IAMポリシー適応ルールについてまとめてみた

ポリシー適応ルールについて まとめてみた IAM 作成⽇ 技術タグ 最終更新 参考 @2022/10/01 AWS IAM @October 10, 2022 5:17 PM Property Twitter https://twitter.com/pero_nw １．概要 ネットワークでよく使われるアクセスリストやファイアーフォールポリシーには基 本的に特殊なルールが存在します。 たとえば、暗黙のDenyやポリシー適応順序です。 のポリシー（主に、IAM、S3、KMSなど）をいじっていて、どうもこのルール が存在しないのではないか？ AWS と疑問に思ってしまったため、検証を⾏い確認していこうと思います。 第⼀回⽬はIAMポリシーについてまとめます。 ２．ポリシー適応の検証 本稿では、私が気になる以下の点について、IAMユーザの権限はどうなるのかを確 認していきます。 新規ユーザを作成し、空のIAMポリシーを適応する ポリシー適応ルールについてまとめてみた IAM 1

• https://twitter.com/pero_nw

フルアクセスのpermitポリシーのみを適応する EC2フルアクセスのdenyポリシーのみを適応する 同じstatementにEC2フルアクセスのpermitとEC2コンソールの表⽰のdenyを 記載する ※適応は記載順 同じstatementにEC2コンソールの表⽰のdenyとEC2フルアクセスのpermitを 記載する ※適応は記載順 EC2 結論： ポリシーには暗黙のDenyが存在し、許可したリソースのみアクセスが 可能となる 上からポリシーを適応するという法則は無く、Denyが優先的に適応される IAM ３．検証結果 ３-１．新規ユーザを作成し、空のIAMポリシーを適応する ポリシー適応ルールについてまとめてみた IAM 2

結果： どのリソースへもアクセスできない。 以上よりIAMポリシーには暗黙のDenyが存在し、許可したリソースのみアクセ スが可能と推測 よって、次の検証の EC2フルアクセスのpermitポリシーのみを適応する EC2フルアクセスのdenyポリシーのみを適応する こちらは、結果が⾒えているので割愛する。 ３-２．同じstatementにEC2フルアクセスのpermitとEC2コンソー ルの表⽰のdenyを記載する { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "ec2:*", "Resource": "*" }, { "Effect": "Deny", "Action": "ec2:Describe*", "Resource": "*" } ] } ポリシー適応ルールについてまとめてみた IAM 3

結果： 起動しているEC2が⾒えなくなった。インスタンスの起動等 describe権限以外 は操作可能 ３-３．同じstatementにEC2コンソールの表⽰のdenyとEC2フルア クセスのpermitを記載する { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ec2:Describe*", "Resource": "*" }, { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "ec2:*", "Resource": "*" } ] } 結果： 3-2と同じ結果となった。上からポリシーを適応するという法則は無く、Denyが 優先的に適応される ポリシー適応ルールについてまとめてみた IAM 4

以上、次はS3バケットポリシーの適応ルールについてまとめます。 ⽇々、Twitterにて検証を通してAWSなどネットワーク全般の情報を発信してますの で、フォロー頂けたら幸いです！ JavaScript is not available. https://twitter.com/pero_nw ポリシー適応ルールについてまとめてみた IAM 5

• https://twitter.com/pero_nw