AWSの薄い本 IAMのマニアックな話 を読んだメモ
学んだこと
- 認証(Authentication)と認可(Authorization) の違いの復習
- パーミッション・バウンダリー
- クロスアカウントロール
- IAMポリシーのデザインパターン
- ホワイトリストパターンとブラックリストパターンがある。(その組み合わせもある)
- IAMグループのデザインパターン
- ユーザが複数グループに所属するパターンと、グループ内に複数ポリシーつけるパターンがある
- IAMの運用
- MFA未利用時に権限を制限し、MFA利用を促す
感想
IAM の設定はセキュリティに詳しいエンジニアが会社横断で設定してくれているので、普段はあまり意識することがなく、体系的に学ぶことがなかった。
本書では、AWSアカウント作成から必要な権限設定までの実践的なプラクティスを学ぶことができた。おかげで IAM についての理解が進んだ。
個人の学習用のAWSアカウントで Adminstorator ユーザにアクセスキーをつけていて危険なことに気づけた。
改善のため
- MFAの必須化
- 普段使う Adminstorator ユーザはリードオンリーのみ許可
- オペレーション用のロールを作成し必要なときはそのロールへ Switch Role する
としてみた。(自宅からなのでIP制限はできなかった)
CLIでも MFA のコードを聞かれるので安心。
これも読む
AWS IAMのベストプラクティス
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/best-practices.html