2023/11/22 デベキャンコミュニティ コンテンツを観て雑談する会 #11
takiponeこのスクラップはデベキャンコミュニティのイベント、コンテンツを観て雑談する会のコメント用スクラップです。
- コミュニティの参加はこちらから
- 会の参加方法はこちら
takiponeレッスン38 モジュール 6 の概要
[動画] モジュールの概要 セキュリティ
AWS 責任共有モデル
[動画] AWS 責任共有モデル
takiponeユーザーのアクセス許可とアクセス権
[動画] ユーザーのアクセス許可とアクセス権
AWS Identity and Access Management (IAM)
AWS アカウントのルートユーザー
IAM ユーザー
IAM ポリシー
IAM グループ
IAM ロール
多要素認証
takiponeUNIX/Linuxの文脈で管理者ユーザーのことを「ルートユーザー」と呼んでいるのですね
takiponeアクセス管理の仕組み自体もAWSのサービスになっているというのはAWSさわり始めた最初の頃はピンと来なかったんですよね。「管理の仕組みなのにサービス?」って。
takipone「最小権限の原則」は言い方は難しいけど割と当たり前の考え方で、でも実践するのは結構大変という印象があります。
ue実際に最小権限というセキュリティの原則は難しい。。
takipone認証と認可の解説については、このブログ記事がお奨めです。元同僚が書いた、社内に伝わる名作ブログのひとつです。
ueコーヒーショップの例え話わかりやすい。
takiponeAWS にアクセスする必要があるユーザーごとに、個別の IAM ユーザーを作成することを推奨します。
これはユーザー名/パスワードを複数人で使い回す、いわゆる共有ユーザーは止めとけ、ということですね。AWSはユーザー毎に課金されるわけではないので、ライセンス/金銭面で共有ユーザーにすることはないし、積極的に共有ユーザー撲滅運動をするのが良いと思います。
ueMFAは本当に大切ですね。。知り合いでMFAしていなくて、大変だった話を聞きました。
takiponeレジ担当者は、ID が AWSDOC-EXAMPLE-BUCKET の Amazon S3 バケットに保管されている領収書にアクセスする必要があります。
とはいえ、ここで言う"アクセス"が具体的にどのActionにあたるのか、"領収書"がResourceでシュッと表現できるかはAWSのサービスによって個別に評価しなければならないし、サービスによってこなれているのとそうでないのがあったりが現状かなと思っています。
takipone他のソフトウェアだとグループに上位グループを設定できたりすることもあるので、IAMグループが入れ子にできたら便利なんだろうなぁと思っています。
ue認証と認可の解説については、このブログ記事がお奨めです。元同僚が書いた、社内に伝わる名作ブログのひとつです。
ブログ紹介してくれてありがとうございます。