【Tips】Admin権限を持っていないIAMユーザでIAM Roleを設定するためのポリシー設定 | DevelopersIO
地味サービス大好き、森永です。 7/7は弊社の創立記念日ということで、地味なネタ無いかなぁと考えていて思いつきました。 今日は物凄い数ブログが出ると思うので埋もれるとは思いますが、必要な人は絶対にいると思い筆を執ります。 序説 AWSでの権限管理と言えばIAM(Identity and Access Management)です。 誰にでもAdmin権限を渡していてはセキュリティ的に怖いですから、権限の調整が必要ですが、そこでハマるポイントを自分の備忘としてまとめておきます。 問題 AWSにはPowerUserというポリシーも用意されているのですが、Adminとの違いは「IAMの操作が出来るか」だけです。 こちらがAdminポリシーです。 全てのアクション、全てのリソースに対する操作が許可されています。 { "Version": "2012-10-17", "Statement": [ {
AWSサービスに渡すIAMロールを制限する | DevelopersIO
EC2インスタンスやLambda関数にはIAMロールをアタッチすることができます。 ゆるいIAMポリシーを採用していると、STS 可能な任意のIAMロールを利用できてしまいます。 この問題を解決するために、IAMロールとロールを利用するAWSサービスのペアを制限する方法を紹介します。 AWSサービスに渡すIAMロールを制限する 例えば、EC2 インスタンスに特定のIAMロールのみアタッチ出来るようにするには、次のように定義します。 { "Version": "2012-10-17", "Statement": [ { "Sid": "IAMPassRoleForEC2", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::12345:role/EC2Role", "Condition": {
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
