アクセス許可について
機能のオンボーディングプロセスの一環として、ユーザーは、顧客の AWS アカウントでリクエストを行うためのアクセス許可を定義するポリシーを、IAM に登録する必要があります。この登録プロセスは、顧客向けにより一貫性のあるエクスペリエンスが用意されているため、ポリシー作成時のよくある落とし穴を回避できます。
登録中、AWS はユーザーのポリシーを一連の妥当性に照らして評価します。これらの妥当性は、ポリシーの形式と構造を標準化し、既知のアンチパターンに対して基本的な保護を行うことを目的としています。また、権限昇格、意図しないクロスアカウントアクセス、顧客アカウント内の高価値なリソースに対する広範なアクセス、に関連したリスクも軽減します。
アクセス許可タイプ
AWS は、アクセス許可には一時的な許可と長期的な許可の 2 種類があるとみなしています。
一時的なアクセス許可
一時的なアクセス許可は、一時的に委任されたアクセスセッションに割り当てられたアクセス許可を制限します。一時的なアクセス許可は、委任セッションに適用されるポリシーテンプレートで説明されています。このテンプレートは、委任リクエストの作成時にユーザーが指定するパラメータをサポートします。その後、これらのパラメータ値はセッションに結び付けられます。一時的なアクセス許可は、AWS STS 現在利用可能なセッションポリシーと同じ方法で機能します。セッションポリシーは、基盤となるユーザーの機能を制限しますが、追加のアクセス許可は付与しません。詳細については、セッションポリシーに関する AWS STS のドキュメントを参照してください。
有効期間の長いアクセス許可
有効期間の長いアクセス許可は、一時的なアクセス許可を通じて作成または管理されているロールのアクセス許可を制限します。有効期間の長いアクセス許可は、IAM アクセス許可の境界として実装されます。アクセス許可の境界は、オンボーディングの一環として 1 つ以上を AWS に送信することができます。承認されると、AWS はユーザーに、ユーザーのポリシーで参照できるポリシー ARN を共有します。
これらの境界ポリシーには注目すべき 2 つの機能があります。1 つめはイミュータブルであることです。アクセス許可を更新するときは、新しいアクセス許可の境界を登録できます。その後、新しい委任リクエストを送信することで新しいアクセス許可の境界を顧客のロールにアタッチできます。2 つめは、ポリシーがテンプレート化されないことです。同一の境界ポリシーがグローバルに共有されているため、ポリシーを顧客ごとに変えることはできません。
重要
アクセス許可の境界の文字数の上限は 6,144 文字です。
注記
アクセス許可の境界またはポリシーテンプレートを更新する場合は、IAM (aws-iam-partner-onboarding@amazon.com) までご連絡ください。新しいアクセス許可の境界が登録されたら、顧客に委任リクエストを送信して IAM ロールを更新し、新しく登録されたアクセス許可の境界をアタッチすることができます。詳細は、「例」の項目を参照してください。
ユースケース例: データ処理のワークロード
製品プロバイダーがデータ処理のワークロードを顧客アカウントで実行するケースを考えてみましょう。このプロバイダーは、最初のオンボーディング中にインフラストラクチャをセットアップする必要がありますが、ワークロードを操作するには継続的なアクセス許可も必要です。
一時的なアクセス許可 (初期設定用):
Amazon EC2 インスタンス、VPC、セキュリティグループを作成する
処理されたデータの Amazon S3 バケットを作成する
継続的な操作用の IAM ロールを作成する
アクセス許可の境界を IAM ロールにアタッチする
有効期間の長いアクセス許可 (継続的な操作向けの、アクセス許可の境界を持つ IAM ロール):
処理ジョブを実行するために Amazon EC2 インスタンスを起動/停止する
Amazon S3 バケットから入力データを読み取る
処理の結果を Amazon S3 バケットに書き込む
一時的なアクセス許可は、インフラストラクチャを設定するオンボーディングの最中に 1 回使用します。この処理の最中に作成された IAM ロールには、継続的なワークロード管理に必要な操作のみにアクセス許可の上限を制限するアクセス許可の境界があります。これにより、ロールのポリシーが変更された場合でも、この境界で定義されたアクセス許可を超えることはできなくなります。
