https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/access_policies_boundaries.html
https://dev.classmethod.jp/articles/iam-policies-evaluation-logic-rikai/
アカウントAで、アカウントBが引き受けできる共有ロールを、境界ポリシー有と無で作成する
有の場合、境界ポリシーで許可されてない処理ができないことを確認する
-- 1. コマンド等のインストール
-- 1.1 aws cli version 2 インストール
curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip"
unzip awscliv2.zip
sudo ./aws/install
aws --version
-- 1.2 jqインストール
sudo yum -y install jq
-- 2. S3 バケットを作成する
aws s3 mb s3://bucket123
aws s3 ls
-- 3. バケットにオブジェクトをアップロードする
echo test01 > test01.txt
aws s3api put-object --bucket bucket123 --key test01.txt --body test01.txt
aws s3 ls s3://bucket123 --recursive
-- 4. 境界ポリシーのない共有ロールの作成
-- 4.1 許可ポリシーの作成
{
"Version": "2012-10-17",
"Id": "id01",
"Statement": [
{
"Effect": "Allow",
"Action": [ "s3:GetObject",
"s3:PutObject"
],
"Resource": "arn:aws:s3:::bucket123/*"
}
]
}
aws iam create-policy \
--policy-name policy01 \
--policy-document file://policy01.json
-- 4.2 ロールの作成
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::888888888888:root"
},
"Action": "sts:AssumeRole"
}
]
}
aws iam create-role \
--role-name role01 \
--assume-role-policy-document file://role01.json
-- 4.3 許可ポリシーをロールにアタッチ
aws iam attach-role-policy --policy-arn arn:aws:iam::999999999999:policy/policy01 --role-name role01
-- 5. 境界ポリシーのある共有ロールの作成
-- 5.1 境界ポリシーの作成
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::bucket123/*"
}
]
}
aws iam create-policy \
--policy-name policy02 \
--policy-document file://policy02.json
-- 5.2 ロールの作成
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::888888888888:root"
},
"Action": "sts:AssumeRole"
}
]
}
aws iam create-role \
--role-name role02 \
--assume-role-policy-document file://role02.json
-- 5.3 許可ポリシーをロールにアタッチ
aws iam attach-role-policy \
--policy-arn arn:aws:iam::999999999999:policy/policy01 \
--role-name role02
-- 5.4 境界ポリシーをロールにアタッチ
aws iam put-role-permissions-boundary \
--permissions-boundary arn:aws:iam::999999999999:policy/policy02 \
--role-name role02
-- 6. 動作確認
※ アカウントBの管理者ユーザで実行
-- 6.1 境界ポリシーのない共有ロールの場合
aws sts assume-role --role-arn arn:aws:iam::999999999999:role/role01 --role-session-name test10
※aws_session_tokenも環境変数(AWS_SESSION_TOKEN)に設定する
aws s3api get-object --bucket bucket123 --key test01.txt test11.txt
echo test12 > test12.txt
aws s3api put-object --bucket bucket123 --key test12.txt --body test12.txt
→getとputどちらも可能
unset AWS_ACCESS_KEY_ID
unset AWS_SECRET_ACCESS_KEY
unset AWS_SESSION_TOKEN
-- 6.2 境界ポリシーのある共有ロールの場合
aws sts assume-role --role-arn arn:aws:iam::999999999999:role/role02 --role-session-name test20
※aws_session_tokenも環境変数(AWS_SESSION_TOKEN)に設定する
aws s3api get-object --bucket bucket123 --key test01.txt test21.txt
echo test22 > test22.txt
aws s3api put-object --bucket bucket123 --key test22.txt --body test22.txt
→getはできるがputは境界ポリシーで許可されていないのでエラーとなる
An error occurred (AccessDenied) when calling the PutObject operation: Access Denied
unset AWS_ACCESS_KEY_ID
unset AWS_SECRET_ACCESS_KEY
unset AWS_SESSION_TOKEN
-- 7. クリーンアップ
-- ロールの削除
aws iam list-roles | grep role01
aws iam detach-role-policy \
--role-name role01 \
--policy-arn arn:aws:iam::999999999999:policy/policy01
aws iam delete-role --role-name role01
aws iam list-roles | grep role02
aws iam detach-role-policy \
--role-name role02 \
--policy-arn arn:aws:iam::999999999999:policy/policy01
aws iam delete-role --role-name role02
-- 許可ポリシーの削除
aws iam list-policies | grep policy01
aws iam delete-policy \
--policy-arn arn:aws:iam::999999999999:policy/policy01
-- 境界ポリシーの削除
aws iam list-policies | grep policy02
aws iam delete-policy \
--policy-arn arn:aws:iam::999999999999:policy/policy02
aws s3 rb s3://bucket123 --force
