TOPコラム一覧ユースカジノ 登録を使ってみた

ユースカジノ 登録を使ってみた

はじめに

こんにちは。カジノゲームの朴木です。

みなさんユースカジノ 登録って利用されていますでしょうか。

私のPermissions boundaryの最初のイメージはIAMユースカジノ 登録みたいなもの、IAMユースカジノ 登録と合わせて権限を制御するものというふわっとした印象しかもっていませんでした。
IAMユースカジノ 登録とどう使い分けたらいいのか自分の中で整理できていなかったため、この機会に知識を深めるべく、今回はこのユースカジノ 登録について記載していきます!
今後、IAMの管理を委任したいと考えているという方はご参考いただけると嬉しいです。

ユースカジノ 登録とは

Permissions Boundaryは「アクセス許可の境界」として、IAMユーザやIAMロールに対して、IAMユースカジノ 登録に加えて付与することができるユースカジノ 登録です。Permissions Boundaryを設定することで、アイデンティティベースのユースカジノ 登録とそのアクセス許可の境界の両方で許可されているアクションのみが実行可能となります。
IAMユースカジノ 登録とPermissions Boundaryユースカジノ 登録がIAMユーザに付与されている場合、そのIAMユーザは共通している権限の範囲までしかアクセスできず、下記のような例の場合はIAMとS3の読み取りアクセスしかできません。

ユースカジノ 登録

IAMユースカジノ 登録を2つ付与すればいいのでは?
と思うかもしれません。たしかに1つや2つのユーザを作成するだけであればIAMユースカジノ 登録を付与するだけで事足りることでしょう。
しかし、AWS環境の規模が大きくなり、それにともない開発者や運用者などのユースカジノ 登録増えたとき、IAMユースカジノ 登録やロールに付与すべき権限を管理しきれるでしょうか。制限すべき権限の付与に関してミスを防ぐためにもIAMの運用について見直しが必要になってきます。
Permissions Boundaryが利用される具体的なケースとしては、AWS環境の統括管理者がIAMユースカジノ 登録・ロール等を発行する担当者に対して安全にIAM管理を委任するために利用されます。

ユースカジノ 登録

Permissions Boundaryを用いるときは、制限したいアクセス権限の付与はもちろんですが、加えて、そのPermissions Boundaryユースカジノ 登録が付与されていることを条件にIAMユーザやIAMロールを作成することをユースカジノ 登録の権限内に組み込めば、制限したいアクセス権限を抜け漏れなく付与されたユーザ・ロールのみが作成されることになります。

今回は例として下記の要件があることを想定して権限をユースカジノ 登録します。
AWS環境管理者はIAM関連(ユースカジノ 登録・変更・削除)の管理はIAM管理者に委任し、特定の証跡のみ設定変更をできないようにしたいと考えています。IAM管理者にはIAMフルアクセスを付与します。そして安全な委任(付与する権限のミスを最小限にする)のためにはPermissions boundaryを利用して、そのPermissions boundaryが付与されていない場合にはIAMユーザ・ロールのユースカジノ 登録ができないようにしたいです。

  • AWS環境内全体の要件
    • 特定の証跡の変更削除不可
  • IAM管理の要件
    • 付与しているPermissions boundaryユースカジノ 登録の変更削除
    • ユースカジノ 登録するIAMユーザ・IAMロールにはPermissions boundaryを付与する

それでは上記の要件を踏まえてPermissions boundaryユースカジノ 登録を作成してみましょう!

Permissions boundary ユースカジノ 登録内容

下記内容でPermissions boundaryユースカジノ 登録を作成します。

  • Permissions boundaryのユースカジノ 登録名:TestPermissionsBoundary
  • ユースカジノ 登録の内容
    • 「test-cloudtrail」の証跡設定の変更・削除を禁止する
    • Permissions boundary(許可の境界)に「TestPermissionsBoundary」ユースカジノ 登録が付与されていないIAMユーザ・IAMロールの作成を禁止する
    • 「TestPermissionsBoundary」ユースカジノ 登録の変更・削除を禁止する
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AdministratorAccess",
            "Effect": "Allow",
            "Action": "*",
            "Resource": "*"
        },
        {
            "Sid": "DenyCloudtrailModify",
            "Effect": "Deny",
            "Action": [
                "cloudtrail:DeleteTrail",
                "cloudtrail:PutEventSelectors",
                "cloudtrail:StopLogging",
                "cloudtrail:UpdateTrail"
            ],
            "Resource": "arn:aws:cloudtrail:ap-northeast-1:*:trail/test-cloudtrail"
        },
        {
            "Sid": "DenyBoundaryPolicyModify",
            "Effect": "Deny",
            "Action": [
                "iam:CreatePolicyVersion",
                "iam:DeletePolicy",
                "iam:DeletePolicyVersion",
                "iam:SetDefaultPolicyVersion"
            ],
            "Resource": [
                "arn:aws:iam::xxxxxxxxxxxx(アカウントID):policy/TestPermissionsBoundary"
            ]
        },
        {
           "Sid": "DenyWithoutBoundary",
          "Effect": "Deny",
          "Action": [
              "iam:CreateRole",
              "iam:PutRolePolicy",
              "iam:PutRolePermissionsBoundary",
              "iam:CreateUser",
              "iam:PutUserPolicy",
              "iam:PutUserPermissionsBoundary"
          ],
          "Resource": "*",
          "Condition": {
              "StringNotEquals": {
                  "iam:PermissionsBoundary": "arn:aws:iam::xxxxxxxxxxxx(アカウントID):policy/TestPermissionsBoundary"
              }
          }
        }
      ]
  }

このユースカジノ 登録のポイントは「"Sid": "DenyWithoutBoundary"」と「"Sid": "DenyBoundaryPolicyModify"」の制限です。
"Sid": "DenyWithoutBoundary"に記載している権限より、「TestPermissionsBoundary」ユースカジノ 登録がない場合にIAMユーザ・ロールの作成を制限し、"DenyBoundaryPolicyModify"に記載している権限より、このPermission Boundaryユースカジノ 登録の変更・削除ができないようになっています。よって作成されるIAMユーザ・ロールは必ず本ユースカジノ 登録が付与されるのに加え、Permission Boundaryユースカジノ 登録の変更・削除もできないため、安全にIAM管理を委任することが可能になります。

ユースカジノ 登録の設定方法

それでは早速設定してみましょう!
AWSコンソールへログインし、検索画面からIAMサービスを検索してサービス画面へ遷移します。

ユースカジノ 登録

左ペインの「ユースカジノ 登録」を選択し「ユースカジノ 登録の作成」ボタンをクリックします。

「JSON」ボタンをクリックします。上記にて記載した「TestPermissionsBoundary」ユースカジノ 登録の内容を記載し、「次へ」ボタンをクリックします。

ユースカジノ 登録名を入力し、「ユースカジノ 登録の作成」ボタンをクリックします。

これでPermissions boundaryのユースカジノ 登録作成が完了しました!
それではIAM管理者のユーザをユースカジノ 登録し、Permissions boundaryを設定しましょう。IAM管理者にはIAMFullAccessの権限を付与します。

左ペインの「ユーザー」を選択し「ユーザーのユースカジノ 登録」ボタンをクリックします。

ユースカジノ 登録ー名を入力し、AWSマネジメントコンソールへのユースカジノ 登録ーアクセスを可能にするようチェックをいれて「次へ」ボタンをクリックします。

許可ユースカジノ 登録に「IAMFullAccess」を入力し、ユースカジノ 登録にチェックをいれます。「許可の境界を設定 - オプション」のタブを開き、チェックボックスにチェックをいれ、先ほど作ったユースカジノ 登録名を入力し、ユースカジノ 登録を選択して「次へ」ボタンをクリックします。

内容を確認し、「ユーザーのユースカジノ 登録」ボタンをクリックします。

これでIAM管理者のユーザユースカジノ 登録が完了しました!

検証

それでは試しにIAMユースカジノ 登録を払い出してみましょう。
さきほどユースカジノ 登録したIAM管理者ユーザにてコンソールへログインし、ReadOnly権限を付与したIAMユーザをユースカジノ 登録してみます。
まずはPermission Boundaryユースカジノ 登録を設定せずに作成してみます。
下記の設定でユーザをユースカジノ 登録してみます。

すると下記のエラーが表示され、Permission Boundaryが設定されていないため、やはりユースカジノ 登録できませんでした。

では、Permission Boundaryユースカジノ 登録を加えて作成してみましょう。

「TestPermissionsBoundary」ユースカジノ 登録をPermission Boundaryに設定することで、作成が完了できました!

おわりに

いかがでしたでしょうか。
Permission Boundaryユースカジノ 登録内に、アクセス制限したい内容に加え、そのユースカジノ 登録の変更・削除を禁止することと、Permission Boundaryユースカジノ 登録が設定されていないIAMユーザ・ロールの作成を禁止することについて権限を記述しておけば、IAM管理者は意図しない(アクセス制限ができていない)ユーザ・ロールの作成を未然に防ぐことが可能になります。
Permission Boundaryをうまく活用することによりIAMユーザ・ロールユースカジノ 登録等で発生しうるリスクの回避につながるため、これからIAM管理の委任を考えている方はぜひ取り入れてみてください。

カジノゲームは、AWSのビジネス利活用に向けて、お客様のステージに合わせた幅広い構築・運用支援サービスを提供しています。
経験豊富なエンジニアが、ワンストップかつ柔軟にご支援します。
ぜひ、お気軽にお問い合わせください。

お問い合わせ



【著者プロフィール】

朴木 瞳(ほうのき ひとみ)

伊藤忠テクノソリューションズ株式会社 クラウドエンジニア

AWSのインフラ構築や技術QAを経験し、現在はアカウント管理に従事。従量削減のためのRIのコストシミュレーションにおいてお客様を支援中。

TOPコラム一覧ユースカジノ 登録を使ってみた

pagetop