AWS権限の境界管理ポリシーを使用して、ユーザーまたはロールが持つことができる最大の権限を定義できる高度な機能。これにより、管理者が過剰な権限を付与した場合でも (ポリシーまたはグループを通じて)、権限の境界によって有効な権限が境界によって明示的に許可されたものに制限されます。 AWS 管理ポリシーまたはカスタマー管理ポリシーを使用して、IAM エンティティ (ユーザーまたはロール) の境界を設定できます。このポリシーは、ユーザーまたはロールの最大権限を制限します。ポリシーを使用してユーザーの権限境界を設定すると、ユーザーの権限は制限されますが、権限自体は提供されません。
権限境界の仕組み
- 意味: アクセス許可の境界は、ユーザーまたはロールにアタッチされる IAM ポリシーです。
- 評価するユーザーまたはロールがアクションを実行しようとすると、AWS は次の点をチェックします。
- アイデンティティベースのポリシー(例:ユーザーまたはロールに添付)
- 権限の境界(該当する場合)
- これらの交差点が決定するその有効な権限。
- 主な制限事項: 権限の境界では権限は追加されません。権限を制限するだけです。
例えば:
- ユーザーAには権限がある
s3:*すべての S3 バケットのポリシー。 - 許可の境界は
s3:*バケツの中X。 Xアイデンティティ ポリシーにもかかわらず、ユーザー A の有効な権限はバケット内に制限されています。
リソースベースのポリシーの権限境界
資源ベースの政策——指定されたサブジェクトが、ポリシーが関連付けられているリソースにアクセスする方法を制御します。
同じアカウント内で、IAM ユーザー ARN (フェデレーション ユーザー セッションではない) にアクセス許可を付与するリソースベースのポリシーは、アイデンティティベースのポリシーまたはアクセス許可の境界で暗黙的な拒否の対象にはなりません。
組織のSCP権限の境界
組織SCP – AWS アカウント全体に適用されます。アカウント内のプリンシパルによって行われた各リクエストの権限を制限します。 IAM エンティティ (ユーザーまたはロール) は、SCP、アクセス許可の境界、および ID ベースのポリシーの影響を受けるリクエストを行うことができます。この場合、要求は 3 つのポリシー タイプすべてが許可する場合にのみ許可されます。有効な権限は、3 つのポリシー タイプすべてが交差する部分です。これらのポリシーのいずれかで明示的に拒否すると、許可が上書きされます。
セッションポリシーの権限境界
セッションポリシー– ロールまたはフェデレーション ユーザーの一時セッションをプログラムで作成するときにパラメーターとして渡す高度なポリシーです。セッションのアクセス許可は、セッションの作成に使用された IAM エンティティ (ユーザーまたはロール) とセッション ポリシーから取得されます。エンティティの ID ベースのポリシー権限は、セッション ポリシーと権限の境界によって制限されます。このグループ ポリシー タイプに有効なアクセス許可は、3 つのポリシー タイプすべての共通部分です。これらのポリシーのいずれかで明示的に拒否すると、許可が上書きされます。セッション ポリシーの詳細については、「セッション ポリシー」を参照してください。
権限境界の使用に関するベストプラクティス
- 委任管理を実装するためのガイドライン:
- 権限の境界を使用して、IAM ユーザーまたは管理者によって作成されたロールの権限を制限します。たとえば、ユーザーにロールの作成を許可しながらも、作成したロールには境界で指定された範囲外の権限が付与できないようにすることができます。
- 特権操作の分離:
- スコープを限定した権限のみを許可する境界を設定して、重要なインフラストラクチャの変更などの機密性の高いアクションを制限します。
- セキュリティを維持しながらセルフサービスを可能にする:
- チームまたは開発者がリソースを自律的に管理できるようにしますが、権限の境界によってアクションを制限します (たとえば、EC2 インスタンスのサイズを制限したり、特定のリージョンでリソースを作成する機能を制限するなど)。
- SCP およびアイデンティティポリシーでの使用:
- AWS Organizations での権限境界の使用サービス制御ポリシー (SCP)これらを組み合わせることで、複数アカウント環境にさらなるセキュリティ層が提供されます。
- 監査およびレビューの範囲:
- 権限の境界を定期的に確認し、組織のニーズとコンプライアンス要件を満たしていることを確認します。
権限境界を使用する場合
- アクセス管理の制御された委任:
- 特定のユーザーまたはグループに IAM ロールまたはポリシーの作成と管理を許可する場合、権限の境界により、それらのユーザーは境界で許可されている範囲を超える権限を付与できなくなります。
- サードパーティ統合:
- アクセス許可の境界を使用して、AWS 環境と統合されるサードパーティのツールまたはアプリケーションに付与されるアクセス許可を制限します。
- アドホックまたはプロジェクトベースのロールの権限スコープ:
- 境界を適用して、特定のタスクまたはプロジェクトに使用される一時的なロールの権限を制限します。
- 最小権限の適用:
- 新しいチームをオンボーディングするときや外部の共同作業者と統合するときに、権限の境界を設定すると、最小権限の原則を効果的に適用できます。
- 大規模分散チームの権限を制限する:
- AWS リソースの管理を分散している組織では、境界によって、分散されたチームが事前定義された権限制限内で作業することが保証されます。
一般的な使用例
- 開発者がIAMロールを作成する:
- 開発者はワークロードをサポートするためにロールを作成できますが、境界により過剰な権限を持つポリシーをアタッチすることはできません。
- AWS Organizations におけるマルチアカウント環境:
- 権限の境界は SCP を補完し、特定のアカウントのユーザーが割り当てられた権限を超えないようにします。
- 特定のAWSリージョンまたはサービスへのアクセスを制限する:
- コンプライアンス上の理由から、許可されていないリージョンでユーザーがリソースを作成したりアクションを実行したりできないようにします。
- 制御自動化フレームワーク:
- CI/CD パイプライン、自動化スクリプト、またはインフラストラクチャ アズ コード (IaC) ツールに付与される権限の範囲を制限します。
アクセス許可境界ポリシーは、AWS でのアクセス許可管理のセキュリティをさらに強化し、組織がより厳格なアクセス許可制御を実装するのに役立ちます。権限の境界を従来の IAM ポリシーと組み合わせることで、企業はユーザーとロールのアクセス範囲をより正確に制御できるようになり、セキュリティ リスクが軽減され、クラウド環境での運用が事前に定義されたセキュリティ要件とコンプライアンス標準を満たすことが保証されます。
