IAMポリシーとは(インラインポリシー、スタンドアロンポリシー

 

IAMポリシーとは

AWSのIAMユーザーに対してIAMポリシーを使用してそのアカウント内のAWSリソースに対するアクセス許可を定義します。IAMポリシーは許可権限を規定するJSON形式のドキュメントです。

特徴

 

AWS 管理ポリシーは、AWS が作成および管理するスタンドアロンポリシーです。

 

スタンドアロンポリシーとは、ポリシー名を含む独自の Amazon リソースネーム (ARN) の付いたポリシーです。AWS 管理ポリシーは、多くの一般的ユースケースでアクセス許可を提供できるように設計されており、管理者権限ポリシーを付与したIAMユーザーによってIAM管理権限が利用されます。

 

インラインポリシーは、1 つのプリンシパルエンティティ (ユーザー、グループ、またはロール) に埋め込まれたポリシーであり、つまり、プリンシパルエンティティに固有です。プリンシパルエンティティの作成時、またはそれ以降で、ポリシーを作成してプリンシパルエンティティに埋め込むことができます。各用途向けにさまざまなポリシーが用意されています。通常、インラインポリシーではなく、管理ポリシーを使用することが推奨されており

サードパーティーのポリシーを利用することは適切ではありません。

 

カスタマー管理ポリシーはユーザーの AWS アカウントで管理できるスタンドアロンのポリシーとなります。これによって管理者権限を利用することも可能ですが、独自の設定作業が必要であり最も容易に利用できるIAMポリシータイプではありません。

 

 

AWSアカウントにデフォルトで「FullAWSAccess」が付与されている場合にどのように許可形式のSCPが機能するかについての理解が問われています。

デフォルトで「FullAWSAccess」が付与されている場合は全てのリソースに対する全ての操作が明示的に許可されている状態となります。

そこにホワイトリスト形式(特定の操作の許可を与えるポリシー)で特定のリソースに対する許可を与えても、「FullAWSAccess」が付与されているため、結局は全てのリソースに対する許可が継続して、何も変わらないことになります。

このように特定の操作に絞って新規にSCPを設定したい場合は、そのSCPアタッチしたあとに「FullAWSAccess」をデタッチしなければ機能しません。

 

インラインポリシーとは?

インラインポリシーとはユーザーが⾃⾝で作成および管理するポリシーのこと。

1つのプリンシパルエンティティ (ユーザー、グループ、またはロール) に埋め込まれたポリシーで、

プリンシパルエンティティにアタッチされる固有のポリシーのこと。

 

カスタマーポリシーとは?

AWSアカウントが作成・管理するポリシーのこと。

 

AWS管理ポリシーとは?

AWSが提供するポリシーのこと。

 

スタンドアロンポリシーとは?

スタンドアロンポリシーとは、ポリシー名を含む独自の Amazon リソースネーム (ARN) の付いたポリシーのこと。

 

 

ユースケース

IAMユーザーを作成して、AWS利用者へのアカウント権限を発行する必要があります。

アカウント権限として管理者権限を有するユーザー2人へのIAMポリシーが必要です。

この権限管理を実施するために、最も容易に利用できるIAMポリシータイプ

AWS 管理ポリシーの管理者権限を利用する

 

 

Twitterでフォローしよう