Embed Size (px)
Citation preview
JAWS-UG CLI #17IAM Managed Policy
2015/04/13 Mon
Nobuhiro Nakayama
{
"name":"Nobuhiro Nakayama",
"company":"UCHIDAYOKO CO., LTD.",
"favorite aws services":[
"Storage Gateway",
"Directory Service",
"IAM",
"AWS CLI"
],
"certifications":[
"AWS Certified Solutions Architect-Associate",
"AWS Certified SysOps Administrator-Associate",
"Microsoft Certified Solutions Expert Server Infrastructure",
"Microsoft Certified Solutions Expert SharePoint",
"IPA Network Specialist", "IPA Information Security Specialist"
]
}
直近のバージョンアップ
• 1.7.19 2015/4/2
• feature:aws codedeploy: Add register, deregister, install, and uninstall commands and update to the latest AWS CodeDeploy API.
• feature:aws rds: Add support for describe-certificates.
• feature:aws elastictranscoder: Add support for PlayReady DRM.
• feature:aws ec2: Add support for D2 instances.
• 1.7.20 2015/4/8
• feature:aws datapipeline: Add support for deactivating pipelines.
• feature:aws elasticbeanstalk: Add support for cancelling in-progress environment updates or application version deployment.
• 1.7.21
• (skip?)
• 1.7.22 2015/4/10?
• bugfix:aws ecs: Minor documentation fixes.
2015/4/11 3
IAMとは
2015/4/11 4
IAMとは
• AWS Identity and Access Management
• 複数のユーザでAWSを利用する場合にユーザやグループを作成する
• Roleを使ってサービスに権限を委任する
• 認証情報やアクセス権限の管理を行う
• 詳細はBlack Belt Tech Webinarで• http://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-tech-aws-iam
2015/4/11 5
Managed Policyとは
2015/4/11 6
Managed Policyとは
• Managed Policyはアクセス権を独立したリソース(IAMエンティティ)として定義したもの• Managed Policyが登場するまでは、アクセス権はユーザ・グループ・ロールの属性という扱い
• ARNがある。
• 例)arn:aws:iam::123456789012:policy/ManageCredentialsPermissions
• ポリシーのConditionにManaged Policyを指定できる。= あるアクション(ポリシーのアタッチ/デタッチ)を特定のPolicyについてはできる/できないといった制御が可能になる。
• 具体的なユースケースはこちら。
• How to Create a Limited IAM Administrator by Using Managed Policies
• http://blogs.aws.amazon.com/security/post/Tx27Y2HY1GGPVTQ/How-to-Create-a-Limited-IAM-Administrator-by-Using-Managed-Policies
• 特定のManaged Policyをエンティティにアタッチする権限をIAMユーザに付与
• Pathをうまく使うと幸せ
• 従来のポリシーも、Inline Policyとして残っている。
2015/4/11 7
Managed Policyのメリット
• 1つのManaged Policyを複数のIAMエンティティにアタッチできるため、ポリシーの一括変更が可能になる
• Attach-/Detach-コマンドによって、ポリシーの切り替えが容易になる
• Conditionによるアクセス権管理の柔軟性が向上• IAMの管理権限の委譲など
• バージョン管理が可能
2015/4/11 8
Managed Policyを利用する際の注意点
• バージョンは5世代までしか保持できない
• エンティティにアタッチできるManage Policyは2つまで
• ポリシーの変更がアタッチしている全てのエンティティに及ぶ• 運用は計画的に
2015/4/11 9
IAMの要素(今日のハンズオンに関連する要素のみ)
2015/4/11 10
IAMの要素(Managed Policyリリース前)
2015/4/11 11
ユーザ グループ ロール
ポリシー ポリシー ポリシー
IAMの要素(Managed Policyリリース後)
2015/4/11 12
ユーザ グループ ロール
Inline
Policy
Inline
Policy
Inline
Policy
AWS管理ポリシー カスタマー管理ポリシーAWS管理ポリシー
AWS管理ポリシーAWS管理ポリシー
カスタマー管理ポリシー
コマンド
2015/4/11 13
Command(Related command of Managed Policy) 1
• create-policy
• Managed Policyを作成
• create-policy-version
• Policy Documentを作成
2015/4/11 14
Command(Related command of Managed Policy) 2
• get-policy
• Managed Policyの情報を表示
• get-policy-version
• Managed PolicyのPolicy Documentを表示
• list-attached-(user|group|role)-policies
• IAMのエンティティにアタッチされたManaged Policyの一覧を表示
• list-entities-for-policy
• Managed PolicyがアタッチされているIAMのエンティティの一覧を表示
• list-policies
• Managed Policyの一覧を表示
• list-policy-versions
• Managed Policyに定義されているPolicy Documentの一覧を表示
2015/4/11 15
Command(Related command of Managed Policy) 3
• set-default-policy-version
• Policy DocumentをManaged Policyに適用する
• attach-(user|group|role)-policy
• IAMのエンティティにManaged Policyをアタッチする
• detach-(user|group|role)-policy
• IAMのエンティティにManaged Policyをデタッチする
• delete-policy-version
• Policy Documentを削除する
• delete-policy
• Managed Policyを削除する
2015/4/11 16
ハンズオン
2015/4/11 17
ハンズオン
2015/4/11 18
ユーザ グループ
AWS管理ポリシー カスタマー管理ポリシー
