🙆‍♀️

AWS Certificate Managerで特定の証明書の更新(インポート)を行うIAMポリシーの設定

2024/04/24に公開

AWS(Amazon Web Services)のIAM(Identity and Access Management)を利用する際に、特定の証明書の管理操作、具体的には更新とインポートを許可するポリシーの設定方法を解説します。これにより、セキュリティを維持しつつ、必要な操作のみを許可する細かなアクセスコントロールが可能になります(不必要な権限は絶対与えない、不必要な実行は絶対させない)。

ステップ1: ポリシーの作成

AWS管理コンソールにログイン後、IAMダッシュボードから「ポリシーの作成」を選択します。ビジュアルエディタを使い、以下のJSONフォーマットのポリシーを定義します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "acm:RenewCertificate",
                "acm:ImportCertificate"
            ],
            "Resource": "arn:aws:acm:region:account-id:certificate/certificate-id"
        }
    ]
}

このポリシーでは、acm:RenewCertificateacm:ImportCertificate の2つのアクションを許可しています。これにより、指定した証明書の更新とインポートが可能になります。Resource フィールドには、操作を許可する証明書のARNを指定します。

ステップ2: ロールへのポリシーのアタッチ

ポリシーを作成したら、次にそれをIAMロールにアタッチします。IAMダッシュボードで「ロール」を選択し、新しいロールを作成するか既存のロールを使用します。ロールの設定画面で「ポリシーのアタッチ」を選び、作成したポリシーを適用します。

注意点

  • リージョンとアカウントID: ポリシー中のARNには、使用するAWSアカウントのリージョンとアカウントIDが正確に反映されている必要があります。
  • 証明書ID: 各証明書の具体的なIDも正確に指定する必要があります。これにより、特定の証明書に対する限定的なアクセスが可能になります。

この設定により、特定のAWSリソースに対して厳格なアクセス制御を行い、セキュリティを強化しつつ必要な操作をスムーズに行うことができます。AWSでの証明書管理作業を行う際には、このようなポリシー設定が非常に重要になります。

Discussion