tkhrsskの日記

技術ネタなど

AWS IAMに関するメモ

IAM ポリシー評価ロジック

下記の順で評価される。

  1. 明示的なDeny
  2. 明示的なAllow
  3. 暗黙的なDeny

ポイントは、Denyステートメントに該当すればAllowがあっても拒否されること。

https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_policies_evaluation-logic.html

CloudFormationとIPアドレス制限

IPアドレス制限をしたアカウントでCloudFormationを実行すると権限エラーが発生する。 CloudFormationが内部リソースで実行され、その時のIPアドレスで評価されるため。

対策としては、IP制限無しのロールスイッチするか、CloudFormation実行時のロール指定を利用する。

参考: AWSの薄い本 IAMのマニアックな話 - 佐々木拓郎のオンライン本屋 - BOOTH