環境構築を行う際、開発担当者にAdministrator権限が必要なことがあります。
しかし、CloudTrail等、セキュリティ関連の設定を勝手に変更されては困ります。
そこで、NotActionを用いてCloudTrailの読み取り以外の操作をすべて拒否するIAMポリシーを作成し、アタッチすることにしました。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyCloudTrail",
"Effect": "Deny",
"NotAction": [
"cloudtrail:List*",
"cloudtrail:Get*",
"cloudtrail:Describe*"
],
"Resource": "arn:aws:cloudtrail:*:*:*"
}
]
}
ポイントは、以下のようにResource部分を詳細に記述することです。
"Resource": "arn:aws:cloudtrail:*:*:*"
Resource部分を"*"にすると、CloudTrail以外の全サービスの権限が明示的に拒否されるため皆さんも注意してくださいね。
"Resource": "*"