セキュリティグループの編集におけるリソースタグ条件を使用したアクセス制御を行うためのIAMポリシーの記述方法を教えて下さい

セキュリティグループの編集におけるリソースタグ条件を使用したアクセス制御を行うためのIAMポリシーの記述方法を教えて下さい

AWSテクニカルサポートノート

AWSテクニカルサポートノート

#Amazon VPC
#Amazon EC2
#IAM Policy
#SecurityGroup
#AWS IAM
及川正基

及川正基

facebook logohatena logotwitter logo
Clock Icon2021.08.11

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

困っていた内容

権限の付いている IAM ユーザにてセキュリティグループの編集をしたところ以下のエラーが発生しました。

You may be missing IAM policies that allow ModifySecurityGroupRules.
You are not authorized to perform this operation.

IAM ユーザにアタッチしているポリシーは以下のとおりです。IAM ユーザでは特定のタグを指定して "ec2:*" の権限を付けております。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:*",
                "ec2:DescribeSecurityGroupRules",
                "ec2:ModifySecurityGroupRules"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/Name": "mdfsg"
                }
            },
            "Resource": "*"
        }
    ]
}

各セキュリティグループに対して、リソースタグの条件を使用して、リソースタグが設定されている場合は編集を許可、リソースタグが設定されていない場合は拒否とする IAM ポリシーを作成したいです。エラーの原因と作成方法を教えて下さい。

エラーの原因はなんですか?

今回の発生したエラーは、リソースレベルの権限をサポートしているアクションと、サポートしていないアクションを同一ステートメントブロック内で混在させてポリシーを作成していたことに起因します。

権限の付いている IAM ユーザにアタッチされた IAM ポリシー("ec2:")には、リソースレベルの権限をサポートしない "ec2:Describe" アクション等が含まれています。

そのため、リソースレベルの権限をサポートする "ec2:ModifySecurityGroupRules" アクションが同一ステートメントブロック内で設定されているとエラーが発生します。

関連の記事については、下記ブログをご確認ください。

どう作成すればいいの?

リソースレベルの権限をサポートする "ec2:ModifySecurityGroupRules" については、以下の例のように別のステートメントブロック内にてポリシーを作成します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": ["ec2:ModifySecurityGroupRules"],
            "Resource": ["arn:aws:ec2:*:*:security-group/*"],
            "Condition": {
                "StringNotEquals": {
                    "ec2:ResourceTag/Name": "mdfsg"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": ["ec2:*"],
            "Resource": "*"
        }
    ]
}

[補足]IAM Policy 説明

参考資料

  • Actions defined by Amazon EC2

    Actions
    ModifySecurityGroupRules

    Resource types (required)
    security-group

    Condition keys
    ec2:ResourceTag/${TagKey}

  • リソースタグを使用した EC2 リソースへのアクセスの制御

    Describe アクションはリソースレベルの権限をサポートしていないため、条件なしで別のステートメントで指定する必要があることに注意してください。

  • 条件キーテーブル

    すべてのアクションまたはリソースですべてのキーを指定できるわけではありません。特定のキーは、特定のタイプのアクションとリソースでのみ機能します

Share this article

facebook logohatena logotwitter logo

関連記事

複数アカウントでAmazon ECRのVPCエンドポイント(com.amazonaws.region.ecr.dkr)を共有する際の注意点

複数アカウントでAmazon ECRのVPCエンドポイント(com.amazonaws.region.ecr.dkr)を共有する際の注意点

User avatar
平井裕二
2024.11.12
QuickSight の VPC 接続がなかなか削除されないのは IAM ロールの権限の問題だった

QuickSight の VPC 接続がなかなか削除されないのは IAM ロールの権限の問題だった

User avatar
emi
2024.11.10
QuickSight で別リージョンの Redshift のデータを可視化する

QuickSight で別リージョンの Redshift のデータを可視化する

User avatar
emi
2024.11.10
[登壇レポート] VPC間の接続方法を整理してみた #自治体クラウド勉強会

[登壇レポート] VPC間の接続方法を整理してみた #自治体クラウド勉強会

User avatar
のんピ
2024.11.01
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.