simplestarの技術ブログ

目的を書いて、思想と試行、結果と考察、そして具体的な手段を記録します。

AWSのAMIの作り方

Amazon のマシンイメージの略字として AMI というものがあるのですけど、要はどの OS で、どの CPU でコア数はいくつか、どんな感じのストレージにするのかなどを指定するわけです。

UIを直感的に操作して AMI を作れると思ったのですが、初めて登録するときにAMIマニフェストパスを求められるのです。
https://s3.amazonaws.com:443/~ の下にあるアレだよアレ 的な感じで

知らんがな、AMIマニフェストパスってなんぞや?

こちらの記事を参考に調べてみた
AWS: AMI の作り方(Amazon Machine Image)

証明書とかの情報を得るのに、まずはIAMというアクセス管理方法のベストプラクティスを読むことにしました。
docs.aws.amazon.com

AmazonWebサービス利用時にはIDとパスワードを利用するわけですけど
いきなり アクセスキー ID およびシークレットアクセスキー つかうなって話から始まる

そう、まずはコンソールにアクセスするのはIDとパスワードを使うことになる
ただし、AWSにフルアクセスできるようなアクセスキーは作らないと持つことはないと示されている
そして、そんなものを利用する機会はないのだから、絶対に作るなということだそうだ

うわ、作ってたし、Terraform でのインスタンス操作に使っていた…
今後のために削除しました。

で?代わりに IAM ユーザーを作ろうって話になっています。

IAMユーザー作成の前に実はグループを理解しないといけなかったんですよ
グループとは名ばかり、役割とでも言った方がしっくり来るでしょうか?
その役割を IAM ユーザーに設定することで管理を行っていくのです

最初は最低限の権限を持つ IAM ユーザーを作り、少しずつ権限を与えていくような運用にしましょう。
ポリシー概要で各グループやIAMユーザーの権限を確認してセキュリティを保ちます

ユーザーごとにパスワードを定期更新するように指示できる設定もあるそうだよ、管理者にとって便利な機能だね
より安全にワンタイムパスワード認証も取り入れられるとのこと(MFAって呼ぶらしい)

IAMユーザーの話を続けていたけれど、IAMロールってのもあるのですよ
IAMロールをアプリとかインスタンスに設定すればアプリ自体が AWS の別のリソースにアクセスできるようになります

説明わかりずらい、 IAM ユーザーが IAM ロールを引き継ぐことができるという文章があるので、ロールは IAM ユーザーに与えるものとして、混乱しながら読むことにしました。

ところで IAM ユーザーはアクセスキーとシークレットキーの二つを持ち、パスワードを持ちません
さらに管理者からIAMユーザーのアクセスキーを非アクティブ化することができます。
私、仕事で使っているアクセスキーを非アクティブ化されてたので、正しい操作を行ってはじかれるという経験をしてハマったことがありました。初めて AWS 触る人は、自分のアクセスキーがアクティブなのか、インフラ担当に聞いてから作業に入りましょう。

じゃ、そろそろ具体的に IAM ユーザー作成と権限の表示というものを見てみましょう
ということで次の記事に進みます