AWSのセキュリティを高めるIAMとは？：AWS Tips

本Tipsでは、Amazon Web Servicesの機能「IAM」を使い、どのようにしてセキュリティを高めることができるかを解説します。

[小室文，＠IT]

連載目次

IAMにできること

　Amazon Web Servicesには、リソースへのアクセスをコントロールできるAWS Identity and Access Management（IAM）という機能があります。IAMにできることは以下の通りです。

IAMユーザー、グループを管理する

　AWSのサービスやリソースへのアクセス権をユーザーに付与し、それらへのアクセスを許可する。

IAMロールと権限を管理する

　AWSのサービス、リソースの間をつなぐ認証情報（ロール）を作成し付与することで、サービスや個々のリソースがお互いに情報をやりとりできるようになる。

IAM identityを管理する

　一般的な認証機構（Microsoft Active DirectoryやSAML 2.0など）と連携をさせ、サービスやリソースへのアクセスを許可させる。

　上記以外にも個々の機能を安全に強化できるMulti-Factor Authentication（MFA）や、多要素認証、パスワードポリシーも活用できるでしょう。

　AWSが提供しているプラットフォーム、およびサービスのセキュリティ担保については、AWSセキュリティセンターとAWSコンプライアンスを一読されることをお勧めします。また、ユーザーとAWSのセキュリティ責任範囲の明確化についてはAWSの共有責任モデルを一読してみてください。

IAMが提供される場所は

　IAMはAmazon Elastic Compute Cloud（EC2）のようなアベイラビリティゾーンの設定や、Simple Storage Service（S3）のようなリージョンを選択することはできず、エンドポイントも単一のものが提供されます。

　実際にIAMが提供されている場所は米国東部（バージニア北部）リージョンとなり、これが全世界で共通の設定となります。ただし、GovCloudリージョン（米国連邦政府用）と、2014年に提供開始が予定されている北京リージョンは別のIAMが用意されており、そちらを使う必要があります。

「AWS Tips」バックナンバー

• 複数のアベイラビリティゾーンを利用し、EC2を冗長化する
• Amazon VPCを利用し、システムを冗長化する
• 耐久性と可用性を兼ね備えたMulti-AZ構成を作る
• S3とCloudFrontを組み合わせた構成を作る
• User dataにスクリプトを設定してサーバー設定を自動化する
• AWS APIでAWSの操作を自動化する
• CloudFormationで環境構築を自動化する
• IAMをより安全に使うには？
• IAMのポリシーを設定する
• AWSのセキュリティを高めるIAMとは？
• スケールアウトを自動化する
• ELBでスケールアウトする
• EC2のインスタンスタイプを変更する

小室文（こむろ　あや）

好きなAWSサービスはRDS

サーバーワークス セールスチーム ソリューションアーキテクト

ウェブマーケティング業界で、インフラ/開発を経験した後、クラウドに取りつかれてJAWS-UGクラウド女子会コアメンバー。クラウド界隈出没中。明太子は永遠に不滅です。

CROSS2014セッションオーナー 、AWS SAMURAI AWARD 2014受賞。