Q&A
「何」に「どのような」ポリシーが必要だと考えたのでしょうか?
RDSとかElastiCacheに書き込む時にわざわざIAMポリシーを付与しなくても書き込めたりCRUD操作できるのは、なんでなんですかね?
内部的には、結局MySQLやRedisにアクセスしていて、serviceを利用しているわけではないからポリシーがいらないという認識でいいんですかね?
ドキュメント等を探しても見つからず、どなたかわかる方いれば教えてください。
参考の記事等を貼り付けるとかでも情報提供していただけると嬉しいです。
ec2やecsに対してアドミニストレータ権限を付与しなくても、サーバー内のアプリケーションからDBへの書き込みや読み込みができることに疑問を感じました。
回答2件
0
IAMで制御するのはAWSのAPIに対するアクセスであって、RDSやElasticacheなどはマネージドとはいえあくまでもそこに乗っているのはDBやKVSなのでAWSのAPIと関係なくアクセスが出来ます。
EC2インスタンスにSSHしたり、もっというとEC2インスタンスに乗せたアプリケーションにブラウザからアクセスするのにもIAMは要りませんよね?
これらに関してはAWSがサービスとしてその部分まで抽象化していないので、AWSのAPIではないところからアクセスができると理解して良いと思います。
一応RDSに関してはIAMによるアクセス制御「も」できます。
投稿2021/10/27 03:36
総合スコア7447
0
IAMポリシーは、あくまで1選択肢に過ぎません。他の方法でシステムを成立させられるなら、出番がないこともありえます。
たとえば、
- 同じVPCにあるEC2→RDSの通信はセキュリティグループでVPC内のIPアドレスに対して許可する
- RDS自体のログイン認証はID/パスワードで行う
というような状況では、IAMポリシーは不要です。
投稿2021/10/27 02:13
編集2021/10/27 02:14総合スコア145201
> ec2やecsに対してアドミニストレータ権限を付与しなくても
「自動的にRDSを作成する」ような状況ならともかく、すでにあるRDSへ接続するのになぜ必要だと考えたのかが把握できませんでした。
あなたの回答
tips
プレビュー
