AWSではいろいろなサービスを組み合わせて情報を守る

　AWS上に構築したシステム、データを安全に管理するにはどうすればよいでしょうか。

　オンプレミスの場合、データセンターにサーバー機器を設置して、設定を行い、インターネット回線を敷設して、やっとインターネット経由でシステムが操作できるようになります。また、勝手にデータセンターに入られて、新たに大きなシステムを勝手に作られるといった心配はないでしょう。

　AWS（クラウド）の場合はどうでしょうか。AWSアカウントを作成した直後に、管理者ユーザー（ルートユーザー）でログインして操作を行います。つまり、このユーザー情報が第三者に漏れると、AWSアカウント内で任意の操作を第三者が実行できるようになり、不正アクセスされてしまいます。アカウント作成直後であれば機密情報は無いですが、不正にEC2などのリソースを大量に作成するといったことは可能です。そのため、誰が、どの操作をできるのかといった設定は慎重に行う必要があります。

　この誰が、どの操作を、という管理は認証・認可の管理になりますが、AWSではIAMというサービスで設定を行います。IAMの詳細は次項で説明します。

　ここまでの説明を読むと、オンプレミスよりもAWSのほうがセキュリティ的に危険と思われるかもしれませんが、決してそんなことはありません。AWSも正しくセキュリティサービスを活用して管理を行えば、オンプレミスと同等またはそれ以上に安全な管理が可能です。また、データセンターやハードウェアの管理はAWSによって安全に行われています。利用者側がオンプレミス環境でAWSと同等のセキュリティを確保しながら、複数の場所の管理を行うのはとても大変で難しいです。

　AWSにはセキュリティサービスや機能が多くあり、初学者には難しいところがあるのも事実です。本連載で重要なセキュリティサービスを一通り紹介するので、そこからAWSの安全な使い方を学んでいってください。

AWS Identity and Access Management とは

　AWS Identity and Access Management（以下、IAM）は、AWSサービスを利用する際の権限管理を行うサービスです。とてもざっくり説明すると、AWSを使うためのユーザーを作り、そのユーザーに「どのサービスのどの機能を利用できるか」という権限を設定することができます。ただ、権限をユーザーでなくサービスに与えたり、一時的な権限を付与したりと、単純な権限管理にとどまらないのがIAMの特徴であり、難しいところです。AWSサービスの操作制御はすべて、このサービスによって管理されます。設定内容は非常に複雑になりがちですが、概要さえ理解しておけばおおまかな動きやできることを把握することが可能です。

IAMユーザー、IAMグループ

　利用者がAWSを操作するために使うのがIAMユーザーです。パスワードなどの認証情報を使ってログイン（認証）すると、IAMユーザーに割り当てられた権限が利用できる（認可）ようになります。


　IAMユーザーはマネジメントコンソールでの操作に使うほか、アクセスキーという認証情報を発行してプログラムなどに権限を使わせることも可能です。同じ権限を持つIAMユーザーをまとめて管理したいときは、IAMユーザーをIAMグループというグループに所属させ、IAMユーザー個別ではなくIAMグループに対して権限を付けることもできます。

【次ページ】IAMポリシーとは