Permissions ユースカジノ 登録を使ってみた

投稿日: 2024/01/25

はじめに

こんにちは。ユースカジノ 登録の朴木です。

みなさんPermissions ユースカジノ 登録って利用されていますでしょうか。

私のPermissions ユースカジノ 登録の最初のイメージはIAMポリシーみたいなもの、IAMポリシーと合わせて権限を制御するものというふわっとした印象しかもっていませんでした。
IAMポリシーとどう使い分けたらいいのか自分の中で整理できていなかったため、この機会に知識を深めるべく、今回はこのポリシーについて記載していきます！
今後、IAMの管理を委任したいと考えているという方はご参考いただけると嬉しいです。

Permissions ユースカジノ 登録とは

Permissions ユースカジノ 登録は「アクセス許可の境界」として、IAMユーザやIAMロールに対して、IAMポリシーに加えて付与することができるポリシーです。Permissions ユースカジノ 登録を設定することで、アイデンティティベースのポリシーとそのアクセス許可の境界の両方で許可されているアクションのみが実行可能となります。
IAMポリシーとPermissions ユースカジノ 登録ポリシーがIAMユーザに付与されている場合、そのIAMユーザは共通している権限の範囲までしかアクセスできず、下記のような例の場合はIAMとS3の読み取りアクセスしかできません。

IAMポリシーを2つ付与すればいいのでは？
と思うかもしれません。たしかに1つや2つのユーザを作成するだけであればIAMポリシーを付与するだけで事足りることでしょう。
しかし、AWS環境の規模が大きくなり、それにともない開発者や運用者などのユーザ増えたとき、IAMユーザやロールに付与すべき権限を管理しきれるでしょうか。制限すべき権限の付与に関してミスを防ぐためにもIAMの運用について見直しが必要になってきます。
Permissions ユースカジノ 登録が利用される具体的なケースとしては、AWS環境の統括管理者がIAMユーザ・ロール等を発行する担当者に対して安全にIAM管理を委任するために利用されます。

Permissions ユースカジノ 登録を用いるときは、制限したいアクセス権限の付与はもちろんですが、加えて、そのPermissions ユースカジノ 登録ポリシーが付与されていることを条件にIAMユーザやIAMロールを作成することをポリシーの権限内に組み込めば、制限したいアクセス権限を抜け漏れなく付与されたユーザ・ロールのみが作成されることになります。

今回は例として下記の要件があることを想定して権限を作成します。
AWS環境管理者はIAM関連（作成・変更・削除）の管理はIAM管理者に委任し、特定の証跡のみ設定変更をできないようにしたいと考えています。IAM管理者にはIAMフルアクセスを付与します。そして安全な委任（付与する権限のミスを最小限にする）のためにはPermissions ユースカジノ 登録を利用して、そのPermissions ユースカジノ 登録が付与されていない場合にはIAMユーザ・ロールの作成ができないようにしたいです。

• AWS環境内全体の要件
  • 特定の証跡の変更削除不可
• IAM管理の要件
  • 付与しているPermissions ユースカジノ 登録ポリシーの変更削除
  • 作成するIAMユーザ・IAMロールにはPermissions ユースカジノ 登録を付与する

それでは上記の要件を踏まえてPermissions ユースカジノ 登録ポリシーを作成してみましょう！

Permissions ユースカジノ 登録 ポリシー内容

下記内容でPermissions ユースカジノ 登録ポリシーを作成します。

• Permissions ユースカジノ 登録のポリシー名：TestPermissionsユースカジノ 登録
• Permissions ユースカジノ 登録の内容
  • 「test-cloudtrail」の証跡設定の変更・削除を禁止する
  • Permissions ユースカジノ 登録（許可の境界）に「TestPermissionsユースカジノ 登録」ポリシーが付与されていないIAMユーザ・IAMロールの作成を禁止する
  • 「TestPermissionsユースカジノ 登録」ポリシーの変更・削除を禁止する

TOP

このポリシーのポイントは「"Sid": "DenyWithoutユースカジノ 登録"」と「"Sid": "Denyユースカジノ 登録PolicyModify"」の制限です。
"Sid": "DenyWithoutユースカジノ 登録"に記載している権限より、「TestPermissionsユースカジノ 登録」ポリシーがない場合にIAMユーザ・ロールの作成を制限し、"Denyユースカジノ 登録PolicyModify"に記載している権限より、このPermission ユースカジノ 登録ポリシーの変更・削除ができないようになっています。よって作成されるIAMユーザ・ロールは必ず本ポリシーが付与されるのに加え、Permission ユースカジノ 登録ポリシーの変更・削除もできないため、安全にIAM管理を委任することが可能になります。

Permissions ユースカジノ 登録の設定方法

それでは早速設定してみましょう！
AWSコンソールへログインし、検索画面からIAMサービスを検索してサービス画面へ遷移します。

左ペインの「ポリシー」を選択し「ポリシーの作成」ボタンをクリックします。

「JSON」ボタンをクリックします。上記にて記載した「TestPermissionsユースカジノ 登録」ポリシーの内容を記載し、「次へ」ボタンをクリックします。

ポリシー名を入力し、「ポリシーの作成」ボタンをクリックします。

これでPermissions ユースカジノ 登録のポリシー作成が完了しました！
それではIAM管理者のユーザを作成し、Permissions ユースカジノ 登録を設定しましょう。IAM管理者にはIAMFullAccessの権限を付与します。

左ペインの「ユーザー」を選択し「ユーザーの作成」ボタンをクリックします。

ユーザー名を入力し、AWSマネジメントコンソールへのユーザーアクセスを可能にするようチェックをいれて「次へ」ボタンをクリックします。

許可ポリシーに「IAMFullAccess」を入力し、ポリシーにチェックをいれます。「許可の境界を設定 - オプション」のタブを開き、チェックボックスにチェックをいれ、先ほど作ったポリシー名を入力し、ポリシーを選択して「次へ」ボタンをクリックします。

内容を確認し、「ユーザーの作成」ボタンをクリックします。

これでIAM管理者のユーザ作成が完了しました！

検証

それでは試しにIAMユーザを払い出してみましょう。
さきほど作成したIAM管理者ユーザにてコンソールへログインし、ReadOnly権限を付与したIAMユーザを作成してみます。
まずはPermission ユースカジノ 登録ポリシーを設定せずに作成してみます。
下記の設定でユーザを作成してみます。

すると下記のエラーが表示され、Permission ユースカジノ 登録が設定されていないため、やはり作成できませんでした。

では、Permission ユースカジノ 登録ポリシーを加えて作成してみましょう。

「TestPermissionsユースカジノ 登録」ポリシーをPermission ユースカジノ 登録に設定することで、作成が完了できました！

おわりに

いかがでしたでしょうか。
Permission ユースカジノ 登録ポリシー内に、アクセス制限したい内容に加え、そのポリシーの変更・削除を禁止することと、Permission ユースカジノ 登録ポリシーが設定されていないIAMユーザ・ロールの作成を禁止することについて権限を記述しておけば、IAM管理者は意図しない（アクセス制限ができていない）ユーザ・ロールの作成を未然に防ぐことが可能になります。
Permission ユースカジノ 登録をうまく活用することによりIAMユーザ・ロール作成等で発生しうるリスクの回避につながるため、これからIAM管理の委任を考えている方はぜひ取り入れてみてください。

ユースカジノ 登録は、AWSのビジネス利活用に向けて、お客様のステージに合わせた幅広い構築・運用支援サービスを提供しています。
経験豊富なエンジニアが、ワンストップかつ柔軟にご支援します。
ぜひ、お気軽にお問い合わせください。