技術書典7で頒布したAWS本です。
■ 本書の目的
本書はIAMの機能に絞って解説するという機能特化本です。
筆者は今まで、商業誌で「AWSの基本機能」、「サーバレス」、「業務システム」、「試験対策」をテーマに4冊のAWS本を書きました。
テーマに沿って必要な機能を紹介していくというスタイルだったのですが、今回は逆に機能を元に解説するというスタイルに挑戦しています。
それでなぜ、IAMなのでしょうか?AWSが不正利用されて100万円の請求が来たというようなニュースを、ネットで時々目にする事があります。原因の多くがIAMのアクセスキーをGitHubに誤ってコミットしてしまい、そのキーを不正利用されたケースです。そういった事態を防ぐために正しくIAMを知って貰いたいのです。
IAMは、AWSの利用権限を管理する極めて重要な機能です。AWSには多種多様な機能があり、IAMはそれに応じて様々な記述方法で権限を設定できるようになっています。その分設定項目が多く、IAMは難しいと印象を持っている人も多いのではないでしょうか。また、ある程度IAMに習熟した人にとっては、他の人かどのような方針でIAMの権限設計をしているか気になるという人も多いでしょう。そんな要望に応えるべく、筆者の考えるIAMのベストプラクティスをまとめてみました。
■ 対象読者
■ 本書で得られること
■ IAM本の評判
『AWSの薄い本 IAMのマニアックな話』に関するTweetまとめ
https://togetter.com/li/1419663
目次
はじめに
本書の目的
対象読者
本書で得られること
お問い合わせ先
免責事項
第1章 AWS と IAM
1.1 認証と認可
1.2 AWS のアカウント種類
1.3 AWSアカウント
1.4 IAM ユーザ
1.5 注意とお願い
第2章 IAM の機能
2.1 IAM ユーザー
2.2 IAM グループ
2.3 IAM ポリシー
2.4 IAMロール
2.5 パーミッション・バウンダリー
2.6 IAMの機能のまとめ
【コラム】 AWSアカウントとIAMの関係
第3章 IAM チュートリアル
3.1 IAMポリシーの作成
3.2 IAMグループの作成
3.3 IAMユーザーの作成
3.4 クロスアカウントロールの作成
3.5 チュートリアルのまとめ
第4章 IAM ポリシーのデザインパターン
4.1 ホワイトリスト・パターン
4.2 ブラックリスト・パターン
4.3 ハイブリット・パターン
4.4 IAMポリシーのまとめ
【コラム】 最小権限の探求
第5章 IAM グループのデザインパターン
5.1 複数グループに所属
5.2 グループ内に複数ポリシー
5.3 IAMグループのまとめ
【コラム】 IAMグループの階層構造について
第6章 IAM とセキュリティ
6.1 IAMベストプラクティスの遵守
6.2 ルートユーザーを使わない
6.3 IAMに関する権限付与
6.4 Lambdaのリソースベースの権限
6.5 インターネット公開系の権限
【コラム】 ec2の権限範囲の問題
6.6 VPC内からのアクセス
6.7 アクセスキーの原則禁止
6.8 CapitalOneの情報流出事件に思うこと
6.9 IAMとセキュリティのまとめ
【コラム】 IPアドレス制限の是非とゼロトラストセキュリティ
第7章 IAM の運用
7.1 IAMの運用の目的
7.2 役割と責任範囲の明確化
7.3 AWS アカウントの管理
7.4 IAM ユーザーの管理
7.5 アクセスキーの管理とCLI
7.6 MFA 未利用時に権限を制限し、MFA 利用を促す
7.7 マルチアカウントでの運用
7.8 IAM運用のまとめ
第8章 IAMとCloudFormation
8.1 IAMとCloudFormation
8.2 CFnの分割単位・依存関係
8.3 CloudFormationとIP制限
【コラム】 ライフサイクルで考える
第9章 IAMのテンプレート集
9.1 共通系ポリシー
9.2 管理者グループ
9.3 ネットワーク管理者グループ
9.4 開発者グループ
9.5 オペレーターグループ
9.6 経理担当者グループ
9.7 お一人様AWS
9.8 IAMのテンプレートのまとめ
第10章 IAM以外のAWS サービスの活用
10.1 AWS Organizations(組織アカウント)
10.2 AWS CloudTrailとAWSConfig
10.3 Amazon GuardDuty
10.4 AWS ControlTowerとAWS SecurityHub
10.5 今後のAWS運用について
10.6 まとめ
付録 A アカウント開設時の設定チェックリスト