AWS認定資格の受験対策ノートとして、「AWS certification minute」というWikiを運用していた。Professionalレベルまでの認定を得たものの、資格を継続するメリットはないと判断した。
資格更新の受験対策時に書き足そうと考えていたのだが、資格失効とともに、Wikiを順次、移行していくことにした。
impsbl.hatenablog.jp
IAM (Identity and Access Management)
一時的セキュリティ認証情報
STS (Software Token System)を使用して、ユーザーのリソース・アクセスを一時的に許可する。
ユーザーのリクエストに応じて生成される。
AWSのIDを定義せずに、リソース・アクセスを提供できる。
| 認証フェデレーション | 企業ネットワークとのSSO連携。 |
| Web IDフェデレーション | GoogleやFacebookなどOIDC (OpenID Connect)互換アカウントを用いた連携。 |
IAM の一時的なセキュリティ認証情報 - AWS Identity and Access Management
Q: IAM ユーザーは自分用の一時的なセキュリティ認証情報をどのようにリクエストすればよいのですか?
IAM ユーザーは、AWS STS GetSessionToken API を呼び出して、自分で使用する一時的な認証情報をリクエストすることができます。これらの一時的な認証情報のデフォルトの有効期間は 12 時間で、最短が 15 分、最長が 36 時間となっています。
インスタンスプロファイル
IAMロールのコンテナ。
インスタンス起動時に、EC2インスタンスへロール情報を提供する。
注意
AWS マネジメントコンソール を使用して Amazon EC2 のロールを作成する場合、コンソールはインスタンスプロファイルを自動的に作成し、ロールと同じ名前をそのインスタンスプロファイルに与えます。
インスタンスプロファイルに含めることができる IAM ロールは 1 つのみです
JSONポリシー
要素
| Effect | アクセス許可、拒否 |
| Action | 許可、拒否されるアクションのリスト |
| Resource | アクションの対象となるリソースのリスト |
| Condition | アクセス許可を付与する状況。 オプション項目 |
注意
各 IAM ユーザーが関連付けられる AWS アカウントは 1 つだけです。
IAM ユーザー - AWS Identity and Access Management
ユーザー名の変更
ユーザーの名前またはパスを変更するには、AWS CLI、Tools for Windows PowerShell、または AWS API を使用する必要があります。コンソールに、ユーザーの名前を変更するためのオプションはありません。
参考
IAM と連携する AWS のサービス - AWS Identity and Access Management
Amazon EC2 の IAM ロール - Amazon Elastic Compute Cloud
IAM および AWS STS クォータ - AWS Identity and Access Management
IAM JSON ポリシーの要素: Sid - AWS Identity and Access Management
IAMによるAWS権限管理 – IAMポリシーの記述と評価論理 | DevelopersIO
IAM Policy Statementにおける NotAction / NotResource とは? | DevelopersIO
