Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

JAWS-UG CLI専門支部 #17 IAM Managed Policy入門

731 views

Published on

JAWS-UG CLI専門支部 #17 IAM Managed Policy入門
(実施後に修正する可能性があります。)

Published in: Technology
  • Be the first to comment

JAWS-UG CLI専門支部 #17 IAM Managed Policy入門

  1. 1. JAWS-UG CLI #17 IAM Managed Policy 2015/04/13 Mon Nobuhiro Nakayama
  2. 2. { "name":"Nobuhiro Nakayama", "company":"UCHIDAYOKO CO., LTD.", "favorite aws services":[ "Storage Gateway", "Directory Service", "IAM", "AWS CLI" ], "certifications":[ "AWS Certified Solutions Architect-Associate", "AWS Certified SysOps Administrator-Associate", "Microsoft Certified Solutions Expert Server Infrastructure", "Microsoft Certified Solutions Expert SharePoint", "IPA Network Specialist", "IPA Information Security Specialist" ] }
  3. 3. 直近のバージョンアップ • 1.7.19 2015/4/2 • feature:aws codedeploy: Add register, deregister, install, and uninstall commands and update to the latest AWS CodeDeploy API. • feature:aws rds: Add support for describe-certificates. • feature:aws elastictranscoder: Add support for PlayReady DRM. • feature:aws ec2: Add support for D2 instances. • 1.7.20 2015/4/8 • feature:aws datapipeline: Add support for deactivating pipelines. • feature:aws elasticbeanstalk: Add support for cancelling in-progress environment updates or application version deployment. • 1.7.21 • (skip?) • 1.7.22 2015/4/10? • bugfix:aws ecs: Minor documentation fixes. 2015/4/11 3
  4. 4. IAMとは 2015/4/11 4
  5. 5. IAMとは • AWS Identity and Access Management • 複数のユーザでAWSを利用する場合にユーザやグループを作成する • Roleを使ってサービスに権限を委任する • 認証情報やアクセス権限の管理を行う • 詳細はBlack Belt Tech Webinarで • http://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-tech-aws-iam 2015/4/11 5
  6. 6. Managed Policyとは 2015/4/11 6
  7. 7. Managed Policyとは • Managed Policyはアクセス権を独立したリソース(IAMエンティティ)として定義し たもの • Managed Policyが登場するまでは、アクセス権はユーザ・グループ・ロールの属性という扱 い • ARNがある。 • 例)arn:aws:iam::123456789012:policy/ManageCredentialsPermissions • ポリシーのConditionにManaged Policyを指定できる。 = あるアクション(ポリシーのアタッチ/デタッチ)を特定のPolicyについてはできる/でき ないといった制御が可能になる。 • 具体的なユースケースはこちら。 • How to Create a Limited IAM Administrator by Using Managed Policies • http://blogs.aws.amazon.com/security/post/Tx27Y2HY1GGPVTQ/How-to-Create-a-Limited- IAM-Administrator-by-Using-Managed-Policies • 特定のManaged Policyをエンティティにアタッチする権限をIAMユーザに付与 • Pathをうまく使うと幸せ • 従来のポリシーも、Inline Policyとして残っている。 2015/4/11 7
  8. 8. Managed Policyのメリット • 1つのManaged Policyを複数のIAMエンティティにアタッチできるため、ポリシーの一 括変更が可能になる • Attach-/Detach-コマンドによって、ポリシーの切り替えが容易になる • Conditionによるアクセス権管理の柔軟性が向上 • IAMの管理権限の委譲など • バージョン管理が可能 2015/4/11 8
  9. 9. Managed Policyを利用する際の注意点 • バージョンは5世代までしか保持できない • エンティティにアタッチできるManage Policyは2つまで • ポリシーの変更がアタッチしている全てのエンティティに及ぶ • 運用は計画的に 2015/4/11 9
  10. 10. IAMの要素 (今日のハンズオンに関連する要素のみ) 2015/4/11 10
  11. 11. IAMの要素(Managed Policyリリース前) 2015/4/11 11 ユーザ グループ ロール ポリシー ポリシー ポリシー
  12. 12. IAMの要素(Managed Policyリリース後) 2015/4/11 12 ユーザ グループ ロール Inline Policy Inline Policy Inline Policy AWS管理ポリシー カスタマー管理ポリシー AWS管理ポリシー AWS管理ポリシー AWS管理ポリシー カスタマー管理ポリシー
  13. 13. コマンド 2015/4/11 13
  14. 14. Command(Related command of Managed Policy) 1 • create-policy • Managed Policyを作成 • create-policy-version • Policy Documentを作成 2015/4/11 14
  15. 15. Command(Related command of Managed Policy) 2 • get-policy • Managed Policyの情報を表示 • get-policy-version • Managed PolicyのPolicy Documentを表示 • list-attached-(user|group|role)-policies • IAMのエンティティにアタッチされたManaged Policyの一覧を表示 • list-entities-for-policy • Managed PolicyがアタッチされているIAMのエンティティの一覧を表示 • list-policies • Managed Policyの一覧を表示 • list-policy-versions • Managed Policyに定義されているPolicy Documentの一覧を表示 2015/4/11 15
  16. 16. Command(Related command of Managed Policy) 3 • set-default-policy-version • Policy DocumentをManaged Policyに適用する • attach-(user|group|role)-policy • IAMのエンティティにManaged Policyをアタッチする • detach-(user|group|role)-policy • IAMのエンティティにManaged Policyをデタッチする • delete-policy-version • Policy Documentを削除する • delete-policy • Managed Policyを削除する 2015/4/11 16
  17. 17. ハンズオン 2015/4/11 17
  18. 18. ハンズオン 2015/4/11 18 ユーザ グループ AWS管理ポリシー カスタマー管理ポリシー

×