%E3%83%AB">
<a class="header-anchor-link" href="#iam%E3%83%AD%E3%83%BC%E3%83%AB" aria-hidden="true"></a> IAMロール</h3>
今までの流れで言うと、「誰 or 何が」をより柔軟に定めるためにあるのがIAMロールです。 
もうちょっと正確に言うと、「何に」「何をできるか」を定めたIAMポリシーを持つものであり「誰 or 何が」そのアクセス権限を担ってもらうかをひとまとめにしたものです。
<aside class="msg message">!<div class="msg-content">
IAMロールがなくてもポリシーを直接ユーザーにアタッチすることもできます。 
しかし一つのポリシーを一人のユーザーに与えるだけならシンプルですが、登場人物・物が複数になると管理が複雑になります。それをひとまとめにしたものがIAMロールとも言えます。
</div></aside>
ロールは言葉通り「役割」です。何ができるのかという役割を決めています。「人」＝ユーザーや「物」＝サービス・アプリケーションが「役割」＝ロールを引き受けることで、その役割に定められたアクセス権限を持つことができます。 
こういうことができる役割を与えますよ〜のためにあるイメージ。 
IAMロールでの設定はいくつかありますが、その一部として「許可ポリシー」と「信頼ポリシー」があります。コンソール上のこれ。 
<img src="https://res.cloudinary.com/zenn/image/fetch/s--GqqSt9f1--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/5a968cf60137b61c52015086.png%3Fsha%3D7c8ee640c2fec7cd5d98e4a4229daf7a02b30407" loading="lazy" class="md-img"> 
<img src="https://res.cloudinary.com/zenn/image/fetch/s--F0f-rkPT--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/f5a7602cfd1b9ef59fd8a93b.png%3Fsha%3Def68e0ad1ae6875d9387c004059685f7eea23460" loading="lazy" class="md-img">
<ul>
<li>
許可ポリシー 
許可ポリシーはIAMロールに添付＝アタッチするポリシーです。 
「何に」「何をできるか」 を定めたポリシー（アイデンティティベースのポリシー）を添付します。 
（アイデンティティベースポリシーはIAM ユーザー、グループ、ロールにアタッチされるもので、その実行主体はアタッチ先になるので「誰 or 何が」＝Principalの記載はしません。）
</li>
<li>
信頼ポリシー 
信頼ポリシーはコンソール上では「信頼関係」とされ、当該のIAMロールを委任する（引き受ける）条件を記したポリシーです。このIAMロールを渡すためにここに記した内容を信頼しますよ〜というイメージ。この人を信頼する、このサービスを信頼する、みたいな感じ。 
なので「誰 or 何が」に当たる<code>Principal</code>の記述が必要です。 
この信頼ポリシーに定義するのが<code>sts:AssumeRole</code>というアクションです。
</li>
</ul>
<h3 id="assumerole">
<a class="header-anchor-link" href="#assumerole" aria-hidden="true"></a> AssumeRole</h3>
IAMポリシー、IAMロールと並列に書いており分かりづらいですが、 AssumeRoleはロールではなくポリシーに記述するアクションのこと です。「何をできるか」に当たる部分。（※私は当初IAMポリシー、IAMロール、AssumeRoleの違いを整理したかったのでこのように並列で書いています） 
Assumeは日本語にすると「（役割を）引き受ける」といった意味です。つまりそのまま、AssumeRoleはロールを引き受けるということになります。 
また AWS STS = Security Token Serviceという一時的な認証情報を生成するサービスがあり、AssumeRoleはこのSTSのアクションの一つです。 
例えば、Lambdaの実行ロールとなるIAMロールに記す信頼ポリシーに以下のように記述します。
<div class="code-block-container">
<div class="code-block-filename-container">Lambdaにロールの引き受けを許可するポリシー</div>
<pre class="language-json"><code class="language-json">{
 "Version": "2012-10-17",
 "Statement": [
 {
 "Effect": "Allow",
 "Principal": {
 "Service": "lambda.amazonaws.com"
 },
 "Action": "sts:AssumeRole"
 }
 ]
}
</code></pre>
</div>この信頼ポリシーを記したIAMロールをロールAとすると、「ロールAを引き受けるアクションをLambdaに許可する」という意味になります。 
ロールAからするとLambdaというPrincipalを信頼しますよ〜というイメージです。
<h2 id="%E3%81%BE%E3%81%A8%E3%82%81%E3%82%8B">
<a class="header-anchor-link" href="#%E3%81%BE%E3%81%A8%E3%82%81%E3%82%8B" aria-hidden="true"></a> まとめる</h2>
<a href="#%E3%81%BE%E3%81%9A%E3%81%AF%E7%AD%94%E3%81%88%EF%BC%88%E5%BF%85%E8%A6%81%E3%81%AA%E6%A8%A9%E9%99%90%E8%A8%AD%E5%AE%9A%EF%BC%89">今回の実装</a>はこのようになります。 
<img src="https://res.cloudinary.com/zenn/image/fetch/s--DHAVGey6--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/5f38847904f4bd75672bd008.png%3Fsha%3Dc8741d8c052bd53b2f4bd5c0f60a792d9f3bbbe8" loading="lazy" class="md-img">
<h2 id="%E8%80%83%E3%81%88%E6%96%B9">
<a class="header-anchor-link" href="#%E8%80%83%E3%81%88%E6%96%B9" aria-hidden="true"></a> 考え方</h2>
使用するサービスに実行ロールを定義することで、そのサービスが他のAWSサービスを操作する権限（役割）を担うことができます。 
そのために、まずIAMロールに できることの内容を添付（アタッチ） し、 役割を誰or何に任せるかを定義します。そしてそのIAMロールを当該サービスの実行ロールとする、という流れです。（なので役割を何に任せるかという部分は当該サービスとなる） 
<img src="https://res.cloudinary.com/zenn/image/fetch/s--eo4JKxHu--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/dfca39c27e4eeb18fc9ae3b5.png%3Fsha%3Dbc1eefa18b275fc9de8435dd539ac60a506aa962" loading="lazy" class="md-img"> 
【Lambdaの実行ロールとするIAMロールのイメージ】
<h2 id="%E6%9C%80%E5%BE%8C%E3%81%AB">
<a class="header-anchor-link" href="#%E6%9C%80%E5%BE%8C%E3%81%AB" aria-hidden="true"></a> 最後に</h2>
ここでは記していない様々な種類のポリシーがありますし、ポリシーやロールの与え方も様々です。とにかくいろいろあって混乱します。今回私はIAMポリシー、IAMロール、AssumeRoleがあやふやでした。 
IAMポリシーはできること（アクション）を記したもの。IAMロールはポリシーをまとめて人や物に授けられるようにしたもの。AssumeRoleはロールを担うというアクションの一つ。 
ちょっとした仕組みを構築するだけでもこれだけステップを踏む必要があり複雑だなあと感じました。ですが一度整理するとすっきり理解できましたし、最小特権の原則を守りながら柔軟な仕組みづくりをするために必要なことなのだと思いました。 
ユースケースによって色々なパターンがあり、それを実現する仕組みがAWS IAMにはあります。これからまたその都度で整理・理解していきたいです。

【覚え書き】実装で学ぶIAMポリシーとIAMロールとAssumeRole

まずは答え（必要な権限設定）

Discussion