勘に頼るIAM設計はもう卒業。IAM Access Analyzerで実現する「ログから作る最小権限」 | iret.media

こんにちは、アイレットの日下です。 AWSを運用していて、「管理者権限（AdministratorAccess）を付けているのに、なぜか操作が弾かれる」という謎現象に頭を抱えました。 実は、IAMを「ただのログイン管理」だと思っていると、このAccess Deniedの謎から抜け出せません。 今回は、私が実務を通じて学んだ「IAMの本当の正体」と、どのように権限管理を行うのか、そのポイントを整理しました。 1. IAMの正体は「APIリクエストのたびに動く門番」IAMは、ログインした時だけチェックをしているわけではありません。 コンソールでボタンを押した瞬間、CLIでコマンドを打った瞬間、あるいはLambdaがS3にアクセスした瞬間。すべてのAPIリクエストが発生するたびに、毎回「この操作を許可していいか？」を裁いています。 ここで重要なのが、IAMには「鉄の掟」があることです。 「ダメ」

[yo_aibou]

「要配慮個人情報・社内秘等のデータが保管されてるけど、アクセスあったのでポリシーで許可しました」とか「1年に1回必要な作業が権限エラーになりました」とか考えられる不都合は色々あるけど対応どうするんだろう