195 Views
October 10, 22
スライド概要
IAMポリシーについてまとめました!
ポリシー適応ルールについて まとめてみた IAM 作成⽇ 技術タグ 最終更新 参考 @2022/10/01 AWS IAM @October 10, 2022 5:17 PM Property Twitter https://twitter.com/pero_nw 1.概要 ネットワークでよく使われるアクセスリストやファイアーフォールポリシーには基 本的に特殊なルールが存在します。 たとえば、暗黙のDenyやポリシー適応順序です。 のポリシー(主に、IAM、S3、KMSなど)をいじっていて、どうもこのルール が存在しないのではないか? AWS と疑問に思ってしまったため、検証を⾏い確認していこうと思います。 第⼀回⽬はIAMポリシーについてまとめます。 2.ポリシー適応の検証 本稿では、私が気になる以下の点について、IAMユーザの権限はどうなるのかを確 認していきます。 新規ユーザを作成し、空のIAMポリシーを適応する ポリシー適応ルールについてまとめてみた IAM 1
フルアクセスのpermitポリシーのみを適応する EC2フルアクセスのdenyポリシーのみを適応する 同じstatementにEC2フルアクセスのpermitとEC2コンソールの表⽰のdenyを 記載する ※適応は記載順 同じstatementにEC2コンソールの表⽰のdenyとEC2フルアクセスのpermitを 記載する ※適応は記載順 EC2 結論: ポリシーには暗黙のDenyが存在し、許可したリソースのみアクセスが 可能となる 上からポリシーを適応するという法則は無く、Denyが優先的に適応される IAM 3.検証結果 3-1.新規ユーザを作成し、空のIAMポリシーを適応する ポリシー適応ルールについてまとめてみた IAM 2
結果: どのリソースへもアクセスできない。 以上よりIAMポリシーには暗黙のDenyが存在し、許可したリソースのみアクセ スが可能と推測 よって、次の検証の EC2フルアクセスのpermitポリシーのみを適応する EC2フルアクセスのdenyポリシーのみを適応する こちらは、結果が⾒えているので割愛する。 3-2.同じstatementにEC2フルアクセスのpermitとEC2コンソー ルの表⽰のdenyを記載する { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "ec2:*", "Resource": "*" }, { "Effect": "Deny", "Action": "ec2:Describe*", "Resource": "*" } ] } ポリシー適応ルールについてまとめてみた IAM 3
結果: 起動しているEC2が⾒えなくなった。インスタンスの起動等 describe権限以外 は操作可能 3-3.同じstatementにEC2コンソールの表⽰のdenyとEC2フルア クセスのpermitを記載する { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ec2:Describe*", "Resource": "*" }, { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "ec2:*", "Resource": "*" } ] } 結果: 3-2と同じ結果となった。上からポリシーを適応するという法則は無く、Denyが 優先的に適応される ポリシー適応ルールについてまとめてみた IAM 4
以上、次はS3バケットポリシーの適応ルールについてまとめます。 ⽇々、Twitterにて検証を通してAWSなどネットワーク全般の情報を発信してますの で、フォロー頂けたら幸いです! JavaScript is not available. https://twitter.com/pero_nw ポリシー適応ルールについてまとめてみた IAM 5