AWS / PHP / Python ちょいメモ

amazon web service , PHP, Python を使ったときのメモ。日本語でググってもわからなかった事を中心に。

JAWS-UG CLI専門支部 IAM基礎(IAMポリシー) オンライン参加

AWS aws-cli IAM

前回の入門に続いて、IAMのハンズオンに参加しました!

使って、読んで、聞いて、また使ってと、仕組みの理解&AWS-CLIの知識が深まりました。

#160R IAM基礎(IAMポリシー)

jawsug-cli.connpass.com

前回の入門と、今回のIAMポリシー、次回のIAMロール で、全体を網羅するという2回目の講座でした。

IAMを考えるときには、大きく次の2つに分かれるますが、その適用箇所等を順次紹介いただいてます。

  • インラインポリシー
    • IAMユーザー (#160R IAMポリシー)
    • IAMグループ (#160R IAMポリシー)
    • IAMロール (#161R IAMロール)
  • 管理ポリシー
    • カスタマー管理ポリシー (#160R IAMポリシー)
    • AWS管理ポリシー (#159R IAM入門)


講師の波田野さんの気付きが、各所でお話いただけるのが特徴のハンズオンですが、IAMも回を追う毎に資料が充実していっておりました。


最後のお話もらった捉え方。

IAMは、こんな感じでとらえて使うと良い。

  • フルオーダー、オーダーメイド:インラインポリシー
  • セミオーダー:カスタマー管理ポリシー
  • レディメイド、既製品:AWS管理ポリシー

ハンズオン

今回実施したのは、こんな概要です (資料の当日バージョンより抜粋)。



f:id:hidehara:20200626062743p:plain
#160R IAMポリシー

  • 0.1 〜 0.5 : 前回の入門範囲なので、さらっとながす
  • 1.1 〜 5.2 : 今回、新たに実施するハンズオン範囲

カスタマー管理ポリシー を作って割当たり、インラインポリシーを作って割り当てたり。

それを 1.4 などのステップで、aws-cli 上で、動作確認するという内容です。

動作確認時には実際に、IAMロール権限のみから、プロファイル権限にと切り替えて確認しているので、AWS提供のCredential管理方法?の理解にもつながりそうです。


IAMポリシー ドキュメント

基本は、「アクション」と「リソース」の組み合わせ。

リソースのコントロールは、サービスによって、どこまでコントロールできるかが、異なるので、公式ドキュメントで確認。

シンプルで良く出来てるので、悩むことがない。

リソースも英語ではっきりかかれてるから、ドキュメントというだけあるかも。なるほどです。

ポリシー作るときのお助けツール

AWS Policy Generator を AWS?が提供しれくれてると紹介いただきました。

あ、これ。確かに良い。

IAMコンソールで、検索して探すよりも一覧性が高い気がするのと、最終的に必要な IAMポリシードキュメント まで作ってくれるのがお手軽だ。

設定対象のリソースが膨大すぎる問題は、コーディングでいうプロパティ・メソッドを知ってるかどうかと同じで慣れるしかないかなと感じてます。

その他

WindowsLinux使ってても感じますが、頭良い人の集まりが作る仕組みは奥が深いわぁ。

ちょっと来週は参加が難しそうなので、また7月から参加したいと思います。

学びの多い時間を、ありがとうございました!