本ブログはAWS login経由でClaudeCode on Amazon Bedrockを利用する際に
付与が必要なIAMポリシーの個人メモです。
以下の3つのポリシー付与をしています。
・AmazonBedrockLimitedAccess
ClaudeCode用のAmazon BedrockのAPIを呼び出す権限(AWSマネージドポリシー)
・SignInLocalDevelopmentAccess
AWS loginの利用に必要な権限(AWSマネージドポリシー)
・non-MFADeny (自作IAMポリシー ※作り方は後述)
多要素認証(MFA)を利用しないでログインしたユーザのAWS利用を拒否する権限
※セキュリティ強化のために追加してます。
この3つのポリシーを付与することで、ClaudeCode on Amazon Bedrockを利用することはできますが、
AWSマネジメントコンソールでの操作は基本出来ません。
Amazon Bedrockのログを確認したい等AWSマネジメントコンソール経由での操作をしたい場合は適宜IAMポリシーの付与が必要です。
※CloudWatch、S3、CloudTrail等
・non-MFADenyのIAMポリシーの記載
多要素認証(MFA)をしない場合の操作を拒否するIAMポリシーです。
パスワード変更、MFA用デバイスの設定のみ可能としてます。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:CreateVirtualMFADevice",
"iam:DeleteVirtualMFADevice"
],
"Resource": "arn:aws:iam::*:mfa/*"
},
{
"Effect": "Allow",
"Action": [
"iam:DeactivateMFADevice",
"iam:EnableMFADevice",
"iam:ResyncMFADevice",
"iam:ListMFADevices",
"iam:ChangePassword"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
},
{
"Effect": "Deny",
"NotAction": [
"iam:CreateVirtualMFADevice",
"iam:DeleteVirtualMFADevice",
"iam:DeactivateMFADevice",
"iam:EnableMFADevice",
"iam:ResyncMFADevice",
"iam:ListMFADevices",
"iam:ListVirtualMFADevices",
"iam:ChangePassword"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "false"
}
}
}
]
}
IAMポリシーを下記のような形でユーザに権限を付与します。
