指定した管理者グループ以外のIAMグループはIAMの操作権限が付与されていないこと

概要

AWS でのアクセス管理には、IAMを利用します。そのため、管理者権限を持ったグループ以外にIAMの操作をさせないようにすることで、アクセス権限を適切に管理することが重要になります。

この「指定した管理者グループ以外のIAMグループはIAMの操作権限が付与されていないこと」のポリシーを利用することで、管理者グループ以外のIAMグループにIAMの操作権限が付与されていないかチェックすることができます。

設定時のオプション

 

No オプション
1 管理者グループ名(最大10個)

 

ログの結果条件

 

No 結果 説明
1 このポリシーが守られているとされる条件

・指定した管理者グループ以外のIAMグループに対してIAMの操作権限が付与されていないこと

2 このポリシーに違反しているとされる条件

指定した管理者グループ以外のIAMグループに対してもIAMの操作権限が付与されていること

「IAMの操作権限が付与されている」状態とは

  • iam:GenerateCredentialReport
  • iam:GenerateServiceLastAccessedDetails
  • iam:Get*
  • iam:List*
  • iam:PassRole

以外のアクションがIAMの設定で許可されている場合を指します。

 

設定例

Cloud Automatorで「指定した管理者グループ以外のIAMグループはIAMの操作権限が付与されていないこと」をレビューするポリシーセットを作成します。

  1. Cloud Automatorの左メニューの構成レビューを展開し、ポリシーセットの作成をクリックします。

  2. ポリシーセットテンプレート選択画面で「サーバーワークスおすすめポリシーセット」をクリックします。

  3. 「指定した管理者グループ以外のIAMグループはIAMの操作権限が付与されていないこと」をONにします。

  4. 管理者グループとしてIAMの操作を許可するグループを入力して必要な場合は後処理を割り当てます。Screen_Shot_2020-02-14_at_16.46.12.png
  5. 管理者グループ名を入力して「ポリシーセットを作成」をクリックします。
  6. ポリシーセットの状態がavailableになったら作成完了です。

以上で「指定した管理者グループ以外のIAMグループはIAMの操作権限が付与されていないこと」を使ったポリシーの動作確認が出来ました。 ぜひご活用ください。

この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています
他にご質問がございましたら、リクエストを送信してください