よく訓練されたアップル信者、都元です。以前IAMによるAWS権限管理 – IAMポリシーの記述と評価論理というエントリにて、IAMポリシーの書き方を解説しました。 先のエントリで、ポリシーステートメントはEffect, Action, Resourceから成る、という説明をしました。これはこれで基本的に間違い無いのですが、Actionの代わりにNotAction、Resourceの代わりにNotResourceというキーが利用できる、ということを本日はご紹介しようと思います。 Allow-NotActionとDeny-Actionの違い ステートメントにおけるNot〜を理解するにあたって理解しなければならないのはこのテーマに尽きます。下記2つのポリシーはどう違うのでしょうか。 Allow-NotActionパターン { "Version":"2012-10-17", "Statement"