ポリシー は、ID またはリソースにアタッチされたときに、そのアクセス許可を定義するエンティティです。ポリシーは JSON ドキュメントとして AWS に格納され、IAM の アイデンティティベースのポリシー としてプリンシパルに添付されます。IAM ユーザーグループ、ユーザー、ロールなどのプリンシパル (またはアイデンティティ) に、アイデンティティベースのポリシーをアタッチできます。アイデンティティベースのポリシーには、AWS 管理ポリシー、カスタマー管理ポリシー、およびインラインポリシーがあります。IAM でカスタマー管理ポリシーとインラインポリシーを編集できます。AWS 管理ポリシーは編集できません。AWS アカウントの IAM リソースの数とサイズには制限があります。詳細については、「IAM と AWS STSクォータ」を参照してください。
一般に、インラインポリシーや AWS マネージドポリシーではなくカスタマー管理ポリシーを使用する方が効果的です。AWS マネージドポリシーには通常、広範な管理アクセス許可または読み取り専用アクセス許可が用意されています。インラインポリシーは、他の ID で再利用したり、埋め込み先の ID 以外で管理したりすることはできません。セキュリティを最大限に高めるには、最小特権を付与します。つまり、特定のジョブタスクの実行に必要なアクセス許可のみを付与します。
IAM ポリシーを作成または編集すると、AWS は、ポリシー検証を自動的に実行し、最小限の権限で効果的なポリシーを作成するのに役立ちます。AWS Management Console では、IAM は JSON 構文エラーを識別します。一方、IAM Access Analyzer は、ポリシーをさらに絞り込むのに役立つ推奨事項を含む追加のポリシーチェックを提供します。ポリシーの検証の詳細については、「IAM ポリシーの検証」を参照してください。IAM Access Analyzer のポリシーチェックと実用的な推奨事項の詳細については、「IAM Access Analyzer ポリシーの検証」を参照してください。
AWS Management Console、AWS CLI、または AWS API を使用して、IAM でカスタマー管理ポリシーとインラインポリシーを編集できます。AWS CloudFormation テンプレートを使用してポリシーを追加または更新する方法については、「AWS CloudFormation ユーザーガイド」の「AWS Identity and Access Management リソースタイプリファレンス」を参照してください。
