背景
今日たまたまAWSのマネジメントコンソールにログインしたとき、IAMの管理画面に「AWS Organizations」が増えていたことに気づきました。
ログイン中のIAM Userでは、Oranizationsに対する一切の権限は与えられていないはずなので、押しても何も見えないはずと思い、恐る恐る押してみると、なんとOrganizationsの設定が見えてしまいました。
IAMの管理画面がアップデートされた図
下部に「AWS Organizations」が増えています。
見えないはずのものが見えたの図
IAMの管理画面から、Organizationsの設定が見えています。
原因
Organizationsの権限が付与されたわけではない(その記憶がない)のに、なぜOrganizationsの設定が見えてしまうのか気になりました。
調査したところ、ログイン中のIAM Userには「IAMFullAccess」という管理ポリシーがアタッチされており、この管理ポリシーが最近アップデートされていました。
IAMの管理画面がアップデートされるのを機に、権限が増えたのでしょう。
IAMの管理ポリシーがアップデートされたの図
2019/6/22に、バージョンが増えています。
Version 1
権限は「iam:*」のみです。
Version 2
「organizations」の権限が増えています。
現在の設定は、デフォルトでこのVersion 2になるようです。
教訓
今回、IAMの管理ポリシーが勝手にアップデートされ、権限が増えるという場面に遭遇しました。
つまり、意図せず権限が勝手に増えることを防ぐためには、管理ポリシーを使わず、独自にポリシーを作成してアタッチしなければならないようです。
管理ポリシーは便利ですが、勝手にアップデートすることがあると理解して使うべし、ということですね。