前回、AWSマネジメントコンソールの基本設定を行いました。
今回はAWSのユーザーの種類について解説していきます。
これまではルートユーザーという管理者権限を持ったなんでもできるユーザーで作業をしてきました。
ですが、実際に運用していくうえで、このルートユーザーはほとんど使いません。
解約する際などに使うくらいでしょう。
しかも、ルートユーザーは最高権限を保有しているので、何でもやり放題です。
他人には使わせたくないユーザーですよね?
今回はセキュリティ面でも重要な、AWSのユーザーの種類について解説します。
- AWSのユーザーについて知りたい
- AWSのユーザーの制御をしたい
- グループ分けをしたい
なぜユーザーを分けるのか?
まずはなぜシステムでユーザーを分けなくてはならないのかを説明します。
それは下記のような点から必要であると言えます。
- 必要のない権限を与えてしまうリスク
- 共有のユーザーを使用すると、不正をしやすくなる
- 思わぬミスが大事故につながる
順番に説明していきます。
必要のない権限を与えてしまうリスク
会計システムを例にしてみましょう。
会計システムで、管理者権限を持ったアカウントを新入社員に付与したとして、何が起こるか?
例えばですが、必要のない仕訳データを作成したり、間違えているデータを承認してしまったり。
あるいは、大事なデータを削除してしまったり、といった事故が起こりえます。
何もわからない新入社員に管理者権限を付与するのはあまりにダメな運用です。
部を統括する部長クラスなら管理者権限を持ってもよいでしょう。
ですが、一般社員に管理者権限を持たせるのはよくないことは、この例からしても明らかです。
権限を与えてしまうリスクを考慮しないといけません。
共有のユーザーを使用すると、不正をしやすくなる
ユーザーを分ける利点して、不正を未然に防ぐ効果があります。
例えば、10人くらいで共有でユーザーを使用していたとします。
そこで、ある1人の人が不正をしたとします。
しかし、その不正を暴くのは困難になります。
共有用のユーザーのログは残りますが、10人も容疑者がいるので、誰が犯人かはわかりません。
なので、ログをとるためにもユーザー個々で分けた方がよいです。
思わぬミスが大事故につながる
管理者権限があると、大抵何でもできます。
そのため、思わぬ操作をしてしまう場合もありますし、また悪意を持って必要のない操作をすることも可能でしょう。
これらは組織にとって不利益を被ります。
このような事故や不正を防ぐためにも、適切な権限を付与することが重要です。
AWSへのアクセスを安全にする
これまでルートユーザーを扱ってきたことは先ほど説明しました。
ですが、ルートユーザーだけでは、万が一このユーザーが乗っ取られると好き放題されてしまいます。
ですので、認証とアクセス許可を行うIAM(アイエーエム)という仕組みを利用します。
IAM
IAMとはAWSリソースへのアクセスを安全に管理するための仕組みです。
認証を用いて管理します。
認証とは、各ユーザーにIDを割り振り、それぞれのパスワードで管理する方法です。
次に、IAMはアクセス許可をそれぞれのユーザーに付与します。
ユーザーに最低限必要な権限のみを与えるのが基本です!
ルートユーザーとIAMユーザー
ルートユーザーとIAMユーザーの違いについて説明します。
まず、ルートユーザーとはすべての権限を持ったユーザーです。
次に、IAMユーザーとは開発などを行う一般ユーザーになります。
ルートユーザーは解約やIAMユーザーを作成する時などに使います。
ユーザーとグループ
ルートユーザーがIAMユーザーを作成して権限を与えますが、
権限の与え方は個別ではなくグループで与えるのをおすすめします。
例えば、下記のような場合、権限を与えるのが手間となります。
ユーザーの人数分権限付与の作業が発生します。
ですが、下記のようにグループを作成すれば一括で権限を与えることができます。
グループを作成しておけば、新たにIAMユーザーが増えてもグループに追加するだけで、
余計な手間がかかりません。少人数でもグループを作成するようにしましょう。
まとめ
今回はユーザーについての解説をしました。
作業をする場合はできる限り、というかほぼ必須でIAMユーザーを作成して使用することを推奨します。
また、組織が違うのであればグループに分けることも重要です。
なるべく権限を持たせないというのがセキュリティ面で基本となるので、ルートユーザーは極力使用せず、IAMユーザーで必要最低限の権限で運用するようにしましょう。
参考文献
・AWSではじめるインフラ構築入門
関連記事
↓↓↓次回の記事です。
↓↓↓前回の記事です。
コメント