ユーザ用ツール

サイト用ツール


aws:iam:iam-example

IAM利用例

利用例:AWS管理コンソールのグローバルIP制限(ローカルIP制限)

AWS管理コンソールへのグローバルIP制限といっても、ログインを制限することはできません。
ログイン後に何も権限を与えないことができる設定になります。
ログイン後にEC2のインスタンス情報など何も見えなくなる設定です。

※グローバルIPだけではなく、ローカルIPの制限も同じように設定します。192.168.100.0/24

ポリシーの作成

AllowAssumeRoleWithSourceIPRestriction

例1

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SourceIPRestriction",
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "xxx.xxx.xxx.xxx/32",
                        "yyy.yyy.yyy.yyy/24",
                        "zzz.zzz.zzz.zzz/zz"
                    ]
                }
            }
        }
    ]
}

例2
LambdaやSecrets Managerの問題に対応する場合

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SourceIPRestriction",
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "xxx.xxx.xxx.xxx/32",
                        "yyy.yyy.yyy.yyy/24",
                        "zzz.zzz.zzz.zzz/zz"
                    ]
                }
            }
        },
        "StringNotEquals": {
          "kms:ViaService": [
            "secretsmanager.ap-northeast-1.amazonaws.com",
            "lambda.ap-northeast-1.amazonaws.com"
           ]
        }
    ]
}

IP制限ポリシーのアタッチ

作成したIP制限ポリシーをロールかグループかユーザに割り当てます。


利用例:Switch Roleによるアカウント管理

Switch Roleによるアカウント管理とは

複数のアカウントがあると、利用したいアカウントにログインしたり、ログアウトする必要がありますが、
Switch Roleを利用すると、1つログインすると、Switch Roleで、他のアカウントを利用することができます。

社員が増えたり、減ったりしますが、1環境のみユーザを作ればよく、各アカウントごとにユーザを作る必要がなくなります。


スイッチ先での設定(ロールを作成)

ロール設定

  • 「ロールの作成」をクリック
  • 「別のAWSアカウント」を選択
  • アカウントID「111111111111」を入力
  • 成りたいポリシーを選択(例:AdministratorAccess)
  • ロール名を入力 (例:SwichDeveloper)

信頼関係

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS: "arn:aws:iam::xxxxxxx:role:xxxxxxx"
     },
     "Action": "sts:AssumeRole",
     "Condition": {
       "IpAddress": {
         "aws:SourceIp": [
             "xx.xx.xx.xx/32",
             "xx.xx.xx.xx/32"
         ]
       }
     }
    }
  ]
}


スイッチ元での設定

グループにポリシー作成
  • Switch Roleさせたいグループを選択し、アクセス許可タブから、インラインポリシーを作成します。
  • カスタムポリシーを作成します
    ポリシー名: SwichDeveloper
    
    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": "sts:AssumeRole",
          "Resource": "arm:aws:iam::11111111:role/SwitchDeveloper"
          
        }
      ]
    }
    


利用例:MFA を必須にする


利用例:請求書確認用のIAMを作る

aws/iam/iam-example.txt · 最終更新: 2021/02/03 09:27 by kurihara

ページ用ツール