【登壇資料】 1つのAWSアカウントに複数システムがある環境におけるアクセス制御をABACで実現 #devio2025

2025 年 9 月 3 日 にクラスメソッドの大阪オフィスで開催された DevelopersIO 2025 Osaka において「1つのAWSアカウントに複数システムがある環境におけるアクセス制御をABACで実現」というタイトルで話しました。
本ブログで資料を公開します。

登壇資料

次の内容について記載しています。

1. AWS IAM における ABAC
2. AWS IAM Identity Center における ABAC
3. ABAC の Tips & テクニック集
   • ABAC に対応しているサービスかどうか調べる方法
   • 複数のタグの条件で ABAC
   • ABAC で制御する Action をワイルドカードで指定
   • S3 の ABAC
   • タグが付与されているリソースのみ ABAC で制御する方法
   • ABAC と共に用いる読み取り権限のパターン
   • タグの付与ミスの低減・是正
   • Jump アカウント構成においてスイッチロールできる IAM ロールも ABAC で制御
   • ABAC の難しいところ（セキュリティグループの ABAC）
   • IAM ロールの一括作成

参考資料

登壇資料上で参照している主なリンク先を記載します。

合わせて読むとよい資料

• 「出張！ #DevelopersIO IT技術ブログの中の人が語る勉強会 第3回」にて IAM ABAC の話をしました

• AWS IAM Identity Center を使わないマルチアカウント環境のユーザー管理 #devio2024

ABAC に対応しているサービスかどうか調べる方法

• IAM と連携する AWS のサービス - AWS Identity and Access Management

複数のタグの条件で ABAC

• 複数のコンテキストキーまたは値による条件 - AWS Identity and Access Management

S3 の ABAC

• IAM ロールのタグの値と S3 バケット名の部分一致で操作できる S3 バケットを制限してみた | DevelopersIO
• 【ABAC】S3でタグベース制御を行う(制限あり) | DevelopersIO

タグが付与されているリソースのみ ABAC で制御する方法

• Amazon CloudWatch ロググループに対して ABAC 用タグがある場合は ABAC により読み取り許可を制御して、ABAC 用タグがない場合は読み取りを許可するポリシーを試してみた | DevelopersIO

タグの付与ミスの低減・是正

• AWS のタグエディタを利用してコスト配分タグの設定ミスの修正や既存のタグ値の一括変更を試してみた