Slide 31
Slide 31 text
アカウント毎のIAM操作権限と運用例
◼ スタートアップにおいてはスピードが求められるため、開発を阻害し過ぎないことも重要
31
AWS Cloud(開発) AWS Cloud(ステージング) AWS Cloud(本番)
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"iam:Get*",
"iam:List*",
"iam:PassRole",
"iam:CreatePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicy",
"iam:DeletePolicyVersion",
"iam:SetDefaultPolicyVersion",
"iam:CreateRole",
"iam:DeleteRole",
"iam:UpdateRole*",
"iam:PutRolePolicy",
"iam:AttachRolePolicy",
"iam:DetachRolePolicy",
"iam:DeleteRolePolicy",
"iam:CreateInstanceProfile",
"iam:AddRoleToInstanceProfile",
"iam:UpdateAssumeRolePolicy"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
PowerUserAccess +
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"iam:Get*",
"iam:List*",
"iam:PassRole"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"iam:Get*",
"iam:List*",
"iam:PassRole"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
開発環境は手作業のIAM操作をある程度許容
開発者はここでCloudFormationテンプレートを作成
過剰な権限作成に気付ける仕組みは用意しておく
AWS CloudFormation
前述のCloudFormation-Role
指定
ステージング環境と本番環境は、
開発環境で作成したテンプレートをデプロイする