.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

  • 日常的なタスクを実行するアカウント内のユーザー
  • ルートユーザー(アカウント所有者)が作成する。
  • ポータルにサインインするには、以下が必要。
    • 次のいずれか
      • アカウントエイリアス。
      • 12 桁の AWS アカウント ID
    • IAM ユーザの
      • ユーザ名
      • パスワード

詳細

基本的な要素

User

  • 所謂、User
  • UserName? + Pathで作成。
  • Policyを設定できる。

Group

  • Userをまとめる入れモノ的な。
  • GroupName? + Pathで作成。
  • GroupにもPolicyを設定できる。

Role

  • 第三者(Trusted Entity)に権限を委譲するためのもの。
    • EC2インスタンスにAPIアクセス権限を委譲できる。
    • その他のAWSサービスにも権限を委譲できる。
    • Azure サービス プリンシパルのようなモノ。
  • 下記3つの情報から作成
    • RoleName?
    • Path
    • AssumeRolePolicyDocument?
  • AssumeRole?
    • RoleArn?(IAM Roleの一意な名前)を入力するとCredentialsを返すAPI
      sts assume-role --role-arn arn:aws:iam::XXXXXXXXXXXX:role/RoleName
  • ロールに設定された権限を持ったCredentialsを入手できる。
    • ココでのCredentialsはTokenみたいなものか。
    • 有効期限は1時間の一時キー
  • AssumeRolePolicyDocument?
    • Principal
      • 第三者(Trusted Entity)を表す。
        第三者には、
        ・任意のIAM ユーザを指定できるが、
        ・AWSのサービス(EC2が代表的)などを指定する事が多い。
  • Condition
    • 必要に応じて「混乱した代理問題」の対策のために追加された追加条件を含める。
    • 追加条件には、外部ID(sts:Externalid)などがあり、
      sts assume-roleする際に、--external-idパラメタとして指定できる。
  • RoleにもPolicyを設定できる。

Policy

User, Group, Role に対して、
作成後の後付けで Policy を付与(put)できる。

Path

  • 大規模なUser管理を行う場合に、
    Userをディレクトリ分けするような仕組み
  • 小規模の場合はデフォルトの/を使うことが多い

Identity Provider

参考

AWS

Identity and Access Management

Qiita

Developers.IO


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2020-10-30 (金) 21:32:10 (26d)