共通のAWSプロダクションアカウントを共有する複数のチームがあります。すべてのチームにすべてのタイプのリソース(AdministratorAccess)を近くで作成できるように、各チームにIAMロールを付与したいと考えています。 しかし、チームを分けてお互いのスタックを変更しないようにするには、それを防ぐメカニズムが必要です。特定のタグを持つCRUD CloudFormationスタックに対するIAMの役割を制限する
これを達成するためのオプションは何ですか?
ポリシー文書でConditionフィールドを使用できます。
たとえば、以下のポリシーでは、ユーザ名がオーナーとタグ付けされている場合にのみ、DBInstanceの削除/再起動/修正のみが可能になります。
{
"Action": [
"rds:DeleteDBInstance",
"rds:RebootDBInstance",
"rds:ModifyDBInstance"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {
"rds:db-tag/Owner": "${aws:username}"
}
}
}
他の例についてはExample Policiesをご覧ください。
これが役立ちますように!
この場合、管理者はスタック作成を行う必要がありますが、それでもユースケースに合っていますか?たとえば、私はまだ試してみませんが、teamAロールのARNをスタックに挿入して、そのスタックだけを削除して更新ポリシーを適用するのは簡単です。しかし、チームAが他のスタック上の更新プログラムを実行するのを防ぐために、ロールが作成されたときに特定のリソースまたはスタックに固定する必要があるため、新しいものを作成することはできません。これはあまりにも制限的でしょうか? –
チームは、スタックの作成の最初から管理者でなければなりません。たとえば、特定のタグを持つスタック上の作成/更新/削除のみを可能にする役割に関するポリシーを作成することをお勧めします。 –