こんにちは、ホワイトバードです。
先日、最小権限のIAMポリシーを付与する案件がありました。加えて、IAMポリシー自体を見せない&触らせないという要件もありましたので、今後共通的に適用できそうなIAMポリシーを作ってみたいと思います。
「IAMポリシーは最小権限を付与する」というのは聞いたことがある方が多いと思います。必要以上の権限を持たないようにしてセキュリティレベルを最小限に抑えるやり方ですが、制限をかけたユーザーやロールに「見せない&触らせない」という要件を付与することでこのようなことができるようになります。
ではポリシーレベルではどのようなことが必要になるでしょうか?
実際のポリシーはこのようになります。
Condition Keyで見せたくないIAMポリシーを一部に絞ることも可能です。絞らない場合はCondition Keyを使用しないようにします。
今回は汎用的ながら、ぜひ設定しておきたいIAMポリシーについて書いてみました。最小権限の原則に加えて、このような制限も加えてセキュリティレベルをアップしていきましょう!