非エンジニアにこそ知ってほしいAWSのアカウント管理
森永です。
今回は技術寄りの話ではなく、概念的な話です。
がっつりインフラエンジニアの方というよりは、情シスなどでAWSに関わるの非エンジニアの方向けに書いていきます。
AWSを利用する上ででてくる「アカウント」についてまとめてみました。
オンプレと何が違うの?、というお話をよく耳にしますので、オンプレとの対比を挟みながら説明していきます。
AWSで使用するアカウント
AWSでは以下の3つのアカウントに大別されます。
- OS(Linux/Windows)アカウント
- IAM
- AWSアカウント
この中でさらに2つに大別でき、OSアカウントはOS以上のレイヤについて、IAMとAWSアカウントは物理やネットワークレイヤといったAWSで管理されるレイヤについて管理するアカウントになっています。
各アカウントについて、管理方針も含めてもう少し深くまとめていきます。
OSアカウント
特に説明はいらないかと思いますが、LinuxやWindowsOS上で作成するアカウントのことです。
OSの設定やミドル、アプリの設定などを行うことが出来ます。
物理サーバが仮想サーバになった時と同じように、クラウドに移行してもOSアカウントでやることはほぼ変わりません。
オンプレと同様に操作し、管理を行っていただければ大丈夫です。
IAM
ここからがAWS移行してから初めて出てくる概念になります。
AWS上で作成することが出来るアカウントで、AWSのサービス(EC2、RDS、S3など)を管理することができます。
オンプレでいうところのデータセンター作業を行えるアカウントと考えればわかりやすいでしょうか。(実際はもっと色々できます。)
新しいサーバをラックに組み込む、ネットワーク機器の設定をする、サーバの起動・停止をする、サーバを撤去するなど、今までデータセンターで行っていたことを管理コンソールから行うことができます。
加えて、IAMでは権限で各操作に制限をかけることもできます。
サーバの起動・停止はできるが、新しくサーバを建てたり、削除したりは出来ないといった、権限管理を行うことが可能になります。(更に細かく、このサーバは出来る、このサーバは出来ないといった設定も可能です。)
IAMを管理する上で必要となる項目は以下の様なものが挙げられます。
- IAMユーザの払い出し
- IAMポリシーの策定(権限管理)
- MFA(Multi-Factor Authentication)デバイスの管理
IAMユーザの払い出しは、管理コンソールにアクセスする人毎に、権限は最低限割り当てることがベストプラクティスとなっています。
MFAはいわゆるワンタイムパスワードと呼ばれるもので、ハードウェアトークンを使ったものと、ソフトウェア *1で実現したものがあります。
固くやるのであればハードウェアトークンで設定し、金庫保存になると思いますが、一般的には各自ソフトウェアMFAデバイスを設定する程度で十分かと思います。
IAMにもユーザ、ロールなどいくつか種類があるのですが、今回は割愛します。(弊社ブログにディープな内容であればたくさん記載がありますので是非。)
AWSアカウント
最後に、AWSアカウントですが、契約の主体となるユーザでIAMの親玉とも言える存在です。
あらゆる操作を行うことができ、権限管理のようなもので縛ることは出来ません。(Linuxでいうrootユーザです。)
AWSアカウントでしか出来ない(IAMの全権限を与えても出来ない)ことは、契約関連のことだけ *2なので、原則として使用せず、MFAデバイスをつけて厳重に保管しておくことをオススメします。
まとめ
IAMはエンタープライズにおいては非常に重要な要素となります。
AWSの中でも一番セキュリティ事故の原因になるところですので、しっかりと管理をしないといけません。
アカウント管理が面倒という方は、弊社サービス「クラスメソッド・メンバーズ」 *3をご契約いただければ、AWSアカウント、IAMの管理を弊社に一任することが出来ます。
弊社内のIAMに精通したエンジニアが適切に管理をしておりますので、ぜひご一考下さいませ。
今度はIAMについてもう少し深い内容をまとめようかと思います。
参考文献
IAM とは? - AWS Identity and Access Management
IAM のベストプラクティス - AWS Identity and Access Management
脚注
- Google Authenticatorが有名です。 ↩
- 契約解除、支払い方法変更などです。
ちなみにCloudFrontのキーペア作成もIAMでは出来ませんが、今回の内容的に割愛します。興味のある方はこちらを御覧ください。 ↩ - クラスメソッド・メンバーズ ↩