Amazon のポリシーのベストプラクティス EMR

アイデンティティベースポリシーは非常に強力です。アカウント内の Amazon EMRリソースを作成、アクセス、または削除できるかどうかを決定します。これらのアクションでは、 AWS アカウントのコストが発生する可能性があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:

• AWS マネージドポリシーの使用を開始する – Amazon EMRの使用を迅速に開始するには、 AWS マネージドポリシーを使用して、従業員に必要なアクセス許可を付与します。これらのポリシーはアカウントで既に有効になっており、 AWSによって管理および更新されています。詳細については、IAM「 ユーザーガイド」および「 」の「 AWS マネージドポリシーでアクセス許可の使用を開始する」を参照してくださいAmazon EMRマネージドポリシー。

• 最小特権を付与する - カスタムポリシーを作成するときは、タスクを実行するために必要なアクセス許可のみを付与します。最小限の許可からスタートし、必要に応じて追加の許可を付与します。この方法は、寛容過ぎる許可から始めて、後から厳しくしようとするよりも安全です。詳細については、「 ユーザーガイド」の「最小権限を付与する」を参照してください。 IAM

• 機密性の高いオペレーションMFAを有効にする – セキュリティを強化するには、ユーザーに多要素認証 (MFA) を使用して機密性の高いリソースまたはAPIオペレーションにアクセスする必要があります。詳細については、IAM「 ユーザーガイド」の「 での多要素認証 (MFA) の使用 AWS」を参照してください。

• 追加セキュリティに対するポリシー条件を使用する - 実行可能な範囲内で、アイデンティティベースのポリシーがリソースにアクセスできる条件を定義します。例えば、あるリクエストの送信が許可される IP アドレスの範囲を指定するための条件を記述できます。また、指定した日付または時間範囲内のリクエストのみを許可する条件を記述したり、 SSL または の使用を要求したりできますMFA。詳細については、IAM「 ユーザーガイド」のIAMJSON「ポリシー要素: 条件」を参照してください。