IAMユーザー自身の権限はIAMポリシーで制御できますが、IAMユーザーにIAMロールを作成する権限を自由に許可することで、そのIAMユーザー自身以上の権限が許可されたIAMロールが作成され、EC2やLambdaに設定されることで、IAMユーザーは自身以上の権限でAWSの操作が行えます。 IAMアクセス許可の境界を使用することで、IAMユーザーは指定された権限範囲を超えるロールの作成ができなくなります。 ユーザーガイドIAM エンティティのアクセス許可の境界を参考に検証をしました。 こちらのユーザーガイドではIAMユーザーの管理を移譲されたIAMユーザーのシナリオですが、IAMロールを作成する開発者に置き換えて検証してみました。 まずIAMユーザーにアタッチするIAMポリシーの例です。 ポリシー名: DelegatedRoleBoundary { "Version": "2012-10-1
![IAMアクセス許可の境界でIAMロールの権限を制御する - ヤマムギ](https://cdn-ak-scissors.b.st-hatena.com/image/square/1157a81b96cf19312ed9e81c60789d07eb75a2a6/height=288;version=1;width=512/https%3A%2F%2Fwww.yamamanx.com%2Fwp-content%2Fuploads%2F2021%2F08%2Fpermission-boundary-2.png)