ようこそゲストさん

  • 会員限定
  • 2022/02/09 掲載

AWS IAMとは何か?クラウドで重要な認証・認可の基礎を理解する

連載:図解AWSセキュリティ入門(1)

記事をお気に入りリストに登録することができます。
クラウドでは、オンプレミス以上に、誰が、どの操作をできるのかといった設定を慎重に行う必要があります。この誰が、どの操作を、という管理は認証・認可の管理になりますが、AWS(Amazon Web Services)ではAWS IAM(Identity and Access Management)というサービスで設定を行います。ここではIAMの概要を図解するとともにその機能をわかりやすく解説していきます。

執筆:NRIネットコム 上野 史瑛、小林 恭平、尾澤 公亮、高梨 友之

執筆:NRIネットコム 上野 史瑛、小林 恭平、尾澤 公亮、高梨 友之

画像
AWSのセキュリティはAWSアカウントの権限を管理することが重要

※本記事は『図解 Amazon Web Servicesの仕組みとサービスがたった1日でよくわかる』を再構成したものです。

AWSではいろいろなサービスを組み合わせて情報を守る

 AWS上に構築したシステム、データを安全に管理するにはどうすればよいでしょうか。

 オンプレミスの場合、データセンターにサーバー機器を設置して、設定を行い、インターネット回線を敷設して、やっとインターネット経由でシステムが操作できるようになります。また、勝手にデータセンターに入られて、新たに大きなシステムを勝手に作られるといった心配はないでしょう。

 AWS(クラウド)の場合はどうでしょうか。AWSアカウントを作成した直後に、管理者ユーザー(ルートユーザー)でログインして操作を行います。つまり、このユーザー情報が第三者に漏れると、AWSアカウント内で任意の操作を第三者が実行できるようになり、不正アクセスされてしまいます。アカウント作成直後であれば機密情報は無いですが、不正にEC2などのリソースを大量に作成するといったことは可能です。そのため、誰が、どの操作をできるのかといった設定は慎重に行う必要があります。

 この誰が、どの操作を、という管理は認証・認可の管理になりますが、AWSではIAMというサービスで設定を行います。IAMの詳細は次項で説明します。

 ここまでの説明を読むと、オンプレミスよりもAWSのほうがセキュリティ的に危険と思われるかもしれませんが、決してそんなことはありません。AWSも正しくセキュリティサービスを活用して管理を行えば、オンプレミスと同等またはそれ以上に安全な管理が可能です。また、データセンターやハードウェアの管理はAWSによって安全に行われています。利用者側がオンプレミス環境でAWSと同等のセキュリティを確保しながら、複数の場所の管理を行うのはとても大変で難しいです。

 AWSにはセキュリティサービスや機能が多くあり、初学者には難しいところがあるのも事実です。本連載で重要なセキュリティサービスを一通り紹介するので、そこからAWSの安全な使い方を学んでいってください。

画像
たくさんのセキュリティサービスを一通り、ざっくり学びましょう

AWS Identity and Access Management とは

 AWS Identity and Access Management(以下、IAM)は、AWSサービスを利用する際の権限管理を行うサービスです。とてもざっくり説明すると、AWSを使うためのユーザーを作り、そのユーザーに「どのサービスのどの機能を利用できるか」という権限を設定することができます。ただ、権限をユーザーでなくサービスに与えたり、一時的な権限を付与したりと、単純な権限管理にとどまらないのがIAMの特徴であり、難しいところです。AWSサービスの操作制御はすべて、このサービスによって管理されます。設定内容は非常に複雑になりがちですが、概要さえ理解しておけばおおまかな動きやできることを把握することが可能です。

IAMユーザー、IAMグループ

 利用者がAWSを操作するために使うのがIAMユーザーです。パスワードなどの認証情報を使ってログイン(認証)すると、IAMユーザーに割り当てられた権限が利用できる(認可)ようになります。

画像
IAMユーザーを作成して、サービスの利用権限を割り当てる

 IAMユーザーはマネジメントコンソールでの操作に使うほか、アクセスキーという認証情報を発行してプログラムなどに権限を使わせることも可能です。同じ権限を持つIAMユーザーをまとめて管理したいときは、IAMユーザーをIAMグループというグループに所属させ、IAMユーザー個別ではなくIAMグループに対して権限を付けることもできます。

【次ページ】IAMポリシーとは

画像
次ページではIAMロールやIAMポリシーについて詳しく図解しています

関連タグ

あなたの投稿

関連コンテンツ

Amazon DynamoDBとは何かをわかりやすく図解、どう使う?テーブル設計の方法とは

非常にわかりやすくまとまった良い記事ですが、技術的な誤りがあるので指摘させていただきます。

こちらについては恐らくDynamo論文(Dynamo: Amazon's Highly Available Key-value Store)を参考に記述されていると思われますが、Dynamo論文で説明されているDynamoと、今AWSで提供されているDynamoDBは名前を引き継いでいるだけで全く別のDBMSです。
DynamoDBはDynamoやSimpleDBS3、S3の知見をもとに開発されています。
https://www.allthingsdistributed.com/2012/01/amazon-dynamodb.html

今年公開されたDynamoDBの論文に記述がある通り、Multi-Paxosでリーダーの選出、合意形成を行う仕組みであり、leader replicaのみが書き込みを受け付けます。
(つまりパーティション単位に単一障害点が存在します)
https://assets.amazon.science/33/9d/b77f13fe49a798ece85cf3f9be6d/amazon-dynamodb-a-scalable-predictably-performant-and-fully-managed-nosql-database-service.pdf
> The replication group uses Multi-Paxos [14] for leader election and consensus. Any replica can trigger a round of the election. Once elected leader, a replica can maintain leadership as long as it periodically renews its leadership lease.
>Only the leader replica can serve write and strongly consistent read requests. Upon receiving a write request, the leader of the replication group for the key being written generates a write-ahead log record and sends it to its peer (replicas).

PR

処理に失敗しました

人気のタグ

おすすめユーザー

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます