非推奨の AWS 管理ポリシー - AWS Identity and Access Management

非推奨の AWS 管理ポリシー

アクセス許可の割り当てを簡素化するために、AWS は管理ポリシーを提供します。このポリシーは、IAM ユーザー、グループ、およびロールへのアタッチが可能な状態の事前定義されたポリシーです。

新しいサービスの導入時など、AWS で既存のポリシーに新しいアクセス許可を追加する必要が生じる場合があります。既存のポリシーに新しいアクセス権限を追加しても、機能や働きを中断または削除されることはありません。

ただし、既存のポリシーに必要な変更を適用した場合にそれらが顧客に影響するときに、AWS で新しいポリシーを作成してもかまいません。たとえば、既存のポリシーからアクセス許可を削除すると、そのアクセス許可に依存していたすべての IAM エンティティまたはアプリケーションのアクセス許可が破棄されて、重大なオペレーションを中断する可能性があります。

したがって、このような変更が必要な場合、AWS では完全に新しいポリシーを作成して必要な変更を適用し、顧客が使用できるようにします。古いポリシーは、非推奨としてマークされます。非推奨のマネージドポリシーが、IAM コンソールの[ポリシー]リストの横に警告アイコンとともに表示されます。

非推奨のポリシーには以下のような特徴があります。

  • ポリシーは、現在アタッチされているすべてのユーザー、グループ、およびロールの処理を継続します。中断される処理はありません。

  • ポリシーを新しいユーザー、グループ、またはロールにアタッチすることはできません。現在のエンティティからポリシーをデタッチした場合、再アタッチすることはできません。

  • 現在のすべてのエンティティからポリシーをデタッチしたら、そのポリシーは表示されなくなり、いかなる方法でも使用不能となります。

ユーザー、グループ、またはロールにポリシーが必要な場合は、代わりに新しいポリシーをアタッチする必要があります。ポリシーが非推奨であるという注意を受信した場合は、すべてのユーザー、グループ、およびロールの代替ポリシーへのアタッチと、非推奨のポリシーからのデタッチをただちに計画することをお勧めします。非推奨のポリシーを使用し続けことはリスクを伴い、代替ポリシーへの切り替え以外にはリスク低減の方法はありません。