【3ぃさんの】IAM(AWS学習ログ#3)

AWS

はい、3ぃさんです!

業務で使うところと今学んでる部分が違うので

なかなか学んだことと業務の内容が噛み合わないなと思いつつ

自分で使ってるわけではないものの他の人の会話の中でIAMの話題が出ていて

学んだところかも! と思えるようになっている3ぃさんです

継続は力なり。

楽しく一緒に学んでいただければ! では、いきます

学んだこと

権限の設計

セキュリティとか考えたときに、誰にどんな権限を与えるのかが重要になってくる

IAMの設計はこれから学んでゆくサービスにアクセスさせるかどうかを検討することになる

そのため、サービスの理解が必要

そして、不要な人に過剰な権限を与えてしまうと問題が発生してしまうため

適切な権限設定をする必要がある

とはいえ、大体の現場で採用されている権限の構成はあるので

そこに当てはめて自分の組織だったらどんな権限を設定すべきかを検討するようなイメージになる

で、大枠↓みたいな権限かなぁという印象

全体管理者いっちゃんえらい人で管理者権限持ってる。あんまり出てこない
Administrator
運用管理者えらめの人で監視と開発両方見に行ける。大体いる
開発者主な作業者。使ってるサービスのみ権限与える

IAM画面

AWSコンソール入ってIAMで検索し、IAMに入るとこんな画面に入る

ダッシュボードに入るとこのような画面が出てくる

今作成しているユーザ、ユーザグループ、ロール、ポリシーなどの状況が確認できる

これらのワードは前に学習ログで学んだ内容なので見てない人はぜひ見てね

【3ぃさんの】IAM(AWS学習ログ#1)
はい、3ぃさんですAWSの案件に入ることになったので、AWSの資格を取ることにしましたどうせなら、食べること好きな3ぃさんがIT×食で何か作れないかなという視点で考察していこうと思うので3ぃさんと一緒にAWSを勉強してくれる方食との掛け合わ...
f3star.com
2025.11.12
【3ぃさんの】IAM(AWS学習ログ#2)
はい、3ぃさんです!10月に1日だけ眉毛ブリーチして眉毛を消した3ぃさんです黒染めして眉毛復活させたのでしばらく眉毛あったんですが黒染め、また抜けてきて。。。眉毛がなくなっていく現象を目の当たりにしている今日この頃まあ、黒いの生えてくるから...
f3star.com
2025.11.13

ダッシュボード画面で色々情報あるけど、テストに出るとしたら↓ここらしい

ポリシーシュミレータ

画面右下にはツールという部分があり、ここからリンクを飛ぶと

ポリシーシュミレータに飛ぶことができる

IAMやAWS Organizations(複数のAWSアカウントを一元管理し、組織単位でポリシー適用できるサービス)など

複数のポリシーが設定通りに動いているかをシュミレートできるサービス

次に

左ペインの「ユーザグループ」

ここではユーザグループを作成できる

この後説明するユーザを30個作ったよ というときに

いくつかのグループに分けることができる

たくさんあるユーザを管理したいときにグループ化するときに管理が楽になる

そして権限の面でも

ユーザ1つ1つにあの権限と〜 この権限と〜 と追加していくと大変なので

作った10個のユーザはおんなじ権限といった時に

その10個のユーザを1つのグループに入れて、権限はグループに付与すればオッケー

とできるわけだ

次に「ユーザ」を押下すると

ユーザの一覧が確認できる

この画面ではadminユーザが1つ作成されていることがわかる

ユーザの作成もここでできる

ユーザを作成することで、作成したユーザでも同じAWSアカウントにログインができるようになる

次に

左ペインから「ロール」を押下

AWSリソースからAWSリソースへアクセスする際に使う許可権限のこと

ロールを作成を押すと作成に進むことができる

次に

左ペインから「ポリシー」を押下

Screenshot

ポリシー画面で今まで説明してきたユーザグループ、ユーザ、ロールに

権限を設定することができる

最初から並んでいるのがAWS管理のポリシー

ポリシーの作成を押して新しくポリシーを作成すれば、カスタマー管理ポリシーを作成できる

絞り込みタイプでは選択欄でAWS管理、AWS管理-ジョブと

作ってあればカスタマー管理を選択できる

理解したこと、気付いたこと

研修の時に、IAMユーザの概念が全く理解できていなくて。。。

何がわかってなかったかって

AWSアカウントとIAMユーザの違い?

世の中のサービスってアカウント発行するとそのアカウントでログインするじゃん

私の中でアカウント=ユーザ だったわけだ

だから、ロールとかユーザとか言われてもよくわからなくて思考停止しちゃってたんだよね

こんな感じ!

でも、アカウントとユーザは別だけど、どちらもログインできて??

ん???ってなってた

けど

AWSっていうでっかい箱から、AWSアカウントって箱を切り出して

AWSアカウントを作ったときに最初に作られるユーザはルートアカウント

AWSアカウントという箱の中で使うユーザは別に作る(IAMユーザ)ということに

気づくのにめちゃくちゃ時間がかかりました。

まとめ

今回は冒頭で権限設計に触れて、IAMの画面をそれぞれ簡単に見に行ったよ

権限の設計については、

権限はざっくり3つくらいで分類するよ

めっちゃえらい人、そこそこえらくてめっちゃ見てくる人、めっちゃ見られながら作業する人

まあ、めっちゃえらい人にはフルアクセス権限

めっちゃ見られながら作業する人には使うサービスだけ権限与えて

そこそこえらくてめっちゃ見てくる人が作業する人のことを見れるように

監視系のサービスや、作業してる人が使ってるサービスへの権限を与えるイメージかな

画面については、実際の画面と前回までの図で理解したものが

ここの画面で作れるんだぁをなんとなく見てもらえると嬉しいな。あれ、まとめてない

まあいいか

んでわ

コメント

タイトルとURLをコピーしました