みなみの風物詩
type
status
date
slug
summary
tags
category
icon
password
 

理論

1. IAMユーザーとIAMロール

  • IAMユーザー は、AWS内でアクセスできるリソースやアクションを定義する認証情報(アクセスキーやパスワードなど)を持つエンティティです。各ユーザーに特定の権限を割り当てることで、リソースへのアクセスを管理します。
  • IAMロール は、特定のアクションを実行できる権限を持つ一時的なアクセス権限のセットです。ロールは、他のアカウントやサービスに対してアクセスを許可する際に利用します。

2. クロスアカウントアクセス

クロスアカウントアクセスとは、1つのAWSアカウントから別のAWSアカウントのリソースにアクセスする 仕組みです。この仕組みを使うことで、異なるアカウント間でリソースのアクセスを適切に管理できます。クロスアカウントアクセスを実現するために使われるのが クロスアカウントロール です。

クロスアカウントアクセスを実現するための手順:

  1. 信頼ポリシー(Trust Policy):クロスアカウントロールには、信頼ポリシー を設定する必要があります。信頼ポリシーは、どのアカウントやユーザーがそのロールを「仮定(assume)」できるかを定義するものです。このポリシーにより、どのユーザーがロールを引き受けてアクセスできるかを決定します。
      • 例えば、管理アカウント の IAM ユーザーが 開発アカウント本番アカウント にあるリソースにアクセスできるようにするため、管理アカウント内で 信頼ポリシー を使って 各メンバーアカウントのロール を仮定できるように設定します。
  1. 仮定(AssumeRole):IAMユーザーが他のアカウントのロールを仮定すると、そのロールの権限を一時的に得ることができます。この仮定されたロールを使用して、メンバーアカウントのリソースにアクセスできます。

3. 最小権限の原則

AWSでは、ユーザーやロールに対して最小権限の原則を適用することが推奨されます。これは、各ユーザーやロールには、そのタスクを実行するために必要な最小限の権限しか与えないという原則です。これにより、セキュリティリスクを最小化できます。

4. VPC ピアリングとトランジットゲートウェイ

  • VPCピアリング:異なるVPC間で直接通信を可能にする方法ですが、異なるアカウント間で複数のVPCが存在する場合、トラフィックが直線的に流れるわけではなく、個別に接続を設定する必要があります。
  • トランジットゲートウェイ:複数のVPCを一元的に接続するための AWS のサービスで、異なるアカウントの VPC間で トランジットルーティング を使用し、より効率的な接続を実現します。特に、多数の VPC が存在する場合、トランジットゲートウェイを利用することで、ネットワークの管理が容易になります。

5. AWS Organizations と Consolidated Billing

  • AWS Organizations は、複数のAWSアカウントを管理するためのサービスです。これを使うことで、複数のアカウントを1つの組織としてまとめ、コストの集約やアクセス管理を効率化できます。
  • Consolidated Billing は、複数のAWSアカウントの請求を一元化する仕組みで、複数アカウントのコストを管理しやすくします。

実践

一問道場

ある企業が、開発と本番のワークロードをAWS Organizations内の新しい組織に移行しています。企業は、開発用の別のメンバーアカウントと本番用の別のメンバーアカウントを作成しました。統合請求は管理アカウントにリンクされています。管理アカウント内で、ソリューションアーキテクトは、両方のメンバーアカウントでリソースを停止または終了できるIAMユーザーを作成する必要があります。
どのソリューションがこの要件を満たしますか?
A. 管理アカウントでIAMユーザーとクロスアカウントロールを作成します。クロスアカウントロールにメンバーアカウントへの最小権限アクセスを設定します。
B. 各メンバーアカウントでIAMユーザーを作成します。管理アカウントで最小権限アクセスを持つクロスアカウントロールを作成します。信頼ポリシーを使用してIAMユーザーにクロスアカウントロールへのアクセスを付与します。
C. 管理アカウントでIAMユーザーを作成します。メンバーアカウントで最小権限アクセスを持つIAMグループを作成します。管理アカウントのIAMユーザーを各メンバーアカウントのIAMグループに追加します。
D. 管理アカウントでIAMユーザーを作成します。メンバーアカウントで最小権限アクセスを持つクロスアカウントロールを作成します。信頼ポリシーを使用してIAMユーザーにこれらのロールへのアクセスを付与します。

解説

選択肢 D では、クロスアカウントロールメンバーアカウントに作成し、そのロールに対して信頼ポリシーを設定して、管理アカウントの IAM ユーザーがそのロールを「仮定」できるようにします。
  • クロスアカウントロールメンバーアカウントに作成します。
  • 信頼ポリシーで、管理アカウントの IAM ユーザーをロールの信頼エンティティとして設定します。
これにより、管理アカウントの IAM ユーザーがメンバーアカウント内のリソースにアクセスして操作できます。
相关文章
クラウド技術の共有 | AWS Site-to-Site
Lazy loaded image
EKSでのWordPressデプロイ:KCNA-JP試験対策 (Kubernetes実践編)
Lazy loaded image
初心者向け!コンテナ化WordPressサイト構築ガイド(超詳細版)
Lazy loaded image
EFSを活用!AWS EC2でDockerを使ったWordPressサイト構築
Lazy loaded image
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
Lazy loaded image
528-AWS SAP AWS 「理論・実践・一問道場」Migration Evaluator
Lazy loaded image
234-AWS SAP AWS 「理論・実践・一問道場」RPO232-AWS SAP AWS 「理論・実践・一問道場」AWS Direct Connect
Loading...
みなみ
みなみ
一个普通的干饭人🍚
最新发布
02-生成AIパスポート試験対策:第2章「生成AI」
02-生成AIパスポート試験対策:第2章「生成AI」
2025-2-1
01-生成AIパスポート試験対策:第1章「人口知能」
01-生成AIパスポート試験対策:第1章「人口知能」
2025-2-1
究極のAWS認定 AI 実践者 AIF-C01 - 学習メモ
究極のAWS認定 AI 実践者 AIF-C01 - 学習メモ
2025-1-27
不要再傻傻的直接买NISA啦
不要再傻傻的直接买NISA啦
2025-1-27
Kubernetes、仮想マシンとコンテナの概念を超簡単に解説!
Kubernetes、仮想マシンとコンテナの概念を超簡単に解説!
2025-1-24
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
2025-1-22
公告
🎉欢迎访问我的博客🎉
- 感谢您的支持 --
本站点于2024/09/01建立
👏主要分享IT相关主题👏
系统管理:
Redhat…
容器和编排:
Kubernetes、Openshift…
云计算:
AWS、IBM…
AI入门
以及技术笔记和考证经验
定期更新,欢迎互动。
感谢访问!
快速浏览相关标签
标签 | みなみの風物詩
自分らしく未来へ
标签 | みなみの風物詩
https://notion-next-theta-gray.vercel.app/tag
标签 | みなみの風物詩
 
目录
0%