AWSのIAMにPermission Boundaryという機能があり、やっと使い所を理解したのでそれを雑にまとめてみました。

1. Permission Boundary をやっと理解できたので
誰か聞いてくれ (雑)
【AWS IAM】
JAWS-UG 朝会 #13
大竹 孝昌

2. ■ 自己紹介

3. ■ Permission Boundary って何だっけ？
日本語だと 『アクセス許可の境界』
← ユーザーガイドの図
この部分のIAMポリシーだけ
書いたらダメなの？なんで？
利用シーンが思い浮かばない！

4. ■ Permission Boundary って何だっけ？
AWSアカウント（子）
AWSアカウント（親）
Organizations の
SCP（Service Control Policy）は
アカウント外から制御する
Permission Boundary は
アカウント内から制御する
⇒ ところで AWS Organizations に似た機能があったような？

5. ■ Permission Boundary の使い所を確認
⇒ 利用者を権限の強さで分類してみる
ルートユーザー
IAMユーザー
武器（IAM関連の権限）を持つ者たち
タグ付け
書き込み
リスト
読み込み
アクセス権
の管理

6. ■ Permission Boundary の使い所を確認
⇒ 悩ましいのは『書き込み』や『アクセス権限の管理』
例えば、CreatePolicy。
作成するポリシーの
中身までは制御不可。
{
"Version":"2012-10-17",
"Statement":[
{
"Effect": "Allow",
"Action":"*",
"Resource": "*"
}
]
} ほぼ神！

7. ■ Permission Boundary の使い所を確認
⇒ 委任はするけど『特定の操作は制限したい』
IAMロール
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}
]
}
Permission
Boundary
IAMポリシー
{
"Version": "2012-10-17",
"Statement": [
{
“Sid”: “ひとまず全部許可するけど",
"Effect": "Allow",
"Action": "*",
"Resource": "*"
},
{
“Sid”: “ユーザーとロールの作成はダメ",
"Effect": "Deny",
"Action": [
"iam:CreateUser",
"iam:CreateRole"
],
"Resource": [
"arn:aws:iam::YourAccount_ID:user/*",
"arn:aws:iam::YourAccount_ID:role/*“
（以下略）
IAMポリシー
IAMポリシーの中身は制限できないので制限を加えるポリシーで制御を行う

8. ■ Permission Boundary の使い所を確認
⇒ ここまで条件が揃っている場合には不要
・ IAM権限を持つ人に十分なスキル
・ チームの規模が比較的小規模
・ チーム内の信頼関係が十分に構築済み
・ IAMまわりの統制は不要と感じている
スキルアップのためにIAM関連の裁量を与えたいけど
セキュリティ事故は嫌だし一定のルールは必要だなぁ、、、
Permission Boundary とは、こんなニーズに応えるメカニズムである（個人の感想）
↑ こんなケースはレアだと思う（というか羨ましい）
みんな、IAM関連でこんな悩みを抱えてない？

9. ■ Permission Boundary の使い所を確認
⇒ 抜け道がないよう Permission Boundary の制約は継承したい
IAMロール
Permission
Boundary
IAMポリシー
IAMポリシー
CreateRole は許可するけど
同時に Permission Boundary も
必ず設定すること！！！！
これを実現する
IAMポリシー って
どうやって書くの？

10. ■ Permission Boundary の真髄をマスターする
⇒ サービスレベルの条件キー PermissionsBoundary で特定のIAMポリシーを強制する
IAMポリシーのビジュアルエディタだと、こんな感じで出没

11. ScopePermissions
■ Permission Boundary の真髄をマスターする
⇒ サービスレベルの条件キー PermissionsBoundary で特定のIAMポリシーを強制する
{
“Sid”: “ひとまず全部許可",
"Effect": "Allow",
"Action": "*",
"Resource": "*"
},
{
“Sid”: “Permission Boundaryなしでロールやユーザーの作成は不許可",
"Effect": "Deny",
"Action": [
"iam:PutUserPermissionsBoundary",
"iam:PutRolePermissionsBoundary"
],
"Resource": [
"arn:aws:iam::YourAccount_ID:user/*",
"arn:aws:iam::YourAccount_ID:role/*"
],
"Condition": {
"StringNotEquals": {
"iam:PermissionsBoundary": "arn:aws:iam::YourAccount_ID:policy/ScopePermissions"
}
}
},

12. ■ Permission Boundary の真髄はWebでマスターする
⇒ Alice と Bob が淡々と教えてくれます。
https://aws.amazon.com/jp/premiumsupport/knowledge-center/iam-permission-boundaries/

13. あとでゆっくりとじっくりと
噛みしめて読んでください

14. IAMをマスターすることは、
よきAWSライフへの第一歩である。
IAM権限の委任で悩んだら
『あ、Permission Boundaryが使えるかも』
と思い出してくれたら嬉しいデスッ。
雑なまとめ

15. ご清聴？
ありがとうございました。