IAMポリシー適応ルールについてまとめてみた

>100 Views

October 10, 22

スライド概要

IAMポリシーについてまとめました!

profile-image

いつかフリーランスで自分がやりたい事をやりたいネットワークエンジニアです! 日々の学習や業務を通して得た知見をアウトプットして行こうと思います! アウトプットする事で色んな方と繋がれたら嬉しいです\( 'ω')/

シェア

埋め込む »CMSなどでJSが使えない場合

関連スライド

各ページのテキスト
1.

ポリシー適応ルールについて まとめてみた IAM 作成⽇ 技術タグ 最終更新 参考 @2022/10/01 AWS IAM @October 10, 2022 5:17 PM Property Twitter https://twitter.com/pero_nw 1.概要 ネットワークでよく使われるアクセスリストやファイアーフォールポリシーには基 本的に特殊なルールが存在します。 たとえば、暗黙のDenyやポリシー適応順序です。 のポリシー(主に、IAM、S3、KMSなど)をいじっていて、どうもこのルール が存在しないのではないか? AWS と疑問に思ってしまったため、検証を⾏い確認していこうと思います。 第⼀回⽬はIAMポリシーについてまとめます。 2.ポリシー適応の検証 本稿では、私が気になる以下の点について、IAMユーザの権限はどうなるのかを確 認していきます。 新規ユーザを作成し、空のIAMポリシーを適応する ポリシー適応ルールについてまとめてみた IAM 1

2.

フルアクセスのpermitポリシーのみを適応する EC2フルアクセスのdenyポリシーのみを適応する 同じstatementにEC2フルアクセスのpermitとEC2コンソールの表⽰のdenyを 記載する ※適応は記載順 同じstatementにEC2コンソールの表⽰のdenyとEC2フルアクセスのpermitを 記載する ※適応は記載順 EC2 結論: ポリシーには暗黙のDenyが存在し、許可したリソースのみアクセスが 可能となる 上からポリシーを適応するという法則は無く、Denyが優先的に適応される IAM 3.検証結果 3-1.新規ユーザを作成し、空のIAMポリシーを適応する ポリシー適応ルールについてまとめてみた IAM 2

3.

結果: どのリソースへもアクセスできない。 以上よりIAMポリシーには暗黙のDenyが存在し、許可したリソースのみアクセ スが可能と推測 よって、次の検証の EC2フルアクセスのpermitポリシーのみを適応する EC2フルアクセスのdenyポリシーのみを適応する こちらは、結果が⾒えているので割愛する。 3-2.同じstatementにEC2フルアクセスのpermitとEC2コンソー ルの表⽰のdenyを記載する { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "ec2:*", "Resource": "*" }, { "Effect": "Deny", "Action": "ec2:Describe*", "Resource": "*" } ] } ポリシー適応ルールについてまとめてみた IAM 3

4.

結果: 起動しているEC2が⾒えなくなった。インスタンスの起動等 describe権限以外 は操作可能 3-3.同じstatementにEC2コンソールの表⽰のdenyとEC2フルア クセスのpermitを記載する { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ec2:Describe*", "Resource": "*" }, { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "ec2:*", "Resource": "*" } ] } 結果: 3-2と同じ結果となった。上からポリシーを適応するという法則は無く、Denyが 優先的に適応される ポリシー適応ルールについてまとめてみた IAM 4

5.

以上、次はS3バケットポリシーの適応ルールについてまとめます。 ⽇々、Twitterにて検証を通してAWSなどネットワーク全般の情報を発信してますの で、フォロー頂けたら幸いです! JavaScript is not available. https://twitter.com/pero_nw ポリシー適応ルールについてまとめてみた IAM 5