😺

IAMポリシー権限の優先度を確認してみた

2024/05/05に公開

AWS

CLI

IAM

tech

はじめに

こんにちは。（心の内では）健康を目指して日々精進しているshimojです。
普段はデータ分析基盤周りに関する業務を担当しておりますがAWS関連の対応をすることもあります。

最近、所定のIAMグループに属する各IAMユーザーが、S3バケット内の特定オブジェクトキーに対しての操作権限を設定しました。
IAMグループに指定するIAMポリシーの「Deny」は「Allow」ルールよりも優先されます。
本記事では特定のIAMグループに所属するユーザーの動作設定を確認します。

全体像

権限確認のため、以下図のようにIAMグループに所属したIAMユーザーを2つ作成します。
IAMグループ①にはAWS管理の「AmazonS3FullAccesss」ポリシーを、IAMグループ②には後述する特定キー配下以外の操作権限を拒否（Deny）するカスタムポリシーを作成しそれぞれアタッチします。

ユーザーが所属するグループと、オブジェクトキー配下の操作権限を表に記載します。

IAMユーザー	IAMグループ①	IAMグループ②	オブジェクトキー1配下	オブジェクトキー2配下
IAMユーザー①	所属	ー	操作可能	操作可能
IAMユーザー②	所属	所属	操作可能	操作不可

IAMグループ②に指定するポリシー

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "OnlyTargetS3Path",
            "Effect": "Deny",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:DeleteObject"
            ],
            "NotResource": [
                "arn:aws:s3:::{S3バケット名}/{オブジェクトキー1}/*"
            ]
        }
    ]
}

動作確認

IAMユーザーを2つを指定したグループに所属した状態で動作確認を行います。
確認は2つのユーザーそれぞれが「オブジェクトキー1と2」に対して、以下3つの操作を実施します。

ローカルファイルの「アップロード」
S3にアップロードされたファイルの「ダウンロード」
該当オブジェクトキーのファイルを「削除」

実行時にはCLIコマンドを利用して動作確認を行いましたので、利用したコードを記載します。
オブジェクトキーやファイル名などは各IAMユーザーで異なるためそれぞれの値に適宜変更します。

# 1. アップロード確認コマンド
$ aws-vault exec {IAMユーザー} -- aws s3 cp {ローカルパス}/{ファイル名} s3://{バケット名}/{オブジェクトキー}/

# 2. ダウンロード確認コマンド
$ aws-vault exec {IAMユーザー} -- aws s3 cp s3://{バケット名}/{オブジェクトキー}/{ファイル名} {ローカルパス}/{ファイル名}

# 3. 削除確認コマンド
$ aws-vault exec {IAMユーザー} -- aws s3 rm s3://{バケット名}/{オブジェクトキー}/{ファイル名}

実行結果

CLIの実行結果をを表にまとめます。
結果より、IAMグループ②に所属したIAMユーザー②から「オブジェクトキー2」配下に対して操作権限がないため実行が失敗したことを確認しました。

No	IAMユーザー	パス	アップロード	ダウンロード	削除
1	IAMユーザー①	オブジェクトキー1	成功	成功	成功
2	IAMユーザー①	オブジェクトキー2	成功	成功	成功
3	IAMユーザー②	オブジェクトキー1	成功	成功	成功
4	IAMユーザー②	オブジェクトキー2	権限不足	権限不足	権限不足

CLIコマンド実行時の成功と失敗（権限不足）結果を一部記載します。

## 成功_ユーザー①が「オブジェクトキー2」へ対するアップロード
$ aws-vault exec IAMユーザー① -- aws s3 cp upload1_2.text s3://{バケット名}/{オブジェクトキー2}/
upload: ./upload1_2.text to s3://{バケット名}/{オブジェクトキー2}/upload1_2.text

## 失敗_ユーザー②が「オブジェクトキー2」へ対するアップロード
$ aws-vault exec IAMユーザー② -- aws s3 cp upload2_2.text s3://{バケット名}/{オブジェクトキー2}/
upload failed: ./upload2_2.text to s3://{バケット名}/{オブジェクトキー2}/upload2_2.text An error occurred (AccessDenied) when calling the PutObject operation: Access Denied

まとめ

IAMポリシーの「Deny」と「Allow」を付与した場合「Deny」の優先を確認しました。
IAMの権限周りに関する運用を考慮する際には、複数のグループに所属させる必要があったりする場合がありますのでこの記事がどなたかの参考になれば幸いです。

余談

S3バケットはListする際にバケット単位で読み込み権限を指定します。
AWSコンソール画面からS3バケットを参照する必要がある場合、特定パス以外の参照も不可にする権限を追加すると、"s3:ListBucket"、AWS s3 lsなども失敗しますので少しはまりました。。

GitHubで編集を提案

はじめに

全体像

動作確認

実行結果

まとめ

余談

Discussion