【参加レポ】JAWS-UG CLI専門支部 #187R IAM基礎 (ポリシー) #jawsug_cli
こんにちは、べこです。
今回は JAWS-UG CLI専門支部 #187R IAM基礎 (ポリシー) の参加レポです。
ざっくり3行
- IAMの考え方は、権限を「足していく」ではなく「制限していく」
- IAMポリシーは最大5つまでバージョン違いを設定可能
- 実際にCLIでIAMポリシーの作成等を行なった
IAMポリシー関連のお話
Speaker: 波田野裕一さん
- IAMのスタンスは、権限を「足していく」ではなく「制限していく」
- ポリシーの構成要素
- 基本はアクションとリソースの組み合せ
- Effect: Alllow or Deny
- Action: どういう操作か
- Resource: どのリソースに対してか(arnで記述する)
- Efffectの優先順位
- 同一のアクションやリソースに対して許可と拒否が重複する場合、以下の優先順位で評価される。
- 1:明示的な禁止(最強)
- 2:明示的な許可
- 3:暗黙の拒否(デフォルト値)
- 基本はアクションとリソースの組み合せ
- 最小権限の実現(5W1Hで考える)
- 誰(利用者)に
- どこ(リソース)で
- なぜ(意図)
- 何をさせたい(アクション)のか
- を明確にする
- 最小権限の実装例
- 2種類のIAMポリシー
- インラインポリシー
- 管理ポリシー(2015年ぐらいに新たに追加)
- AWSは一般的にこちらを推奨
ここからハンズオン
- [CloudShell] Cloud9環境のロールにIAMFUllAccessのポリシーをアタッチ
- [Cloud9] IAMグループの作成
- [Cloud9] IAMユーザーの作成
- [Cloud9] APIアクセスキーの作成
- [Cloud9] AWS認証ファイルの作成&アクセスキーの削除
- [Cloud9] IAMユーザーのIAMグループへの追加
- [Cloud9] IAMポリシードキュメントの作成
- [Cloud9] IAMポリシーの作成
- [Cloud9] IAMグループのポリシーアタッチ
- [Cloud9] CLIでの動作確認(list-enviironmentsの実行)
- [Cloud9] CLIでの動作確認(describe-environmentsの実行_失敗)
- [Cloud9] IAMポリシー(ver.2)ドキュメントの作成
- [Cloud9] IAMポリシー(ver.2)バージョンの作成
- [Cloud9] IAMポリシーのデフォルトバージョン変更
- [Cloud9] CLIでの動作確認(describe-environmentsの実行_成功)
- [CLoud9] IAMポリシー(ver.1)の削除
- 後片付けは忘れずに!
おわり
今回のCLI専門支部はIAMポリシーのハンズオンでした。
上記ハンズオン手順10にて、認証ファイルを読んでないのに何故か「aws cloud9 list-environments」で
『エラーが出ない!なんでだ〜〜〜〜〜〜!?!?!?!?』
となりました。
なので復讐も兼ねて週末に実施することに。
結果、何故かCloud9環境のロールに "ReadOnlyAccess" が付いてることが原因でした。
どこかのハンズオンで後片付けし忘れたんですかね。
後片付けは大事ですね。。。(反省)