はじめに
最近、AWS の IAM 触り始めて色々気を付けないといけないことがでてきたので共有する
IAM なんやいね
AWS IAM はユーザーのアクセス制限を管理したり、リソースからリソースへのアクセス制御を管理したりと主に AWS のアクセス関連全般を制御するサービス
なので、IAM の操作をやらかすと重大なインシデントが起きる代物になったりする
気を付けること1:ロールはポリシーまでチェック
当たり前のことですが、ロールには複数のポリシーがアタッチされています。ロール名で「あー××のロールなんだなー」と名前だけで判断せず、何のポリシーがアタッチされているのか?そのポリシーは何を許可、不許可、どんな条件かを確実に確認するべきです。その確認によってインシデントを回避できるなら儲けもんです
気を付けること2:むやみにグループにユーザーをアタッチしない
特に本番環境を更新できてしまうようなポリシーがグループに含まれているなら基本アタッチしないこと。このようなグループにユーザーを追加してしまうといつでも本番環境を更新し放題になってしまう。組織には、それらを考慮した何かしらの仕組みがおそらく作られていると思われるのでちゃんと確認すること
気を付けること3:ポリシーは必要最低限の権限で
むやみに多くのリソースを許可をするようなポリシーにしない。特にアスタリスクはあまり使わないようにする。最低限の権限でリソースを触るのが賢明
おわりに
また気を付けることがあったら更新していく