特定のIAM Identity Centerユーザーのみ S3アクセスを許可するバケットポリシー

特定のIAM Identity Centerユーザーのみ S3アクセスを許可するバケットポリシー

#AWS IAM Identity Center
#AWS IAM
#Amazon S3
#マルチアカウントTIPS
ちゃだいん

ちゃだいん

facebook logohatena logotwitter logo
Clock Icon2023.09.08

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

どうも、ちゃだいん(@chazuke4649)です。

特定のAWS IAM Identity Centerユーザーのみ S3アクセスを許可するバケットポリシーをご紹介します。

"特定のIAM Identity Center許可セット"の場合は、以下ブログをどうぞ。

前提

正確には、「特定のAWS IAM Identity Centerユーザー以外の S3アクセスを拒否するバケットポリシー」です。

また、そもそもユーザー側にS3のアクセスが許可されている状態を想定します。よって、バケットポリシーがない状態だと、ユーザー側に権限があればアクセスできる状態であり、それを一定条件を満たさないと拒否するようにリソース側で制御するイメージです。

結論

以下のようなバケットポリシーになります。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": "arn:aws:s3:::<S3バケット名>/*",
      "Condition": {
        "StringNotLike": {
          "aws:userId": "<IAMロールID>:<Identity Centerユーザー名>"
        }
      }
    }
  ]
}

この二つのブログを大いに参考にしています。

ポイント

Conditionにて、aws:userId に対し、許可したい 許可セットのIAMロールID x Identity Centerユーザー名 を記述します。

この値は、例えばそのIdentity Centerユーザーが使えれば、 aws sts get-caller-identity で取得できます。

$ aws sts get-caller-identity
{
    "UserId": "AROADUMMYDUMMYDUMMY:TestAdminUser",
    "Account": "000000000000",
    "Arn": "arn:aws:sts::000000000000:assumed-role/AWSReservedSSO_ReadOnlyAccess_exampleeeeeeeee/TestAdminUser"
}

まさに、このUserIdのみ許可したいということであれば、先ほどのバケットポリシーに当てはめるとこうなります。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": "arn:aws:s3:::<S3バケット名>/*",
      "Condition": {
        "StringNotLike": {
          "aws:userId": "AROADUMMYDUMMYDUMMY:TestAdminUser"
        }
      }
    }
  ]
}

Identity Centerユーザーによる認可の実体は、「許可セットによって生成されたIAMロールを引き受けたロールセッション」です。

つまり、「IAMユーザーがIAMロールにスイッチロールした時と同じようなもの」です。

ということは、リソースポリシーとしては、特定の Assumed-role session と同様の記述で制御が可能ということになります。

注意点

1点注意点としては、IAMロールIDは明示的に記述し、ワイルドカードを使わないことです。

つまり、さっきの例でいくと"aws:userId": "*:TestAdminUser"としない方が良い場合があります。

というのも「Identity Centerユーザー名だけで絞ればいいんじゃない?」と思う人もいると思うのですが、もし利用者に元々適当なIAMユーザーとIAMロールを作る権限があれば、Identity Centerユーザーによるロールセッションを偽装できる可能性があります。

具体的には、とあるIdentity Centerユーザーの同じユーザー名のIAMユーザーを作成し、S3FullAccessのあるIAMロールを作ってスイッチすれば、UserIdは、IAMロールID部分以外を除くとIdentity Centerユーザーのそれと見分けがつきません。

ただし、ロールIDは、IAMロールを一意に識別するIDなので偽装は困難です。さらに、適当なIAMユーザーが許可セットのIAMロールにスイッチすることは、信頼ポリシーにて許可されていないため、できません。

よって、許可セットのIAMロールID x Identity Centerユーザー名 に一致するロールセッションのみを対象とすることで、そういった偽装を防ぐことが可能です。

他参考情報

AWS グローバル条件コンテキストキー - AWS Identity and Access Management

AWS JSON ポリシーの要素: Principal - AWS Identity and Access Management

What is IAM Identity Center? - AWS IAM Identity Center (successor to AWS Single Sign-On)

IAM ID センターリソースへのアクセス許可の管理の概要 - AWS IAM Identity Center (successor to AWS Single Sign-On)

ちなみに、レアケースですがSCPにてIdentity Center ユーザーのユーザーID(※上で紹介したものとは別物なので注意)で制御するには、以下の方法もあります。

Share this article

facebook logohatena logotwitter logo

関連記事

[アップデート] Amazon WorkMail が IAM Identity Center との統合をサポートしました

[アップデート] Amazon WorkMail が IAM Identity Center との統合をサポートしました

User avatar
いわさ
2024.11.07
Can you tell me if it is possible to restrict login to the AWS Management Console from IAM Identity Center?

Can you tell me if it is possible to restrict login to the AWS Management Console from IAM Identity Center?

User avatar
Nakamura Makoto
2024.11.06
IAM Identity Center から AWS マネジメントコンソールへのログインを制限できるかどうかについて教えてください

IAM Identity Center から AWS マネジメントコンソールへのログインを制限できるかどうかについて教えてください

User avatar
Nakamura Makoto
2024.10.22
[アップデート] AWS コンソールモバイルアプリで AWS IAM Identity Center アクセスポータルへのオンボーディングプロセスが簡素化されました

[アップデート] AWS コンソールモバイルアプリで AWS IAM Identity Center アクセスポータルへのオンボーディングプロセスが簡素化されました

User avatar
いわさ
2024.10.16
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.