セキュリティに戻る
1 / 10 ブロック10%
イントロ
イントロ

IAM認可と最小権限の設計

権限は広く渡さず、必要な分だけ渡す

IAM設計は、AWS内で誰が何をできるかを決める土台です。SAAでは、便利さよりも最小権限と一時的な権限委任を優先して考えます。

定義

IAM認可

教科書では
AWSリソースに対して、認証された主体が実行できる操作をポリシーなどで許可・拒否すること。
言いかえると
IAMでは、ログインできることと操作できることを分けます。最小権限は、今必要な操作だけを許可し、余分な削除や管理者権限を渡さない考え方です。
手順

権限設計の読み方

  1. 1

    主体を決める

  2. 2

    操作を絞る

  3. 3

    対象を絞る

  4. 4

    一時権限を使う

要点

判断の合図

問題文では、誰が、どのリソースに、どの操作をできるかを分ける。

  1. 1

    人とサービスを分ける

  2. 2

    操作は必要分に絞る

  3. 3

    ロールは一時的に委任する

図解IAM認可と最小権限の設計の設計判断を短いラベルで整理した図
主体からポリシーを通り、操作とリソースへ向かう流れを見る図です。認証と認可を混ぜず、許可範囲を絞ります。
場面
画像変換だけをするLambda関数を作る。
順に考えると
関数には対象S3バケットの読み書きだけを許可します。EC2削除やIAM変更の権限は、画像変換の仕事には不要です。
ここが結論
必要な仕事から逆算すると、管理者権限を避けやすくなります。
注意

広い権限は後で危険になる

確認

確認テスト

Q1

最小権限に最も近い設計はどれですか。

まとめ

まとめ

  1. 1

    IAMは操作権限を決める

  2. 2

    最小権限は必要分だけ許可する

  3. 3

    ロールは一時的な委任に使う

  4. 4

    主体・操作・対象で読む