AWS 役割別 IAM管理ポリシー
IAMポリシーを役割別に管理しようとすると、どんどん複雑になっていきます。
例えば、管理者と開発者は分けたいとか、本番環境のアクセスは絞りたいとか、いろいろあると思います。
個人的には用意されているものを組み合わせて使うのが良いと思っています。
ということで、よくリンクがわからなくなる「職務機能の AWS 管理ポリシー」をメモしておきます。
docs.aws.amazon.com
- 管理者: AdministratorAccess
- 請求: Billing
- データベース管理者: DatabaseAdministrator
- データサイエンティスト: DataScientist
- 開発者パワーユーザー: PowerUserAccess
- ネットワーク管理者: NetworkAdministrator
- システム管理者: SystemAdministrator
- セキュリティ監査人: SecurityAudit
- サポートユーザー: SupportUser
- 閲覧専用ユーザー: ViewOnlyAccess
開発時はIAMをいじれる人はAdministratorAccess、IAMをいじれない人はPowerUserAccess or SystemAdministratorにしておいて、本番運用が始まるときに他のポリシーにして権限を絞るイメージでしょうか。
あとは必要に応じてBillingをつけましょう。
監査要員はViewOnlyAccessで充分でしょう。ただしS3に個人情報などが入ってる場合は、S3側でアクセスをちゃんと絞りましょう。(例えばVPCエンドポイントで絞る)