IAM Policy
from AWS IAM
実行ロールともいう
AWSリソースに対するアクセス権限をまとめたもの
IAMユーザ、IAMグループ、IAMロールなどに付与して使う
認可を行う
IAM JSON Policyで書く
JSON形式のやつmrsekut.icon
2種類ある
AWS Managed Policy (IAM Policy)
Customer Managed Policy (IAM Policy)
使い分け
/mrsekut-book-B085PZCMG2/022
3つの方法で設定できる
AWS 管理ポリシーをコピー
Policy Generator
独自のポリシーを作成
デザインパターン
/mrsekut-book-B085PZCMG2/050: 第4章 IAMポリシーのデザインパターン
IAM Policyのホワイトリストパターン
/mrsekut-book-B085PZCMG2/051: 4.1 ホワイトリストパターン
許可する権限のみ付与していくパターン
IAM Policyのブラックリストパターン
IAM Policyのハイブリットパターン
DenyとAllowの強さ
/mrsekut-book-B085PZCMG2/037
明示的なDeny > 明示的なAllow > 暗黙的なDeny(デフォルト)
以下のように構成すると良い
基本的な権限はAWS Managed Policy (IAM Policy)を付与し、
そのうえで除きたい権限をCustomer Managed Policy (IAM Policy)で否定する
resource "aws_iam_policy"
resource "aws_iam_user_policy_attachment"
data "aws_iam_policy_document"
参考
/mrsekut-book-B085PZCMG2/021