IAM ポリシーの作成 - AWS Identity and Access Management

IAM ポリシーの作成

ポリシー は、ID またはリソースにアタッチされたときに、そのアクセス許可を定義するエンティティです。AWS Management Console、AWS CLI、または AWS API を使用して、IAM で カスタマー管理ポリシーを作成できます。カスタマー管理ポリシーは、独自の AWS アカウントで管理するスタンドアロンポリシーです。その後、ポリシーを AWS アカウントのアイデンティティ (ユーザー、グループ、またはロール) にアタッチできます。

IAM のアイデンティティにアタッチされたポリシーは、アイデンティティベースのポリシーと呼ばれます。アイデンティティベースのポリシーには、AWS 管理ポリシー、カスタマー管理ポリシー、およびインラインポリシーがあります。AWS 管理ポリシーは、AWS によって作成されて管理されます。それらを使用することはできますが、管理することはできません。インラインポリシーは、IAM グループ、ユーザー、またはロールに直接作成して埋め込むポリシーです。インラインポリシーは、他のアイデンティティで再利用したり、それが存在するアイデンティティ以外で管理したりすることはできません。詳細については、「IAM ID のアクセス許可の追加および削除」を参照してください。

ベストプラクティスは、インラインポリシーではなくカスタマー管理ポリシーを使用することです。また、AWS 管理ポリシーではなくカスタマー管理ポリシーを使用することもお勧めします。通常、AWS 管理ポリシーでは、広範な管理アクセス許可または読み取り専用アクセス許可が提供されます。セキュリティを最大限に高めるには、最小特権を付与します。最小特権は、特定のジョブタスクの実行に必要なアクセス許可のみを付与します。

IAM ポリシーを作成または編集すると、AWS はポリシー検証を自動的に実行して、最小限の権限を念頭に置いて効果的なポリシーを作成するのに役立ちます。AWS Management Console では、IAM は JSON 構文エラーを特定します。一方、IAM Access Analyzer では、ポリシーをさらに絞り込むために推奨される追加のポリシーチェックを行います。ポリシーの検証の詳細については、「IAM ポリシーの検証」を参照してください。IAM Access Analyzer のポリシーチェックと実用的な推奨事項の詳細については、「IAM Access Analyzer ポリシーの検証」を参照してください。

AWS Management Console、AWS CLI、または AWS API を使用して、IAM でカスタマー管理ポリシーを作成できます。