IAM
https://cdn.worldvectorlogo.com/logos/aws-iam.svg
AWS Identity and Access Management
ルートアカウント
AWS アカウント作成時に、最初に払い出されるアカウント
すべてのリソースに対してアクセス権限がある
ルートアカウントのみアクセスできるサービスもある
管理者権限ユーザー
IAM にアクセスできる権限を持つアカウント
アクセス権限を管理できる
パワーユーザー
IAM 以外の全てにアクセスできるアカウント
ポリシーの作成
後から名前変更はできない
1. For Role name, type a name for your role. Role names must be unique within your AWS account. They are not distinguished by case. For example, you cannot create roles named both PRODROLE and prodrole. Because other AWS resources might reference the role, you cannot edit the name of the role after it has been created.
新規作成して、既存のポリシーからインポートすると、実質クローンできる
Application
code: (json)
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"rds:*",
"s3:*",
"ec2:*",
"elasticloadbalancing:*",
"autoscaling-plans:*"
],
"Resource": "*"
}
]
}
Operation
code: (json)
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"cloudwatch:*",
"cloudtrail:*",
"config:*"
],
"Resource": "*"
}
]
}
ユーザグループの作成
Application
Application ポリシーを適用
Operation
Operation ポリシーを適用
ユーザの作成
developer
Application グループに所属
operator
Operation グループに所属
ロールの作成
ポリシーの作成
S3Access
code: (json)
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "s3:*",
"Resource": "*"
}
]
}
ロールの作成
S3Access
インスタンスの作成
「3.インスタンスの設定」で S3Access を設定する
ロールの権限移譲
ロールの作成で他のアカウントに選択
Reference