こんにちわ。ますの(@masno_soy)です。
AWSが社内にもだいぶ浸透してまいりました。別部署の方もAWSアカウントを発行する必要が出てきております。
権限を最低限に絞って渡しているので、あれも追加これも追加!ということで毎度対応している次第であります。
今回はそんなAdmin権限を持っていないユーザの方にIAMロールの作成権限のみを付与する設定を備忘で残したいと思います。
IAMロールの作成・変更権限を与える
AWS管理コンソール>IAM>ポリシー>ポリシーの作成をクリック
JSONタブに切り替えて以下のコードをペースト
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:PutRolePolicy",
"iam:CreateInstanceProfile",
"iam:AddRoleToInstanceProfile",
"iam:List*",
"iam:Get*",
"iam:AttachRolePolicy",
"iam:PassRole"
],
"Resource": "*"
}
]
}
参考:ユーザーおよびグループによるロールの作成および変更を許可する
「iam:List*」「iam:Get*」「iam:AttachRolePolicy」については付与しなくてもロールの作成自体は出来ました。
しかし、IAMダッシュボード内の一覧が表示されない、作成済のロールにアタッチ出来ないなどがあるため、付与しておいたほうが良さそうです。
この権限についてはロールに対して「作成とポリシーアタッチ」が可能となります。
「デタッチと削除」については権限が付与されていないため、作業時に間違えた場合などは管理者に連絡してもらう必要があるので注意です。
IAMポリシーの書き方を覚えると色んなリソース制限をかけられるので便利であります!
調べながらであれば書き方について覚えてきているので、カスタマイズしていきたい所存です。
調べながらであれば書き方について覚えてきているので、カスタマイズしていきたい所存です。