IAMアクセス許可の境界でIAMロールの権限を制御する - ヤマムギIAMユーザー自身の権限はIAMポリシーで制御できますが、IAMユーザーにIAMロールを作成する権限を自由に許可することで、そのIAMユーザー自身以上の権限が許可されたIAMロールが作成され、EC2やLambdaに設定されることで、IAMユーザーは自身以上の権限でAWSの操作が行えます。 IAMアクセス許可の境界を使用することで、IAMユーザーは指定された権限範囲を超えるロールの作成ができなくなります。 ユーザーガイドIAM エンティティのアクセス許可の境界を参考に検証をしました。 こちらのユーザーガイドではIAMユーザーの管理を移譲されたIAMユーザーのシナリオですが、IAMロールを作成する開発者に置き換えて検証してみました。 まずIAMユーザーにアタッチするIAMポリシーの例です。 ポリシー名: DelegatedRoleBoundary { "Version": "2012-10-1
aws-cf-templates/security/cloudtrail.yaml at master · widdix/aws-cf-templates
