はじめに
今日はAWSのポリシーについてざっくりアウトプットしていこうと思います。
よろしくお願いします(。・ω・)ノ゙
アイデンティティベースのポリシー
グループ・ユーザー・ロールにアタッチするポリシーをアイデンティティベースのポリシーと呼びます。
AWS管理ポリシー、カスタマー管理ポリシー、インラインポリシーが使用できる。
リソースベースのポリシー
S3バケットやSQSキュー、SNSトピックなどに設定するポリシーをリソースベースのポリシーと呼ぶ。インラインポリシーのみが使用できる。
AWS管理ポリシー
AWS管理ポリシーは名前の通りAWSが作成して管理しているポリシーで、AWSアカウントを使い始めた時点ですでに用意されている。複数のユーザー、グループ、IAMロールにアタッチできる。バージョンアップデートもAWSによって行われる。
AWS管理ポリシーAmazonEC2FullAccessはバージョン5まであり、バージョン5がデフォルトのポリシー。
カスタマー管理ポリシー
カスタマー管理ポリシーは「お客様管理ポリシー」や「ユーザー管理ポリシー」と呼ばれることが多い。その名前の通り、ユーザー作成して管理するポリシーで、複数のユーザー、グループ、IAMロールにアタッチできる。バージョンアップデートはユーザーによって行われる。
カスタマー管理ポリシーを変更すると新しいバージョンができます。その新しいバージョンをそのままデフォルトにすることもできますが、以前のバージョンをデフォルトとして適用することもできる。
ユーザー独自の対象のリソースを定義できたり、アクションの組み合わせが可能になるので、最小権限の原則を守りやすくなる。
インラインポリシー
他のグループ、ユーザー、ロールにアタッチする必要のないポリシーはインラインポリシーに設定する。グループ、ユーザーロールのようなIAMエンティティのことをプリンシパルエンティティ(認証対象の識別名)と呼びます。プリンシパルエンティティに埋め込む子ポリシーという意味で、インラインポリシーと呼ぶ。
インラインポリシーはリソースベースのポリシーにも使用できる。
IAMポリシーの評価について
IAMポリシーはAPIアクション実行時に評価されます。まず、拒否されているかどうか評価されて、拒否されていればその時点でアクションは拒否される。
◆「拒否」されていなければ許可されているかどうかが評価される
◆「許可」されいなければ拒否される
明示的に許可されていれば、初めてそのアクションへのリクエストが実行され、許可する範囲が広く拒否した操作が特定されている場合は、AWS管理ポリシーで大きく許可しておいて、カスタマー管理ポリシーで拒否するという方法がよく使われる。
おわりに
今回はポリシーについてまとめてみました
(。・ω・)ノ゙バイバイ