ポリシー一覧とは？AWSにおけるポリシー一覧について詳しく解説します

AWSにおけるポリシーの一覧

AWSにおけるポリシー一覧とは、アクセス管理をする際に必要なオブジェクトです。 AWSにおいてアクセス管理をする際に、ポリシーを作成してIAM（アイデンティティー管理）または、リソースに付与し、IAMは、リクエストが行われると各ポリシーを評価してポリシーによるアクセス許可によりリクエストの可否が決められます。 AWSポリシー一覧は、オブジェクトでありユーザーなどをリソースに紐づけてアクセスの許可を定義しています。AWSポリシー一覧は、JSON（JavaScript Object Notation）ドキュメントとしてAWSに保存され、6つのポリシー別にサポートを行います。

ポリシー一覧の種類と役割とは？

AWSでは、「アイデンティティーポリシー、リソースポリシー、アクセス許可の境目、ACL、セッションポリシー、SCP」の6つのポリシー一覧が設けられています。 各ポリシーの一覧について下記で、詳しく解説をしていきます。

1.アイデンティティーポリシー

アイデンティティーポリシーとは、正式にはアイデンティティーベースのポリシーと呼んでいます。インラインポリシー、管理ポリシーをIAMアイデンティティー（組織ユーザー、ユーザー）に付与します。 アイデンティティーポリシーでは、アクセス許可が付与されています。

2.リソースポリシー

リソースポリシーとは、正式にはリソースベースポリシーと呼ばれています。インラインポリシーへリソースを付与しています。 リソースポリシーの一般的なものとしては、AWSS3バケットポリシーやIAMロールの信頼ポリシーになります。 リソースポリシーでは、アクセス許可はポリシーで指定されているプリンシパル（重要人物）に付与されていてリソースと同じアカウントか別のアカウントとなります。

3.アクセスの境目

アクセスの境目とは、正式にはアクセス許可の境界と呼ばれています。IAMのアクセス許可の境目として管理ポリシーを使用しています。 アクセス許可の境界ポリシーでは、アイデンティティーポリシーのエンティティ（対象物・存在を指す意味）に付与可能なアクセス許可の上限定義していますが、アクセス許可の付与はされません。 アクセス許可の境目ポリシーでは、リソースポリシーでエンティティに付与出来るアクセス許可の上限はありません。

4.ACL

ACLとは、アクセスコントロールの略で他のアクセスを制御します。ACLを利用してACLが付与されているリソースにアクセス可能な他のプリンシパルのアクセスを制御します。 ACLは、リソースポリシーと類似している所がありますが、JSONのポリシードキュメント構造を使用しない唯一のポリシー種類ともいわれています。 ACLは、指定のプリンシパルにアクセス許可の付与を行う、クロスアカウントのアクセス許可ポリシーになります。ACLでは、同アカウント内のエンティティにアクセス付与する事が出来ません。

5.セッションポリシー

セッションポリシーとは、AWSAPIやAWSCLIを利用して、フェデレーティッドユーザー（事前ログインが可能なユーザー）や権限を引き受ける際に高度なセッションポリシーを引き渡します。 セッションポリシーでは、ユーザーアイデンティティや権限のポリシーでセッションに付与するアクセスを制限します。

6.SCP

SCPとはサービスコントロールポリシーの略で、組織単位でアカウントのアクセス許可の定義をしています。 SCPでは、アイデンティティーポリシーやリソースポリシーでアカウント内のユーザーに付与するアクセス許可が制限されています。

そもそもポリシーってなに？

そもそもポリシー一覧のポリシーとは、どんな意味でどういう時に使う言葉なのでしょうか。 本記事でも○○ポリシーなどの用語が沢山出てきていますが、そもそもポリシー（方針・指針）という言葉は単独で使用される事が少なく「アイデンティティーベースポリシー、リソースベースポリシー」と他の言葉と併せて使う事が多いです。

AWSでよく聞くIAMってなに？

IAM（Identity and Access Management）とは、AWSを利用する上でセキュリティ面での基本的なサービスになっています。 IAMは、AWSサービスの認可や認証の設定する事が出来るサービスになっており、認可や認証を正しく設定しておく事で、AWSサービスにアクセスする事が可能、またはアクセス範囲の制御も可能になります。 AWSを安心・安全に利用するためにIAMについて理解しておく事が大切になってきます。

IAMの基礎知識を覚えておこう！

IAMの基本的な役割の「認可・認証」について解説していきます。IAMの「認可・認証」似た様な意味合いに感じられますが、調べてみると違う意味になっています。 「認可」とは、情報へのアクセス権の付与をする事で、「認証」とは、対象が何であるかを確かめる事と意味合いを持っています。この様に「認可・認証」の役割をしているのがIAMです。

IAMの機能別に解説していきます

IAMでは、幾つかの機能に分かれており「IAMロール、IAMユーザー、IAMポリシー」と3つに機能別に分類されています。 それぞれの項目別で、詳しく解説をしていきます。

1.IAMロール

IAMロールとは、ユーザーや組織ではなく、EC2やAWSサービスや別のアカウントに対して操作権限を付与する仕組みになっています。 EC2へRDSから操作権限を記述したIAMロールを付与したり、別のアカウントへS3への接続を可能にする場合に、自身のアカウントに別のアカウントのIAMロールを作成しておく事でS3の操作が可能になります。

2.IAMユーザー

IAMユーザーとは、AWSサービスを利用するユーザーの事を指します。AWSを操作するコンソール画面にサインインする時に利用します。 事前に決めておいたユーザーIDでIAMユーザーが作成されると、AWSコンソール画面にサインインする事が出来ます。

3.IAMポリシー

IAMポリシーとは、IAMユーザーやIAMロールに付与する事が出来る操作権限を設定する機能になります。 IAMポリシーに関してはさらに3つに分かれており「AWS管理ポリシー、インラインポリシー、カスタマー管理ポリシー」と大きく分ける事が出来ます。 AWS管理ポリシーでは、各サービスに対して制御ポリシーが設定可能になっており、さらに細かな設定を可能にするのが、カスタマー管理ポリシーになります。 特定のIAMユーザー、IAMロール用の作成されるポリシーですので、AWS管理ポリシー・カスタマー管理ポリシーが多数のユーザーに付与出来るのに対して、インラインポリシーでは1つのIAMユーザーに対しての付与しかできません。

ポリシーの必要性

業務を円滑に進めるために、セキュリティ対策上でも重要になってくるのがポリシー一覧です。 クロスアカウントでアクセスする場合は、必須ではありませんが、同一のアカウントでアクセスする場合は、意図しないアクセスなどを防ぐためにポリシーの付与などが必要になってきます。

ポリシーを理解して正しくAWSを管理しよう！

AWSにおけるポリシー一覧の種類や用途、必要性などについて解説しました。ポリシー一覧は6つの種類に分けられており、それぞれ役割などが異なるため使い方によって利用の可否が決まります。 AWSにおけるポリシー一覧で、よく耳にする「IAM」は、AWSを利用する上で基本的なセキュリティ対策のサービスシステムとなっています。 IAMに関しても「IAMロール、IAMユーザー、IAMポリシー」と役割別に分かれており、それぞれ操作権限についての設定なので、利用前には「AWSポリシー一覧」について理解をしておきましょう。 AWSを安心して利用するには、必須のサービスとなります。]]>