概要
AWS でのアクセス管理には、IAMを利用します。そのため、管理者権限を持ったグループ以外にIAMの操作をさせないようにすることで、アクセス権限を適切に管理することが重要になります。
この「指定した管理者グループ以外のIAMグループはIAMの操作権限が付与されていないこと」のポリシーを利用することで、管理者グループ以外のIAMグループにIAMの操作権限が付与されていないかチェックすることができます。
設定時のオプション
No | オプション |
---|---|
1 | 管理者グループ名(最大10個) |
ログの結果条件
No | 結果 | 説明 |
---|---|---|
1 | このポリシーが守られているとされる条件 |
・指定した管理者グループ以外のIAMグループに対してIAMの操作権限が付与されていないこと |
2 | このポリシーに違反しているとされる条件 |
・指定した管理者グループ以外のIAMグループに対してもIAMの操作権限が付与されていること |
「IAMの操作権限が付与されている」状態とは
- iam:GenerateCredentialReport
- iam:GenerateServiceLastAccessedDetails
- iam:Get*
- iam:List*
- iam:PassRole
以外のアクションがIAMの設定で許可されている場合を指します。
設定例
Cloud Automatorで「指定した管理者グループ以外のIAMグループはIAMの操作権限が付与されていないこと」をレビューするポリシーセットを作成します。
-
Cloud Automatorの左メニューの構成レビューを展開し、ポリシーセットの作成をクリックします。
-
ポリシーセットテンプレート選択画面で「サーバーワークスおすすめポリシーセット」をクリックします。
-
「指定した管理者グループ以外のIAMグループはIAMの操作権限が付与されていないこと」をONにします。
- 管理者グループとしてIAMの操作を許可するグループを入力して必要な場合は後処理を割り当てます。
- 管理者グループ名を入力して「ポリシーセットを作成」をクリックします。
- ポリシーセットの状態がavailableになったら作成完了です。
以上で「指定した管理者グループ以外のIAMグループはIAMの操作権限が付与されていないこと」を使ったポリシーの動作確認が出来ました。 ぜひご活用ください。