AWS IAM のバックアップ(No.2) - .NET 開発基盤部会 Wiki

[ トップ ] [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

バックアップ一覧
差分を表示
現在との差分を表示
ソースを表示
AWS IAM へ行く。
- 1 (2020-10-30 (金) 15:41:00)
- 2 (2020-10-30 (金) 18:02:25)

「.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る

目次 †

目次
概要
詳細
- 基本的な要素
  - User
  - Group
  - Role
  - Policy
  - Path
- Identity Provider
参考
- Qiita
- Developers.IO

概要 †

日常的なタスクを実行するアカウント内のユーザー
ルートユーザー（アカウント所有者）が作成する。
ポータルにサインインするには、以下が必要。
- 次のいずれか
  - アカウントエイリアス。
  - 12 桁の AWS アカウント ID
- IAM ユーザの
  - ユーザ名
  - パスワード

詳細 †

基本的な要素 †

User †

所謂、User
UserName? + Pathで作成。
Policyを設定できる。

Group †

Userをまとめる入れモノ的な。
GroupName? + Pathで作成。
GroupにもPolicyを設定できる。

Role †

第三者（Trusted Entity）に権限を委譲するためのもの。
- EC2インスタンスにAPIアクセス権限を委譲できる。
- その他のAWSサービスにも権限を委譲できる。
- Azure サービスプリンシパルのようなモノ。

下記3つの情報から作成
- RoleName?
- Path
- AssumeRolePolicyDocument?

AssumeRole?
- RoleArn?（IAM Roleの一意な名前）を入力するとCredentialsを返すAPI
- ロールに設定された権限を持ったCredentialsを入手できる。
  - ココでのCredentialsはTokenみたいなものか。
  - 有効期限は1時間の一時キー

AssumeRolePolicyDocument?
- Principal
  - 第三者（Trusted Entity）を表す。
    第三者には、
    ・任意のIAM ユーザを指定できるが、
    ・AWSのサービス（EC2が代表的）などを指定する事が多い。

Condition
- 必要に応じて「混乱した代理問題」の対策のために追加された追加条件を含める。
- 追加条件には、外部ID（sts:Externalid）などがあり...

例

RoleにもPolicyを設定できる。

Policy †

User, Group, Role に対して、
作成後の後付けで Policy を付与(put)できる。

Path †

大規模なUser管理を行う場合に、
Userをディレクトリ分けするような仕組み
小規模の場合はデフォルトの/を使うことが多い

Identity Provider †

参考 †

AWS IAM（ユーザーアクセスと暗号化キーの管理）| AWS
https://aws.amazon.com/jp/iam/

Confused deputy problem - Wikipedia
https://ja.wikipedia.org/wiki/Confused_deputy_problem

How to do AssumeRole? in Azure – Cloud Invent
https://cloudinvent.com/blog/how-to-do-assumerole-in-azure/

Qiita †

AWSアカウントでのIAMユーザの作成
https://qiita.com/kzykmyzw/items/ca0c3276dfebb401f7d8

Developers.IO †

IAMロール徹底理解〜 AssumeRole?の正体 | Developers.IO
https://dev.classmethod.jp/articles/iam-role-and-assumerole/
IAM ロールの信頼ポリシーで設定する外部 ID(sts:ExternalId?) について
https://dev.classmethod.jp/articles/iam-role-externalid/