IAM
https://gyazo.com/c3dcea22dcc5b2c72601e437eeb9291b
IAM(AWS Identity and Access Management)
AWSに関連するuserの2分類
めちゃくちゃ基本的な概要
(この辺に↓IAM userとIAMロール、サービスロールの違いの説明がほしい)
userには大きく分けて2種類ある
root userはアカウントの設定やプランを変えるときにのみ使う
普段の開発ではIAM userでログインして作業をする
IAM userの1人に対して、多くの権限を振ってAWS上のほぼ全ての操作ができるような運用にすることがよくある
e.g. 仮想サーバーを作成、仮想サーバーを実行
アクションの数は死ぬほどあるので、1つずつ設定すると大変
開発者目線の話
ユーザー自体はそんな関係ない
AWSユーザーに対して AWSのリソースへのアクセスできる範囲やアクセス方法を安全に制御する
どのユーザーが AWS リソースを使用できるか(認証)、また、それらのユーザーがどのリソースをどのような方法で使用できるか(認可)を制御できる
権限の付与の仕方がわからん
LambdaにCognitoのとある権限を付与したい時に、どのページを見ればいいのかわからない
IAMのページ?Lambdaのページ?Congitoのページ?
ここってセキュリティに直結するところ?
なんでもかんでも強い権限を与えたらどういう問題が起きる?
用語がわからん
ロール
アタッチ
「IAMユーザは人に紐づくアカウントで、IAMロールはサービスに紐づくアカウント」
これって、「サービスロール」の説明だったりしないのか?
この説明をしているもの
『ゼロからわかるAmazon Web Services超入門 はじめてのクラウド』.iconp.56~とか、これとか この公式の説明がわかりづらすぎる
公式の説明を読むと、
IAMロールは、人にもサービスにも紐付けられる
サービスに紐付けるのはサービスロール
と書いているように読める
どういう理解が正しいのか全くわからない
「IAMゆーざ」「IAMロール」「サービスロール」の違いを明確に、わかりやすく、示して欲しい..
この文章も意味がわからん
「ユーザとかサービスに権限を付与するもの」と書いている直後に「ユーザの権限を制御するためにあるものではなく、」と書いている
ロール
AWSサービスやアプリケーション等、エンティティに対してにAWS の操作権限を付与する
ユーザーに対してではなく、サービスに権限を付与するmrsekut.icon
IAMロールには、以下の3種類ある
クロスアカウントアクセスのロール
ID プロバイダアクセス用のロール
今ぶつかっているところ
LambdaでCognitoの認証前のトリガーをやろうとしたら、以下のようなエラーが出ている
authorized to perform: cognito-idp:ListUsers on resource:
Lambdaに対してCognitoの何らかの権限を与えればいい、というのはわかるが
具体的に、「どの権限」を「どういう手順」で与えればいいのかがわからない
わからないなりに、IAMでポリシー作ってやってみたが何も変わらなかったのでやっぱ理解しないとダメだな、になった
これとほぼ同じ問題だが、ハックっぽい解決の仕方をしているので参考にしていいのかわからん IAMユーザーをまとめて管理するグループ
IAMユーザーは複数のグループに登録できる
評価高いmrsekut.icon
2020/3
126ページ
2020/7/31
105p