日別アーカイブ: 2024年1月23日

アクセス許可の境界

前に取得したAWSの資格SAAが今年の10月に有効期限切れを起こしてしまうので、それまでに更新するか、ひとつ上のSAPを取得する必要があります。

というわけで、どうせならSAPを取ってしまおうかと思いのんびりと勉強を始めようかと。
まずはIAMからです。

アクセス許可の境界

「IAM Permission Boundaries」と紹介されていて日本語訳はアクセス許可の境界と出ているけど、さっぱり意味がわかりませんでした。

マネージドコンソールに入ってみると確かに有りますね

IAM エンティティのアクセス許可境界
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/access_policies_boundaries.html

許可ポリシーとは別に定義されているように、許可の境界を定義しても、その定義した許可が適用されるわけではなく、あくまで境界を定義するのみ。

この境界が定義されていると、許可ポリシーをいくら割り当ててもこの境界の範囲内でしか適用されなくなるようです

ちょっと注意が必要になるのはリソースベースのポリシー適用時。

リソースベースのポリシーでも、IAMユーザに対するもの、IAMロールに対するもの、IAMロールセッションに対するものとで考え方が異なるということです。
この内、IAMロールに対してリソースベースのポリシーを適用した場合はアクセス許可の境界の制限を受け、それ以外は許可の制限を超えてアクセスすることができるそうです。

許可の境界を設定すると、指定されたIAMユーザはその権限範囲を超えるロールの作成やユーザの作成ができなくなる。。。?

なので、安全にIAMユーザ作成などの権限を移譲することができる、、と書いてある。

アクセス許可の境界を使用した他のユーザーへの責任の委任https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/access_policies_boundaries.html#access_policies_boundaries-delegate

上記例で考えると、作成したアクセス許可の境界を、IAM作成時に指定することをポリシーで強要することで実現していることがわかる。

分からなくもないけど、なんとなく、現実にどこまで使っているんだろうか疑問に思う機能だなぁと思った。