Go to Qiita Advent Calendar 2024 Top
LoginSignup
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@magic10r(mt 636)

AWS IAMでログインユーザー自身だけが編集できる動的なポリシー

Posted at

image.png

はじめに

  • IAMで多要素認証(MFA)を行うために、毎回権限を振るのは大変
  • IAMユーザーグループを作成して、ログインしたユーザーが、ログインしたユーザー自身だけに多要素認証を登録したい
  • 忘れないようにメモ

AWS サービス

  • AWS Identity and Access Management (IAM)

IAM からポリシーの登録

  • IAM からユーザーグループ、ポリシーを登録。ポリシーを更新して完了

ユーザーグループの登録

  • IAM -> 左メニュー -> アクセス管理 -> ユーザーグループ -> グループを作成
  • グループ名を入力して、グループを作成

ポリシーの登録

  • グループを作成後にポリシーを登録になるので、フォーマットを作るためにポリシーエディターの"ビジュアル"モードで、適当に"許可"アクションを登録

image.png

ポリシーの更新

  • IAM -> 左メニュー -> アクセス管理 -> ユーザーグループ -> 登録したユーザーグループ -> 登録したポリシーの編集
  • ポリシーエディターの"JSON"モードで、下記の内容に更新
    • Resourceuser/${aws:username} がポイントです
    {
    Version: "2012-10-17",
    Statement: [
        {
            Sid: "VisualEditor0",
            Effect: "Allow",
            Action: [
                iam:CreateVirtualMFADevice,
                iam:ListMFADevices,
                iam:ListUsers
            ],
            Resource: "arn:aws:iam::[アカウントID]:user/${aws:username}"
        }
    ]
}
  • ポリシーエディターの"ビジュアル"モードで確認すると
    • "JSON"モードだと、1 Statement ですが、"ビジュアル"モードだと、2 Statement に分割されてる
      image.png
    • 1 つ目の Statement
      • ListUsersのみ
        image.png
    • 2 つ目の Statement
      • 2 つのアクション
        image.png
      • リスト
        image.png
      • 書き込み
        image.png
      • リソース
        image.png

おわりに

  • 迷わず、サクッとできた
  • 今後も動的に設定できるがとても便利、他にも使えそう

参考(感謝)

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?