AWSアカウント利用者全員に影響のあるIAMを極める 高い知識 AWS CloudFormation の テンプレート化により、再利用性が高い ⇒Organizations+SSOが標準化してきているので、付加価値は低下 ホワイトリストパターン ブラックリストパターン 拒否 許可 Start 許可 Stop 許可 Describe * 許可 拒否 IAM 拒否 VPC 拒否 S3 設計の方針決め IAMポリシーへの落とし込み 自パスワード変更 (カスタマ管理ポリシー) IPアドレス制限 (カスタマ管理ポリシー) LambdaFullAccess禁止 (カスタマ管理ポリシー) ネットワーク操作禁止 (カスタマ管理ポリシー) PowerUser (AWS管理ポリシー) 開発者IAMグループ { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "*", "Condition": { "NotIpAddress": { "aws:SourceIp": [ "8.8.8.8/32" ] } }, "Resource": "*" }, { "Effect": "Deny", "NotAction": [ "iam:*" ], "Resource": "*", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } ] } テンプレート化