！はじめまして
「はじめましてじゃない人にはじめましての挨拶する時はちゃんと論理否定しなさい」と上司に教わりました。ryosmsです。

今日は社内勉強会として、「IAM勉強会」を開催したので軽く紹介したいと思います。

開催の経緯

弊社ではAWSの運用も行なっていますが、やはりIAM周りは難しいのでよくわからないという課題がありました。

そこで、社内のAWS有識者とそれ以外の人との間での知識の差を埋めるため、AWSをそんなに触ってない人をメインターゲットとして、IAMの簡単な説明や、IAMをどのように設計・運用するか、理想とする運用はどのような形でそこに至るまでにどのようなステップを踏めば到達できるか、みたいなことを説明する社内勉強会を開催しました。

とはいえ、話を聞いただけでIAMを理解するのは難しいと思うので、この勉強会のゴールは「IAM完全にマスターした」を設定しました。

話をした内容

以下のようなことを盛り込んでみました。

IAMリソースの簡単な説明

• ポリシーとは
• ユーザーとは
• グループとは
• ロールとは

IAMの運用方針の指針

• ポリシーはマネージドポリシーを軸に使っていこうとか
• EC2にはIAMロール使えとか
• 慣れてきたらグループ活用しようとか
• 最終的にはスイッチロールを使いこなせるとかっこいいよね、とか

その他

• 補足資料の紹介とか
• 個人のIAM管理方法とか
• とりあえずAWSの薄い本の2章まで読めとか

話をしなかった内容

逆に、以下のような内容は今のタイミングで話をしても「なるほどわからん」になる可能性が高いと思って、詳しい説明は省きました。

SSO

このあたりの話をしだすとAWS Organizationsの話を出さざるを得なくなるのでバッサリ省略して「興味ある人はこのリンク先見ておいてね」としました。

パーミッションバウンダリー

IAMポリシーがわかってないと理解できないだろうなと思って、「こんな機能もあるけどね」という紹介のみにとどめました。
逆に、IAMポリシー周りが理解できればパーミッションバウンダリーもある程度は理解できるのでは？と思っているので、「先にIAMポリシーを理解しよう」と伝えました。

IAMリソースの作成方法

ユーザーやロールの作成に関してはAWSコンソールを触るのが一番早いので説明を省きました。
また、IAMポリシーについては、「ポリシーの設計はやりだすと沼なので、まずはマネージドポリシーを使おうね」という方向に持って行きました。

やってみて

社内チャットに勉強会部屋があるんですが、説明をしてる間に質問が書き込まれたり、有識者がそれに答えたり補足説明したりしてて「社内勉強会慣れしてんな」みたいな感想を持ちました。