個々のリソースの ABAC

IAM Identity Center のユーザーと IAM ロールは、属性ベースのアクセス制御 (ABAC) をサポートし、タグに基づいて操作とリソースへのアクセスを定義します。ABAC で、権限ポリシーを更新する必要性が減り、社内ディレクトリで従業員属性からベースアクセスを行うのに便利です。すでにマルチアカウント戦略を採用している場合は、ロールベースのアクセス制御 (RBAC) に加えて ABAC を使用すれば、同じアカウントで業務を行う複数のチームに、さまざまなリソースに対するきめ細かいアクセス権限を与えることができます。例えば、IAM Identity Center のユーザーまたは IAM ロールには、特定の Amazon EC2 インスタンスへのアクセス権限を制限する条件を含めることができます。そうしない場合、それらのインスタンスにアクセスするためには各ポリシーに明示的に記載する必要があります。

ABAC 認可モデルはオペレーションやリソースへのアクセス権限をタグに依存するため、想定外のアクセスを防ぐためのガードレールを設けることが重要です。SCP では、特定の条件下でのみタグの変更を許可して、組織全体のタグを保護するために使用できます。実装方法についてはブログ「Seecuring resource tags used for authorization using a service control policy in AWS Organizations」と「Permissions boundaries for IAM entities」を参照してください。

運用期間の長い Amazon EC2 インスタンスで古くからの運用方法をサポートしている場合、このアプローチを利用できます。ブログ「Configure IAM Identity Center ABAC for Amazon EC2 instances and Systems Manager Session Manager」では、この形式の属性ベースのアクセス制御についてさらに詳しく説明しています。前述のように、すべてのリソースタイプがタグ付けをサポートしているわけではなく、サポートしているリソースタイプの中には、すべてのリソースタイプがタグポリシーを使用した強制をサポートしているわけではないため、この戦略を AWS アカウントに実装する前に、これを評価することをお勧めします。

ABAC をサポートするためにサービスについては、「IAM と動作するAWS サービス」を参照してください。