カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する
ポリシーでは、AWS 内の ID やリソースに対するアクセス許可を定義します。AWS Management Console、AWS CLI、または AWS API を使用して、IAM にカスタマー管理ポリシーを作成できます。カスタマー管理ポリシーは、自分の AWS アカウントで管理するスタンドアロンポリシーです。その後、ポリシーを AWS アカウント のアイデンティティ (ユーザー、グループ、またはロール) にアタッチできます。
ID ベースのポリシーは、IAM の ID にアタッチされるポリシーです。ID ベースのポリシーには、AWS マネージドポリシー、カスタマー管理ポリシー、インラインポリシーがあります。AWS マネージドポリシーは、AWS によって作成および管理されるポリシーで、ユーザーは使用することはできますが、管理することはできません。インラインポリシーは、IAM ユーザーグループ、ユーザー、またはロールに直接作成して埋め込むポリシーです。インラインポリシーは、他の ID で再利用したり、埋め込み先の ID 以外で管理したりすることはできません。詳細については、「IAM ID のアクセス許可の追加および削除」を参照してください。
一般に、インラインポリシーや AWS マネージドポリシーではなくカスタマー管理ポリシーを使用する方が効果的です。AWS マネージドポリシーには通常、広範な管理アクセス許可または読み取り専用アクセス許可が用意されています。セキュリティを最大限に高めるには、最小特権を付与します。つまり、特定のジョブタスクの実行に必要なアクセス許可のみを付与します。
IAM ポリシーを作成または編集すると、AWS は、ポリシー検証を自動的に実行し、最小限の権限で効果的なポリシーを作成するのに役立ちます。AWS Management Console では、IAM は JSON 構文エラーを識別します。一方、IAM Access Analyzer は、ポリシーをさらに絞り込むのに役立つ推奨事項を含む追加のポリシーチェックを提供します。ポリシーの検証の詳細については、「IAM ポリシーの検証」を参照してください。IAM Access Analyzer のポリシーチェックと実用的な推奨事項の詳細については、「IAM Access Analyzer ポリシーの検証」を参照してください。
AWS Management Console、AWS CLI、または AWS API を使用して、IAM でカスタマー管理ポリシーを作成できます。AWS CloudFormation テンプレートを使用してポリシーを追加または更新する方法については、「AWS CloudFormation ユーザーガイド」の「AWS Identity and Access Management リソースタイプリファレンス」を参照してください。