はじめに 来る4月7日、IAM Access Analyzerを使って「アクセスポリシーに基づいた最小権限のIAMポリシー」が作成できるようになりました。 前提として、AWS含むクラウドは可能な限り各ユーザーの権限を絞り、それ以外の余計なことができないように設定することがベストプラクティスとされています。 しかし、このために権限を絞るのは正直面倒です。 「ユーザーやらロールやらが増えすぎて、どれが何を使っているのか洗い出すのも大変」 「AmazonS3FullAccess(S3に関することが全部できる権限)から手作業で権限を絞っていったら、EC2からS3に定期的にログを送信するジョブが動かなくなった」(実話) 「AWSだって『職務機能のAWS管理ポリシー』なんかを用意してくれているんだから大体これで良くない?」 と、(特に個人的にAWSを利用している場合は)IAM管理は重要ながらも杜撰にな