開発時におけるステークホルダーのIAMのpermissionsについて考える
手順としては、groupを作成して、次にuserを作成する
### 基本
– 基本的にはサーバーサイドエンジニア以外にはAWSコンソールのアカウントは発行しない
– MFA認証を入れる
– フロントエンドエンジニア、PMはスキル、意欲、プロジェクトによってケースバイケースで検討
## Groupの作成
– set groupで、「dev」グループを作成
## Userの作成
### Access Type
– Programmatic accessとAWS Management Console accessをつける
– 作成した「dev」グループをattachする
### Permission
– 各種 AWS リソースの設定変更作業がある
– IAM の管理権限は与えない
– 自分のPCから aws-cli を使って AWS リソースを管理する
-> 「PowerUserAccess」を付与する
-> IAMのみ参照権限になっている
-> 会社からのアクセスのみを許可する場合、オリジナルのポリシーを作成して json の中に「Conditionエレメント」を記述し、IAM グループに作成したポリシーを割り当て
特定のインスタンスやVPCのみ許可したい場合なども出てくると思うので、PowerUserAccessは現実的でない。
