IAM Service固有のResource/Actionの洗い出し方
? 最小権限でIAMを作りたいのだけど、どの権限をつけるといいのかが見当つかない
Action名で調べると公式サイトにぶつかる
glue:ListCrawlerでGoogle検索してみる
公式サイト内に全てのAction/Resourceがある
ListCrawlerでPage内検索する
https://netprotections.gyazo.com/058ae0f6bc6fdacc282b851ccfa5c176
https://gyazo.com/a8c75bdf1a9b740097b94aaf5b2e23be
コツ
基本的には***:*****でggrと出てくる
例:iam:ListRoles・glue:ListCrawlers
AWS公式サイトで:と入るのはCFnの記載Ruleと、IAMの記載Ruleくらい。なのでかなり絞り込んで検索できる サイトのPage titleは「****のアクション、リソース、および条件キー - サービス認証リファレンス」なのでわかりやすい
Pageの読み方
https://gyazo.com/26bb6c0cc7ebfbbcaeb4a5924683b948
Action(例:ListRoles)は英語語順
マジよくあるやつら
Batch・Create・Delete・Get・List・Put・Start・Stop・Update
Glue Crawlerにいた少し珍しいやつ
Cancel・Check・Import・Notify・Query・Register・Remove・Reset・Resume・Search・Tag・Untag・Use
動詞の種類は少ないのでglue:List*のようにワイルドカード(*)を使って指定ができる
危険なActionは動詞で限定できる
table:一覧
危険度 Action名 Access Level
Service止める恐れ Delete, Stop Write
気付かず高Cost Create, Start Write
気づいたら権限たくさんついてSecurity Hole Batch, PUT, Update Write
閲覧するだけ Get, List Read, List