IAM ポリシーの作成

ポリシー は、ID またはリソースにアタッチされたときに、そのアクセス許可を定義するエンティティです。AWS Management Console、AWS CLI、または AWS API を使用して、IAM でカスタマー管理ポリシーを作成できます。カスタマー管理ポリシーは、独自の AWS アカウント で管理するスタンドアロンポリシーです。その後、ポリシーを AWS アカウント のアイデンティティ (ユーザー、グループ、またはロール) にアタッチできます。

IAM のアイデンティティにアタッチされたポリシーは、アイデンティティベースのポリシーと呼ばれます。アイデンティティベースのポリシーには、AWS 管理ポリシー、カスタマー管理ポリシー、およびインラインポリシーがあります。AWS 管理ポリシーは、AWS によって作成されて管理されます。それらを使用することはできますが、管理することはできません。インラインポリシーは、IAM グループ、ユーザー、またはロールに直接作成して埋め込むポリシーです。インラインポリシーは、他のアイデンティティで再利用したり、それが存在するアイデンティティ以外で管理したりすることはできません。詳細については、「IAM ID のアクセス許可の追加および削除」を参照してください。

インラインポリシーではなくカスタマー管理ポリシーを使用します。また、AWS 管理ポリシーではなくカスタマー管理ポリシーを使用することもお勧めします。通常、AWS 管理ポリシーでは、広範な管理アクセス許可または読み取り専用アクセス許可が提供されます。セキュリティを最大限に高めるには、最小特権を付与します。最小特権は、特定のジョブタスクの実行に必要なアクセス許可のみを付与します。

IAM ポリシーを作成または編集すると、AWS は、ポリシー検証を自動的に実行し、最小限の権限で効果的なポリシーを作成するのに役立ちます。AWS Management Console では、IAM は JSON 構文エラーを識別します。一方、IAM Access Analyzer は、ポリシーをさらに絞り込むのに役立つ推奨事項を含む追加のポリシーチェックを提供します。ポリシーの検証の詳細については、「IAM ポリシーの検証」を参照してください。IAM Access Analyzer のポリシーチェックと実用的な推奨事項の詳細については、「IAM Access Analyzer ポリシーの検証」を参照してください。

AWS Management Console、AWS CLI、または AWS API を使用して、IAM でカスタマー管理ポリシーを作成できます。AWS CloudFormation テンプレートを使用してポリシーを追加または更新する方法については、「AWS CloudFormation ユーザーガイド」の「AWS Identity and Access Management リソースタイプリファレンス」を参照してください。