IAM ポリシー評価ロジック
下記の順で評価される。
- 明示的なDeny
- 明示的なAllow
- 暗黙的なDeny
ポイントは、Denyステートメントに該当すればAllowがあっても拒否されること。
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_policies_evaluation-logic.html
CloudFormationとIPアドレス制限
IPアドレス制限をしたアカウントでCloudFormationを実行すると権限エラーが発生する。 CloudFormationが内部リソースで実行され、その時のIPアドレスで評価されるため。
対策としては、IP制限無しのロールスイッチするか、CloudFormation実行時のロール指定を利用する。