個別の管理ポリシーを用いたパーミッションの編成について
今年、私達はAWSアカウント上のユーザーやグループ、ロールといった複数のIAMエンティティに対してアタッチすることができる独立したポリシーの作成を可能とした「管理ポリシー」をリリースしました。 このリリース以来、一つの普遍的なポリシーを使うかわりに複数のポリシーを組み合わせる方が良いという多くの声を頂いてきました。 例えば、複数のサービスへのアクセスを許可する一つのポリシーを作成するかわりに、あなたは各サービスのための個別のポリシーをアタッチしたいかもしれません。 今、論理的に分離されたポリシーに柔軟性をもたらすために、各IAMエンティティに対して10個の管理ポリシーをアタッチできるようになりました。 これにより、各エンティティにアタッチされているポリシーのリストを見ることで、パーミッションの理解をより容易にすることができるようになりました。
ユースケースの例を見てみましょう。 Amazon DynamoDB、Amazon Relational Database Service (RDS)、Amazon Redshiftに対してフルアクセスを必要とするAliceという名前のIAMユーザーを利用するデータベース管理者がいると想像してください。 更に、AliceはAmazon Simple Storage Service (S3)とAmazon Glacierに対するread-onlyアクセスも必要としていたとします。 Aliceにこうしたパーミッションを許可するために、AWSにより作られ、管理されている一般的なタイプのアクセスを許可するために使用できるAWS管理ポリシーを利用します。 以下のようなAWS管理ポリシーをAliceに割り当てます。
- AmazonDynamoDBFullAccess
- AmazonRDSFullAccess
- AmazonRedshiftFullAccess
- AmazonElastiCacheFullAccess
- AmazonS3ReadOnlyAccess
- AmazonGlacierReadOnlyAccess
これら6つのポリシーをAliceにアタッチするために、コンソールの左側にあるUsersをクリックします。
次にユーザーのリストからAliceを選択します。
次に、PermissionsセクションのAttach Policyをクリックします。 あなたのアカウント上の管理ポリシーのリストが出てきます。
AmazonDynamoDBFullAccessの隣のチェックボックスを選択します。 もしリストの中から見つけられないようでしたら、管理ポリシーのテーブルの上にあるSearchのフィールドを使うことができます。 AmazonRDSFullAccess、AmazonElastiCacheFullAccess、AmazonGlacierReadOnlyAccess、AmazonRedshiftFullAccess、AmazonS3ReadOnlyAccessに関してもこのステップを繰り返します。
最後に、Attach Policyセクションの左下にあるAttach Policyをクリックします。 これでAliceの詳細ページに戻ることになります。 このページより、AliceがDynamoDB, RDS, ElastiCache, Galcier, RedshiftそしてS3にアクセスを持つことが確認できます。 もしAliceが別のサービスに対するアクセスが必要になった場合には、別の管理ポリシーをアタッチするためにこれらと同じステップを行ってください。
管理ポリシーの利用を開始するには、IAMコンソールにサインインしてください。 "Managed Policies and Inline Policies" (管理ポリシーとインラインポリシー)ではより詳細な情報を見つけることができます。 皆様がどのようにこの機能を使うか、また私達がこの機能を改善する方法等について伺う事ができることを楽しみにしています。 以下にコメントを投稿して頂くこともできますし、管理ポリシーに関するコメントや質問のためにIAM Forumにお越し頂くこともできます。
-Brigid(日本語訳は高田智己が担当しました)
コメント