JAWS-UG CLI専門支部 IAM基礎(IAMポリシー) オンライン参加
前回の入門に続いて、IAMのハンズオンに参加しました!
使って、読んで、聞いて、また使ってと、仕組みの理解&AWS-CLIの知識が深まりました。
#160R IAM基礎(IAMポリシー)
前回の入門と、今回のIAMポリシー、次回のIAMロール で、全体を網羅するという2回目の講座でした。
IAMを考えるときには、大きく次の2つに分かれるますが、その適用箇所等を順次紹介いただいてます。
- インラインポリシー
- IAMユーザー (#160R IAMポリシー)
- IAMグループ (#160R IAMポリシー)
- IAMロール (#161R IAMロール)
- 管理ポリシー
- カスタマー管理ポリシー (#160R IAMポリシー)
- AWS管理ポリシー (#159R IAM入門)
講師の波田野さんの気付きが、各所でお話いただけるのが特徴のハンズオンですが、IAMも回を追う毎に資料が充実していっておりました。
最後のお話もらった捉え方。
IAMは、こんな感じでとらえて使うと良い。
ハンズオン
今回実施したのは、こんな概要です (資料の当日バージョンより抜粋)。
- 0.1 〜 0.5 : 前回の入門範囲なので、さらっとながす
- 1.1 〜 5.2 : 今回、新たに実施するハンズオン範囲
カスタマー管理ポリシー を作って割当たり、インラインポリシーを作って割り当てたり。
それを 1.4 などのステップで、aws-cli 上で、動作確認するという内容です。
動作確認時には実際に、IAMロール権限のみから、プロファイル権限にと切り替えて確認しているので、AWS提供のCredential管理方法?の理解にもつながりそうです。
IAMポリシー ドキュメント
基本は、「アクション」と「リソース」の組み合わせ。
リソースのコントロールは、サービスによって、どこまでコントロールできるかが、異なるので、公式ドキュメントで確認。
シンプルで良く出来てるので、悩むことがない。
リソースも英語ではっきりかかれてるから、ドキュメントというだけあるかも。なるほどです。