開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2022/02/09

AWS IAMを使ってクラウドで重要な認証・認可の基礎を理解する

連載:図解AWSセキュリティ入門(1)

クラウドでは、オンプレミス以上に、誰が、どの操作をできるのかといった設定を慎重に行う必要があります。この誰が、どの操作を、という管理は認証・認可の管理になりますが、AWS(Amazon Web Services)ではAWS IAM(Identity and Access Management)というサービスで設定を行います。ここではIAMの概要を図解するとともにその機能をわかりやすく解説していきます。

執筆:NRIネットコム 上野 史瑛、小林 恭平、尾澤 公亮、高梨 友之

執筆:NRIネットコム 上野 史瑛、小林 恭平、尾澤 公亮、高梨 友之

画像
AWSのセキュリティはAWSアカウントの権限を管理することが重要

※本記事は『図解 Amazon Web Servicesの仕組みとサービスがたった1日でよくわかる』を再構成したものです。

AWSではいろいろなサービスを組み合わせて情報を守る

 AWS上に構築したシステム、データを安全に管理するにはどうすればよいでしょうか。

 オンプレミスの場合、データセンターにサーバー機器を設置して、設定を行い、インターネット回線を敷設して、やっとインターネット経由でシステムが操作できるようになります。また、勝手にデータセンターに入られて、新たに大きなシステムを勝手に作られるといった心配はないでしょう。

 AWS(クラウド)の場合はどうでしょうか。AWSアカウントを作成した直後に、管理者ユーザー(ルートユーザー)でログインして操作を行います。つまり、このユーザー情報が第三者に漏れると、AWSアカウント内で任意の操作を第三者が実行できるようになり、不正アクセスされてしまいます。アカウント作成直後であれば機密情報は無いですが、不正にEC2などのリソースを大量に作成するといったことは可能です。そのため、誰が、どの操作をできるのかといった設定は慎重に行う必要があります。

 この誰が、どの操作を、という管理は認証・認可の管理になりますが、AWSではIAMというサービスで設定を行います。IAMの詳細は次項で説明します。

 ここまでの説明を読むと、オンプレミスよりもAWSのほうがセキュリティ的に危険と思われるかもしれませんが、決してそんなことはありません。AWSも正しくセキュリティサービスを活用して管理を行えば、オンプレミスと同等またはそれ以上に安全な管理が可能です。また、データセンターやハードウェアの管理はAWSによって安全に行われています。利用者側がオンプレミス環境でAWSと同等のセキュリティを確保しながら、複数の場所の管理を行うのはとても大変で難しいです。

 AWSにはセキュリティサービスや機能が多くあり、初学者には難しいところがあるのも事実です。本連載で重要なセキュリティサービスを一通り紹介するので、そこからAWSの安全な使い方を学んでいってください。

画像
たくさんのセキュリティサービスを一通り、ざっくり学びましょう

AWS Identity and Access Management とは

 AWS Identity and Access Management(以下、IAM)は、AWSサービスを利用する際の権限管理を行うサービスです。とてもざっくり説明すると、AWSを使うためのユーザーを作り、そのユーザーに「どのサービスのどの機能を利用できるか」という権限を設定することができます。ただ、権限をユーザーでなくサービスに与えたり、一時的な権限を付与したりと、単純な権限管理にとどまらないのがIAMの特徴であり、難しいところです。AWSサービスの操作制御はすべて、このサービスによって管理されます。設定内容は非常に複雑になりがちですが、概要さえ理解しておけばおおまかな動きやできることを把握することが可能です。

IAMユーザー、IAMグループ

 利用者がAWSを操作するために使うのがIAMユーザーです。パスワードなどの認証情報を使ってログイン(認証)すると、IAMユーザーに割り当てられた権限が利用できる(認可)ようになります。

画像
IAMユーザーを作成して、サービスの利用権限を割り当てる

 IAMユーザーはマネジメントコンソールでの操作に使うほか、アクセスキーという認証情報を発行してプログラムなどに権限を使わせることも可能です。同じ権限を持つIAMユーザーをまとめて管理したいときは、IAMユーザーをIAMグループというグループに所属させ、IAMユーザー個別ではなくIAMグループに対して権限を付けることもできます。

【次ページ】IAMポリシーとは

画像
次ページではIAMロールやIAMポリシーについて詳しく図解しています

お勧め記事

クラウド ジャンルのセミナー

クラウド ジャンルのトピックス

クラウド ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!