この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
こんにちは。くろの(福田)です。
先週、AWSのオンラインセミナーシリーズである「ほぼ週刊AWSマイスターシリーズ」が開催されました。第4回目は片山さんによるIAM、Identity FederationとConsolidated Billingです。
■開催概要
- 日時:2011年10月19日(水)17時~18時
- 場所:オンラインセミナー
- 講師:AWS片山さん
[slideshare id=9767957&doc=aws-meister-iam-and-billing-111019051530-phpapp02]
AWSマイスターシリーズはほぼ毎週AWSの中の人がAWSの各サービスに関して詳細に解説をしてくれるとてもとてもとてもとてもありがたいオンラインセミナーです。
クラスメソッドでは先週も多くの社員がセミナーに参加しました。
■IAMの概要
- IAM(アイアム)
- AWS利用者の認証とアクセスポリシーを管理する仕組み
- AWS操作のためのグループ、ユーザーの作成が可能
- 「EC2インスタンスの起動」や「このS3へのPUT」のようなAWS操作に対するアクセス制御が行える
- ユーザーとグループで管理
- ユーザー毎に認証情報の発行とアクセスポリシーの設定が可能
- グループに対してアクセスポリシーを設定できる
- グループにユーザーが所属できる
■IAMのユースケース
- セキュリティの向上
- IAMユーザーは簡単に無効化できる
- バックアップ専用ユーザー
- EBSスナップショットのみ可能なユーザーでバックアップを実施
- 操作を誤ってもEC2を止めたり出来ない
- ユーザー毎のS3バケット割り当て
- 1アカウントでS3を分割して使用できる
■Identity Federationの概要
- 企業/組織の認証機構とAWSの認証を紐付ける機能
- 例えばLDAP認証したユーザーに対してS3のアクセス権を付ける、といった連携が可能
- 認証したユーザー(Federatedユーザー)毎に、一時的なAWS認証情報(Temporary Security Credentials)を発行
■Identity Federationのユースケース
- モバイルアプリケーション
- システムログインしたモバイルアプリユーザーごとにテンポラリの認証情報を作成
- モバイルから直接S3にアップロード可能
- 有効期限があるため、セキュア
- 一時的なアクセス権限の譲渡
- 組織ユーザー毎のアクセス制御
■Consolidated Billingの概要
- AWSの費用請求をまとめられるサービス
- 複数アカウントの費用を一つのアカウントの下にまとめられる
■Consolidated Billingの利点
- 支払いの一元化が可能
- アカウントごとの利用明細の確認が可能
- 通信料やデータ量は全アカウントを合算
- リザーブドインスタンスの費用の融通が可能
おしまい
8
