AWSのIAM & STSの基礎知識 (original) (raw)

ちょっとマニアックですが、AWSのIAMやSTSについてどのようなものかを調べたので、完全俺得メモです。
理解が間違ってそうなところがあればぜひTwitterとかで突っ込んでくださいw

🚌 IAMとは？

IAMとは「AWS Idエンティティand Access Management」の略で、AWSのアカウントがもつ権限を一部他人に付与できるしくみ。

機能としては次のようなものがある。

次のいずれかの方法でIAMを使うことができます。

AWS マネジメントコンソール
AWS コマンドラインツール
- AWS Command Line Interface (AWS CLI)
  - AWS サービスを管理するための統合ツール
  - aws/aws-cli - GitHub
- AWS Tools for Windows PowerShell
  - Windows PowerShell スクリプト環境でAWSサービスを管理できる
AWS SDK
- Java、Python、Ruby、.NET、iOS、Android などのライブラリとサンプルコードで構成されたソフトウェア開発キット(SDK)
IAM HTTPS API
- サービスに HTTPS リクエストを直接発行できる IAM HTTPS API

AWSマネジメントコンソールを使用し、AWSアカウントの下でユーザーを作成して、そのアクセス許可
- 使用を開始する - AWS Identity and Access Management
使用している認証システとAWSの間でのIDフェデレーション。ユーザーに対して、アクセストークンを発行
- http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_temp.html
- AWS Security Token Service(STS) APIの詳細 => Welcome - AWS Security Token Service
IAMを使用して、ほかのAWSアカウントにアクセス許可を付与する方法

STSとは、AWS Security Token Serviceの略。AWSリソースへのアクセスを制御できる一時的なセキュリティ認証情報をもつ、信頼されたユーザーを作成・提供するためのしくみです。

IAMユーザーが使用できる長期的なアクセス情報と似ているが違いは次の点。

このSTSを使うメリットは次のとおり。

フェデレーションは「組織間の結合という意味」。フェデレーションとは、イントラネットを超えて
他社のシステムやアプリケーション、サービスとの間でシングルサインオン(SSO)やWebサービスの
処理結果をほかのサービスに受け渡す技術、もしくはそれを実現する考えのことである。

Web IDフェデレーションとは、Facebook、Googleアカウントを利用して、ユーザーにサインインしてもらうことができる。
その認証情報をSTSによってAWSアカウントのリソースを使うための一時的なアクセス権に変換できる。

Web IDフェデレーションを使用すると、アプリケーションでIAMユーザーアクセスキーのような長期的なセキュリティ認証情報を配布する必要がないので、AWSアカウントの安全性の維持に役立ちます。

ちなみに、興味をもったキッカケの記事。これはたしかにすごい便利そう。

「VULTR」はVPSサーバのサービスです。日本にリージョンがあり、最安は512MBで2.5ドル/月($0.004/時間)で借りることができます。4GBメモリでも月20ドルです。最近はVULTRのヘビーユーザーになので、「ここ」から会員登録してもらえるとサービス開発が捗ります！