組織は、AWSリソースにアクセスする権限を持つユーザー、使用可能なリソース、および承認されたユーザーが実行できるアクションを制御する必要があります。 AWS IAMの目的は、IT管理者が管理できるようにすることです ユーザーIDとAWSリソースへのさまざまなレベルのアクセス。この記事では、Identity and Access Management(IAM)の機能と作業手順を次の順序で理解します。
IDおよびアクセス管理とは何ですか?
AWSIDおよびアクセス管理 (IAM)は、AWSリソースへのアクセスを安全に制御するのに役立つWebサービスです。 IAMを使用すると、リソースの使用を認証および承認するユーザーを制御できます。
AWSアカウントを最初に作成するとき、すべてにアクセスするにはシングルサインインIDが必要です このIDは、AWSアカウントのrootユーザーと呼ばれます。アカウントの作成に使用したメールIDとパスワードでサインインすることでアクセスできます。 AWS IAMは、次のタスクの実行に役立ちます。
- ユーザー、権限、および役割を設定するために使用されます。それはあなたがすることができます アクセス許可 AWSプラットフォームのさまざまな部分に
- また、Amazon WebServicesのお客様は ユーザーを管理する AWSでのユーザー権限
- IAMを使用すると、組織はユーザーを一元管理できます。 セキュリティ資格情報 アクセスキーや権限など
- IAMにより、組織は次のことが可能になります。 複数のユーザーを作成する 、それぞれが独自のセキュリティ認証情報を持ち、単一のAWSアカウントに制御および請求されます
- IAMを使用すると、ユーザーはユーザーの仕事の一部として必要なことだけを行うことができます
IAMとは何かがわかったところで、その機能のいくつかを見てみましょう。
IDおよびアクセス管理機能
IAMの重要な機能には次のものがあります。
Pythonでの印刷とは
- AWSアカウントへの共有アクセス :パスワードやアクセスキーを共有しなくても、AWSアカウントのリソースを管理および使用する権限を他の人に付与できます。
- きめ細かい権限 :さまざまなリソースについて、さまざまな人にさまざまな権限を付与できます。
- AWSリソースへの安全なアクセス :IAM機能を使用して、EC2インスタンスで実行されるアプリケーションの認証情報を安全に提供できます。これらの認証情報は、アプリケーションが他のAWSリソースにアクセスするためのアクセス許可を提供します。
- 多要素認証(MFA) :セキュリティを強化するために、アカウントと個々のユーザーに2要素認証を追加できます。
- IDフェデレーション :他の場所ですでにパスワードを持っているユーザーを許可できます
- 保証のためのID情報 :IAMIDに基づいてリソースを要求したユーザーに関する情報を含むログレコードを受け取ります。
- PCIDSSコンプライアンス :IAMは、加盟店またはサービスプロバイダーによるクレジットカードデータの処理、保存、および送信をサポートし、PCI(Payment Card Industry)データセキュリティ基準(DSS)に準拠していることが検証されています。
- 多くのAWSサービスと統合 :IAMと連携するAWSサービスは多数あります。
- 結果整合性 :IAMは、世界中のAmazonのデータセンター内の複数のサーバー間でデータを複製することにより、高可用性を実現します。変更を要求すると、変更がコミットされ、安全に保存されます。
- 自由に使用できます :IAMユーザーまたはAWS STSの一時的なセキュリティ認証情報を使用して他のAWSサービスにアクセスする場合にのみ、課金されます。
次に、IDおよびアクセス管理の動作について理解しましょう。
IAMの動作
Identity Access and Managementは、 最高のインフラストラクチャ これは、AWSアカウントのすべての承認と認証を制御するために必要です。 IAMインフラストラクチャの要素の一部を次に示します。
原理
AWS IAMの原則は、AWSリソースに対してアクションを実行するために使用されます。管理IAMユーザーは最初の原則であり、特定のサービスのユーザーが役割を引き受けることを許可できます。フェデレーションユーザーをサポートして、アプリケーションが現在のAWSアカウントにアクセスできるようにすることができます。
リクエスト
AWS管理コンソールを使用している間、APIまたはCLIは自動的にリクエストをAWSに送信します。次の情報を指定します。
- アクションは、 原則 実行する
- アクションはに基づいて実行されます リソース
- 主要な情報には、 環境 リクエストが以前に行われた場所
認証
これは、AWSにリクエストを送信するときにAWSにサインインするために使用される最も一般的に使用される原則の1つです。ただし、次のような代替サービスも含まれています アマゾンS3 これにより、不明なユーザーからのリクエストが許可されます。コンソールから認証するには、ユーザー名やパスワードなどのログイン資格情報を使用してサインインする必要があります。ただし、認証するには、必要な追加のセキュリティ情報とともに、シークレットとアクセスキーを提供する必要があります。
承認
リクエストから発生したIAM値を承認する際に、一致するすべてのポリシーをチェックし、それぞれのリクエストが許可されているか拒否されているかを評価します。すべてのポリシーは次のようにIAMに保存されます JSON 文書化し、他のリソースに対して指定された許可を提供します。 AWS IAM すべてのリクエストのコンテキストに特に一致するすべてのポリシーを自動的にチェックします。単一のアクションが拒否された場合、IAMは要求全体を拒否し、残りの要求を評価することを後悔します。これは明示的な拒否と呼ばれます。以下は、IAMの評価ロジックルールの一部です。
- デフォルトでは、すべてのリクエストが拒否されます
- 明示的には、デフォルトでオーバーライドを許可できます
- 明示的なものは、それらを許可することによってオーバーライドを拒否することもできます
行動
リクエストの承認を処理した後、または自動的に認証を解除した後、AWSはリクエストの形式でアクションを承認します。ここでは、すべてのアクションがサービスによって定義され、作成、編集、削除、表示などのリソースによって実行できます。アクションの原則を許可するには、既存のリソースに影響を与えることなく、必要なすべてのアクションをポリシーに含める必要があります。
リソース
AWSの承認を取得した後、アカウントに含まれる関連リソースに基づいて、リクエストのすべてのアクションを実行できます。一般に、リソースはエンティティと呼ばれ、特にサービス内に存在します。これら リソースサービス 特にすべてのリソースで実行される一連のアクティビティとして定義できます。 1つのリクエストを作成する場合は、最初に、拒否できない無関係のアクションを実行する必要があります。
次に、例を挙げて、Identity AccessManagementの概念をよりよく理解しましょう。
IDおよびアクセス管理:例
の概念を理解する IDおよびアクセス管理(IAM) 、例を見てみましょう。ある人が3〜4人のメンバーでスタートアップをしていて、Amazon経由でアプリケーションをホストしているとします。小さな組織なので、誰もがAmazonにアクセスして、Amazonアカウントを使用して他のアクティビティを構成および実行できます。各部門のメンバーでチームの規模が大きくなると、彼はフルアクセスを許可したくありません。 、彼らはすべて従業員であり、データを保護する必要があるためです。この場合、IAMユーザーと呼ばれるいくつかのアマゾンウェブサービスアカウントを作成することをお勧めします。ここでの利点は、どのドメインで機能できるかを制御できることです。
今、チームが 4,000 さまざまなタスクや部門を持つ人々。最善の解決策は、Amazonがディレクトリサービスでのシングルサインインをサポートすることです。アマゾンはによってサポートされているサービスを提供します SAML ベースの認証。組織の誰かが組織のマシンにログインするときに、資格情報を要求することはありません。次に、Amazonポータルに送信され、特定のユーザーが使用を許可されているサービスが表示されます。 IAMを使用する最大の利点は、複数のユーザーを作成する必要がなく、単純なサインインを実装できることです。
これで、記事は終わりです。 AWSのIDおよびアクセス管理とは何か、およびそれがどのように機能するかを理解していただければ幸いです。
AWS認定の準備をすることにした場合は、次のコースを確認する必要があります。 質問がありますか? 「IDおよびアクセス管理」のコメントセクションにその旨を記載してください。折り返しご連絡いたします。