Weitere ähnliche Inhalte
Ähnlich wie JAWS-UG CLI専門支部 #17 IAM Managed Policy入門 (20)
Mehr von Nobuhiro Nakayama (13)
JAWS-UG CLI専門支部 #17 IAM Managed Policy入門
- 2. {
"name":"Nobuhiro Nakayama",
"company":"UCHIDAYOKO CO., LTD.",
"favorite aws services":[
"Storage Gateway",
"Directory Service",
"IAM",
"AWS CLI"
],
"certifications":[
"AWS Certified Solutions Architect-Associate",
"AWS Certified SysOps Administrator-Associate",
"Microsoft Certified Solutions Expert Server Infrastructure",
"Microsoft Certified Solutions Expert SharePoint",
"IPA Network Specialist", "IPA Information Security Specialist"
]
}
- 3. 直近のバージョンアップ
• 1.7.19 2015/4/2
• feature:aws codedeploy: Add register, deregister, install, and uninstall commands and
update to the latest AWS CodeDeploy API.
• feature:aws rds: Add support for describe-certificates.
• feature:aws elastictranscoder: Add support for PlayReady DRM.
• feature:aws ec2: Add support for D2 instances.
• 1.7.20 2015/4/8
• feature:aws datapipeline: Add support for deactivating pipelines.
• feature:aws elasticbeanstalk: Add support for cancelling in-progress environment
updates or application version deployment.
• 1.7.21
• (skip?)
• 1.7.22 2015/4/10?
• bugfix:aws ecs: Minor documentation fixes.
2015/4/11 3
- 5. IAMとは
• AWS Identity and Access Management
• 複数のユーザでAWSを利用する場合にユーザやグループを作成する
• Roleを使ってサービスに権限を委任する
• 認証情報やアクセス権限の管理を行う
• 詳細はBlack Belt Tech Webinarで
• http://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-tech-aws-iam
2015/4/11 5
- 7. Managed Policyとは
• Managed Policyはアクセス権を独立したリソース(IAMエンティティ)として定義し
たもの
• Managed Policyが登場するまでは、アクセス権はユーザ・グループ・ロールの属性という扱
い
• ARNがある。
• 例)arn:aws:iam::123456789012:policy/ManageCredentialsPermissions
• ポリシーのConditionにManaged Policyを指定できる。
= あるアクション(ポリシーのアタッチ/デタッチ)を特定のPolicyについてはできる/でき
ないといった制御が可能になる。
• 具体的なユースケースはこちら。
• How to Create a Limited IAM Administrator by Using Managed Policies
• http://blogs.aws.amazon.com/security/post/Tx27Y2HY1GGPVTQ/How-to-Create-a-Limited-
IAM-Administrator-by-Using-Managed-Policies
• 特定のManaged Policyをエンティティにアタッチする権限をIAMユーザに付与
• Pathをうまく使うと幸せ
• 従来のポリシーも、Inline Policyとして残っている。
2015/4/11 7
- 8. Managed Policyのメリット
• 1つのManaged Policyを複数のIAMエンティティにアタッチできるため、ポリシーの一
括変更が可能になる
• Attach-/Detach-コマンドによって、ポリシーの切り替えが容易になる
• Conditionによるアクセス権管理の柔軟性が向上
• IAMの管理権限の委譲など
• バージョン管理が可能
2015/4/11 8
- 14. Command(Related command of Managed Policy) 1
• create-policy
• Managed Policyを作成
• create-policy-version
• Policy Documentを作成
2015/4/11 14
- 15. Command(Related command of Managed Policy) 2
• get-policy
• Managed Policyの情報を表示
• get-policy-version
• Managed PolicyのPolicy Documentを表示
• list-attached-(user|group|role)-policies
• IAMのエンティティにアタッチされたManaged Policyの一覧を表示
• list-entities-for-policy
• Managed PolicyがアタッチされているIAMのエンティティの一覧を表示
• list-policies
• Managed Policyの一覧を表示
• list-policy-versions
• Managed Policyに定義されているPolicy Documentの一覧を表示
2015/4/11 15
- 16. Command(Related command of Managed Policy) 3
• set-default-policy-version
• Policy DocumentをManaged Policyに適用する
• attach-(user|group|role)-policy
• IAMのエンティティにManaged Policyをアタッチする
• detach-(user|group|role)-policy
• IAMのエンティティにManaged Policyをデタッチする
• delete-policy-version
• Policy Documentを削除する
• delete-policy
• Managed Policyを削除する
2015/4/11 16