IAM 高度なポリシー設計とベストプラクティス
エンタープライズレベルのAWS環境では、複雑なセキュリティ要件に対応する高度なIAMポリシー設計が必要です。本ガイドでは、条件付きアクセス制御、権限境界、動的ポリシー、属性ベースアクセス制御(ABAC)などの高度な機能を活用した実践的な設計手法を解説します。
高度なポリシー設計パターン
属性ベースアクセス制御(ABAC)
ABACは、ユーザー、リソース、環境の属性に基づいて動的にアクセス権限を決定する手法です。従来のロールベースアクセス制御(RBAC)よりも柔軟で細かい制御が可能です。
タグベースアクセス制御
json
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToOwnProjects",
"Effect": "Allow",
"Action": [
"ec2:*",
"s3:*",
"rds:*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/ProjectOwner": "${aws:username}",
"aws:ResourceTag/Department": "${aws:PrincipalTag/Department}"
}
}
},
{
"Sid": "AllowCreateResourcesWithTags",
"Effect": "Allow",
"Action": [
"ec2:CreateTags",
"ec2:RunInstances",
"s3:CreateBucket"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": "${aws:PrincipalTag/AllowedRegions}",
"ec2:CreateAction": "RunInstances"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"ProjectOwner",
"Department",
"Environment",
"CostCenter"
]
},
"StringLike": {
"aws:RequestTag/ProjectOwner": "${aws:username}"
}
}
}
]
}動的権限の実装
json
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DynamicEnvironmentAccess",
"Effect": "Allow",
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Environment": "${aws:PrincipalTag/AccessibleEnvironments}"
},
"DateBetween": {
"aws:CurrentTime": {
"aws:RequestTag/AccessStartTime": "aws:RequestTag/AccessEndTime"
}
}
}
}
]
}条件付きアクセス制御の詳細
時間ベースアクセス制御
json
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "BusinessHoursAccess",
"Effect": "Allow",
"Action": "*",
"Resource": "*",
"Condition": {
"DateGreaterThan": {
"aws:CurrentTime": "08:00Z"
},
"DateLessThan": {
"aws:CurrentTime": "18:00Z"
},
"ForAllValues:StringEquals": {
"aws:RequestedRegion": ["us-east-1", "us-west-2"]
}
}
},
{
"Sid": "EmergencyAccess",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"cloudwatch:GetMetricStatistics",
"logs:DescribeLogGroups"
],
"Resource": "*",
"Condition": {
"Bool": {
"aws:MultiFactorAuthPresent": "true"
},
"NumericLessThan": {
"aws:MultiFactorAuthAge": "3600"
}
}
}
]
}ネットワーク制限とデバイス制御
json
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "OfficeNetworkOnly",
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"IpAddressIfExists": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
},
{
"Sid": "RequireMFAForSensitiveActions",
"Effect": "Deny",
"Action": [
"iam:*",
"organizations:*",
"account:*"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "false"
}
}
}
]
}権限境界(Permissions Boundaries)
権限境界は、IAMエンティティに設定できる最大権限を定義するマネージドポリシーです。アイデンティティベースポリシーと権限境界の両方で許可されたアクションのみが実行可能になります。
開発者向け権限境界
json
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DeveloperBoundary",
"Effect": "Allow",
"Action": [
"ec2:*",
"s3:*",
"lambda:*",
"apigateway:*",
"dynamodb:*",
"cloudwatch:*",
"logs:*",
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": [
"us-east-1",
"us-west-2"
]
}
}
},
{
"Sid": "AllowPassRoleToSpecificServices",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"lambda.amazonaws.com",
"ec2.amazonaws.com",
"ecs-tasks.amazonaws.com"
]
}
}
},
{
"Sid": "DenyDangerousActions",
"Effect": "Deny",
"Action": [
"iam:CreateUser",
"iam:DeleteUser",
"iam:CreateRole",
"iam:DeleteRole",
"organizations:*",
"account:*"
],
"Resource": "*"
}
]
}権限境界の活用パターン
yaml
権限境界設計パターン:
セルフサービス型開発:
- 開発者が独自のIAMロール作成可能
- 権限境界により最大権限を制限
- PassRole制限でサービスロール作成制御
委任管理:
- 部門別管理者への権限委任
- 組織レベル操作の禁止
- アカウント境界を超えない制限
一時的権限昇格:
- 特定期間のみの高権限付与
- 自動的な権限失効
- 監査ログとの連携セッション管理とSTS活用
AssumeRole チェーン設計
yaml
AssumeRole チェーン例:
開発者 → 開発環境ロール → アプリケーションロール
ステップ1: 開発者が開発環境ロールをAssume
- MFA必須
- セッション時間: 1時間
- IP制限あり
ステップ2: 開発環境ロールがアプリケーションロールをAssume
- 外部ID必須
- 特定リソースのみアクセス
- セッション時間: 15分セッションタグの活用
json
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AssumeRoleWithSessionTags",
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::ACCOUNT:role/DevelopmentRole",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": "us-east-1"
}
}
},
{
"Sid": "RequireSessionTags",
"Effect": "Allow",
"Action": "sts:TagSession",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "${aws:PrincipalTag/Department}",
"aws:RequestTag/Project": ["WebApp", "DataPipeline", "Analytics"]
}
}
}
]
}リソースベースポリシーとの連携
S3バケットポリシーとIAMの統合
json
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CrossAccountAccess",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::ACCOUNT-B:role/DataAnalysisRole"
},
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::company-analytics-data",
"arn:aws:s3:::company-analytics-data/*"
],
"Condition": {
"StringEquals": {
"s3:x-amz-server-side-encryption": "aws:kms",
"s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:us-east-1:ACCOUNT:key/12345678-1234-1234-1234-123456789012"
},
"Bool": {
"aws:SecureTransport": "true"
}
}
},
{
"Sid": "DenyInsecureConnections",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::company-analytics-data",
"arn:aws:s3:::company-analytics-data/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
}Lambda リソースベースポリシー
json
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCrossAccountInvoke",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::ACCOUNT-B:root"
},
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:us-east-1:ACCOUNT-A:function:DataProcessor",
"Condition": {
"StringEquals": {
"lambda:FunctionUrlAuthType": "AWS_IAM"
},
"IpAddress": {
"aws:SourceIp": "192.0.2.0/24"
}
}
}
]
}組織単位での高度な制御
Service Control Policies (SCP) との連携
json
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PreventLeavingOrganization",
"Effect": "Deny",
"Action": [
"organizations:LeaveOrganization",
"account:CloseAccount"
],
"Resource": "*"
},
{
"Sid": "RestrictRegions",
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:RequestedRegion": [
"us-east-1",
"us-west-2",
"eu-west-1"
]
},
"ForAnyValue:StringNotEquals": {
"aws:PrincipalServiceName": [
"cloudfront.amazonaws.com",
"iam.amazonaws.com",
"route53.amazonaws.com",
"support.amazonaws.com"
]
}
}
}
]
}クロスアカウント IAM ロール設計
yaml
クロスアカウント設計パターン:
ハブアカウント(セキュリティアカウント):
- 中央集約型IAM管理
- 監査ログの収集
- セキュリティツールの実行
スポークアカウント(各環境):
- ハブからのクロスアカウントアクセス
- 最小権限でのリソースアクセス
- 環境固有のポリシー適用動的ポリシー生成
AWS Config Rulesとの連携
yaml
動的ポリシー更新:
Config Rules:
- IAMポリシーの過度な権限検出
- 未使用権限の特定
- コンプライアンス違反の検出
Lambda 自動修復:
- 非準拠ポリシーの自動修正
- 権限の自動最適化
- アラート通知時限付きアクセス
json
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "TemporaryElevatedAccess",
"Effect": "Allow",
"Action": "*",
"Resource": "*",
"Condition": {
"DateGreaterThan": {
"aws:TokenIssueTime": "2025-01-01T00:00:00Z"
},
"DateLessThan": {
"aws:TokenIssueTime": "2025-01-01T04:00:00Z"
},
"Bool": {
"aws:MultiFactorAuthPresent": "true"
},
"NumericLessThan": {
"aws:MultiFactorAuthAge": "900"
}
}
}
]
}セキュリティ監視と異常検知
IAM Access Analyzer 高度活用
yaml
Access Analyzer 設定:
外部アクセス分析:
- Trust Zone定義
- 意図しない外部共有検出
- ポリシー検証レポート
未使用アクセス分析:
- 過去90日の使用状況分析
- 未使用権限の特定
- 最小権限提案CloudTrail 高度分析
yaml
IAM関連イベント監視:
高リスクアクション:
- AssumeRole 異常パターン
- 権限変更イベント
- MFA無効化試行
自動アラート:
- CloudWatch Events連携
- SNS通知
- Lambda自動レスポンスパフォーマンス最適化
ポリシー評価の最適化
yaml
パフォーマンス改善:
ポリシー設計:
- 条件の簡素化
- 不要な条件の削除
- 効率的なResource指定
キャッシュ活用:
- AssumeRole結果キャッシュ
- ポリシー評価結果キャッシュ
- 適切なセッション時間設定大規模環境でのスケーリング
yaml
スケーラビリティ設計:
ポリシー管理:
- 標準化されたポリシーテンプレート
- Infrastructure as Code
- 自動化されたポリシー配布
監視とメンテナンス:
- 定期的な権限監査
- 自動化された最適化
- 継続的なセキュリティ改善トラブルシューティングとデバッグ
IAM Policy Simulator 活用
yaml
Policy Simulator 使用例:
権限テスト:
- 新しいポリシーの事前検証
- 権限変更の影響確認
- 複雑な条件の動作確認
デバッグプロセス:
- アクセス拒否の根本原因特定
- 条件ロジックの検証
- 権限境界との相互作用確認一般的な問題と解決策
yaml
よくある問題:
権限が複雑すぎる:
- ポリシーの簡素化
- 権限の整理統合
- 文書化の強化
パフォーマンス問題:
- 条件評価の最適化
- ポリシーサイズの削減
- キャッシュ戦略の見直し
セキュリティホール:
- 権限の定期レビュー
- 最小権限原則の徹底
- 自動化された監査まとめ
高度なIAMポリシー設計は、エンタープライズレベルのセキュリティ要件を満たすために不可欠です。属性ベースアクセス制御、権限境界、動的ポリシーなどの機能を適切に活用することで、セキュリティとユーザビリティのバランスを保ちながら、スケーラブルなアクセス制御システムを構築できます。継続的な監視、最適化、そして自動化により、複雑なクラウド環境においても効果的なセキュリティガバナンスを維持できます。
引用元:
- https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html
- https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html
- https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html
- https://docs.aws.amazon.com/IAM/latest/UserGuide/access_analyzer-policy-validation.html
- https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html