IAMポリシーとは
AWSのIAMユーザーに対してIAMポリシーを使用してそのアカウント内のAWSリソースに対するアクセス許可を定義します。IAMポリシーは許可権限を規定するJSON形式のドキュメントです。
特徴
AWS 管理ポリシーは、AWS が作成および管理するスタンドアロンポリシーです。
スタンドアロンポリシーとは、ポリシー名を含む独自の Amazon リソースネーム (ARN) の付いたポリシーです。AWS 管理ポリシーは、多くの一般的ユースケースでアクセス許可を提供できるように設計されており、管理者権限ポリシーを付与したIAMユーザーによってIAM管理権限が利用されます。
インラインポリシーは、1 つのプリンシパルエンティティ (ユーザー、グループ、またはロール) に埋め込まれたポリシーであり、つまり、プリンシパルエンティティに固有です。プリンシパルエンティティの作成時、またはそれ以降で、ポリシーを作成してプリンシパルエンティティに埋め込むことができます。各用途向けにさまざまなポリシーが用意されています。通常、インラインポリシーではなく、管理ポリシーを使用することが推奨されており
サードパーティーのポリシーを利用することは適切ではありません。
カスタマー管理ポリシーはユーザーの AWS アカウントで管理できるスタンドアロンのポリシーとなります。これによって管理者権限を利用することも可能ですが、独自の設定作業が必要であり最も容易に利用できるIAMポリシータイプではありません。
AWSアカウントにデフォルトで「FullAWSAccess」が付与されている場合にどのように許可形式のSCPが機能するかについての理解が問われています。
デフォルトで「FullAWSAccess」が付与されている場合は全てのリソースに対する全ての操作が明示的に許可されている状態となります。
そこにホワイトリスト形式(特定の操作の許可を与えるポリシー)で特定のリソースに対する許可を与えても、「FullAWSAccess」が付与されているため、結局は全てのリソースに対する許可が継続して、何も変わらないことになります。
このように特定の操作に絞って新規にSCPを設定したい場合は、そのSCPアタッチしたあとに「FullAWSAccess」をデタッチしなければ機能しません。
インラインポリシーとは?
インラインポリシーとはユーザーが⾃⾝で作成および管理するポリシーのこと。
1つのプリンシパルエンティティ (ユーザー、グループ、またはロール) に埋め込まれたポリシーで、
プリンシパルエンティティにアタッチされる固有のポリシーのこと。
カスタマーポリシーとは?
AWSアカウントが作成・管理するポリシーのこと。
AWS管理ポリシーとは?
AWSが提供するポリシーのこと。
スタンドアロンポリシーとは?
スタンドアロンポリシーとは、ポリシー名を含む独自の Amazon リソースネーム (ARN) の付いたポリシーのこと。
ユースケース
IAMユーザーを作成して、AWS利用者へのアカウント権限を発行する必要があります。
アカウント権限として管理者権限を有するユーザー2人へのIAMポリシーが必要です。
この権限管理を実施するために、最も容易に利用できるIAMポリシータイプ
AWS 管理ポリシーの管理者権限を利用する