8
3

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

[AWS] CloudWatchFullAccessV2とV1の違い

Last updated at Posted at 2023-10-24

2023/10/23(月)の深夜に「[Action Required] Changes to AWS Managed Policy 」というメールが来ていたので見てみると、AWSマネージドポリシーの CloudWatchFullAccess を何かに使っているのでCloudWatchFullAccessV2 に変えてねというメッセージでした。

ということで CloudWatchFullAccessV2 と V1 の中身を比較してみました。

違い

結論から言うと、表のように Allow(許可) されるアクションが変更されていました。

AutoScalling と SNS について、V1では * でまるっと Allow されていたのが、V2 ではより細かくアクションが絞られたという感じですね。

V1 V2
autoscaling:Describe* application-autoscaling:DescribeScalingPolicies
autoscaling:DescribeAutoScalingGroups
autoscaling:DescribePolicies
sns:* sns:CreateTopic
sns:ListSubscriptions
sns:ListSubscriptionsByTopic
sns:ListTopics
sns:Subscribe

あとは細かいですが、それぞれのステートメントに「"Sid": "CloudWatchFullAccessPermissions"」のような内容を表す Sid が付加されています。

CloudWatchFullAccessV2

新しい方の CloudWatchFullAccessV2 の中身は以下の通りです。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CloudWatchFullAccessPermissions",
            "Effect": "Allow",
            "Action": [
                "application-autoscaling:DescribeScalingPolicies",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribePolicies",
                "cloudwatch:*",
                "logs:*",
                "sns:CreateTopic",
                "sns:ListSubscriptions",
                "sns:ListSubscriptionsByTopic",
                "sns:ListTopics",
                "sns:Subscribe",
                "iam:GetPolicy",
                "iam:GetPolicyVersion",
                "iam:GetRole",
                "oam:ListSinks"
            ],
            "Resource": "*"
        },
        {
            "Sid": "EventsServicePermissions",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/events.amazonaws.com/AWSServiceRoleForCloudWatchEvents*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "events.amazonaws.com"
                }
            }
        },
        {
            "Sid": "OAMReadPermissions",
            "Effect": "Allow",
            "Action": [
                "oam:ListAttachedLinks"
            ],
            "Resource": "arn:aws:oam:*:*:sink/*"
        }
    ]
}

CloudWatchFullAccessV1

こちらが従来の CloudWatchFullAccessです。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "autoscaling:Describe*",
                "cloudwatch:*",
                "logs:*",
                "sns:*",
                "iam:GetPolicy",
                "iam:GetPolicyVersion",
                "iam:GetRole",
                "oam:ListSinks"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/events.amazonaws.com/AWSServiceRoleForCloudWatchEvents*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "events.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "oam:ListAttachedLinks"
            ],
            "Resource": "arn:aws:oam:*:*:sink/*"
        }
    ]
}

警告メールには
「何もしなかった場合、ユーザー、グループ、またはロールにポリシーがアタッチされているアカウントには、アカウントのポリシーが引き続き表示されますが、新しいユーザー、グループ、またはロールにポリシーをアタッチしたり、AWS IAM コンソールで廃止されたポリシーを表示したりすることはできません。 」(日本語訳)
とあるので既存リソースについて取り急ぎ対応は不要かと思っています。※

ただ、新規には利用できないようなので、Terraform のモジュールで extend_policy しているものがある場合には修正しておかないといけないのかなと考えています。

他にこんな対応が必要などあれば教えていただけると嬉しいです。

ありがとうございました。

※追記
AWSサポートに問い合わせて、正式に「V1ポリシーも引き続き完全にサポートされます。」という趣旨の回答をもらえました。ただし、将来的(時期未定)には廃止予定なので、急ぎの対応は必要ないものの、やはりV2への移行を推奨するとのことでした。

8
3
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
8
3

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?