IAMとは...

AWSリソースへのアクセス管理のこと。
概要は以下の図である。

awsアカウントを登録した際に作られるのはrootユーザー

rootユーザーは全てのサービスにアクセスできるが日常業務はこのユーザーで行わない方が良い。

用語の整理

使う用語は

• iam Policy
• iam User
• iam Group
• iam Role

IAM Policyとは

アクセス許可の定義を行うjsonドキュメント
このような形式で書かれる

{
	“Effect”: “Allow”,
	“Action”: “s3:*”,
	“Resource”: “*”
}

IAM userとは

awsリソースのアクセス制御可能なユーザー。
IAM PolicyをIAM Userにアタッチすることでawsリソースの操作を制御できる。
※日常的な操作はrootユーザーではなくIAMユーザーを使って行う。

IAM Groupとは

Iamユーザーの集合を定義。
IAM PolicyをIAM Groupにアタッチすることでそのグループに属するユーザーの権限を一括で制御することが可能。

IAM Roleとは

Awsリソースに割り当て、そのリソースに権限を与える。
例:

1. ec2のdescribe権限を持ったIAM PolicyをIAM Roleにアタッチする。
2. 起動中のec2にそのIAM Roleをアタッチする
3. 仮想サーバー内でec2インスタンスのコマンドが使えるようになる
   ec2にec2の参照権限を持ったIAM Policyをアタッチすることで仮想サーバー内でコマンドが使えるようになる
   aws ec2 describe-instances --region ap-northeast-1