PR

AWSを利用するにあたって、まず一番最初にやっておきたいIAMの設定を理解する

インフラ技術

AWSで環境を構築しようとした際、初期のままログインしようとする場合、ルートアカウントでのログインになると思います。
ルートアカウントは、最強の権限です。
なので、そのルートアカウントが乗っ取られてしまうと、勝手にEC2が作られて、ビットコインのマイニングや、踏み台サーとして悪用される可能性があります。

本記事のファスト記事は以下から
スイッチロールするためのIAMポリシー

     はじめにすること     

まずは、ルートアカウントにアクセスし、ログインする際にMFA認証を利用するよう設定しましょう。
その後、個人のアカウントの払い出しを行い、さらにできるのであれば、払い出したアカウントからスイッチロールをして使用する運用とすることで、セキュアにAWSが利用できるようになります。

作るもの
・AWSアカウント
・IAMロール(スイッチされるロール)
・IAMユーザ
・IAMポリシー (スイッチする用)
・IAMグループ(ポリシーを直接ユーザに付与する場合は不要)

設定することでできるようになることのイメージ
AWSにログイン ⇒ 何もできない権限(ポリシー) ⇒ いろいろできる権限(ロール)にスイッチ

IAMユーザの作成
ユーザ作成

IAMロールの作成
ロールの作成

IAMポリシーの作成
1.スイッチする用

2.スイッチされる用

      おまけ      

IAMグループの作成
グループは作成しなくても問題ないですが、複数名で作業を行う想定であれば、同じグループにユーザを追加することで、管理が楽になるのでお勧めです。

管理が楽になるという点を補足すると、Aさん、Bさん、Cさんにそれぞれ、ポリシーを付与していると、追加のポリシーを付与したいとき、それぞれのユーザにポリシーをつけなければならなくなります。
ユーザ数が多ければ多いほど、手間が増えます。
それとは別に、グループにAさん、Bさん、Cさんを入れて、グループにポリシーをつけていた場合、ポリシーを追加したい場合は、グループに付けるだけで、Aさん、Bさん、Cさんすべてに同じポリシーがつくので、管理や手間が楽になります。

グループにポリシーをつけた例
グループ(ポリシー) – Aさん


個人にポリシーを付けた例
Aさん – ポリシー
Bさん – ポリシー
Cさん – ポリシー

タイトルとURLをコピーしました