IAM Identity Center から AWS マネジメントコンソールへのログインを制限できるかどうかについて教えてください

困っていた内容

IAM でのユーザー管理から IAM Identity Center でのユーザー管理に移行しています。

IAM ユーザー作成時には AWS マネジメントコンソールへのアクセス権を付与するかどうかを選択できますが、IAM Identity Center でのユーザー作成時には該当するオプションがありませんでした。

IAM Identity Center から AWS マネジメントコンソールへのログインを制限できるかどうかについて教えてください。

どう対応すればいいの？

本ブログ執筆時点では IAM Identity Center ユーザー作成時に AWS マネジメントコンソールへのログインを制限するオプションはありません。

代替案としてはアクセス許可セットに以下のようなポリシーを定義する方法があります。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringNotLike": {
          "aws:UserAgent": "aws-cli*"
        }
      }
    }
  ]
}

ただし、上記ポリシーで使用されている aws:UserAgent 条件キーで使用される値はユーザーによって任意の値を設定することができるため、厳密に AWS CLI からのアクセスに限定できるわけではありません。

AWS 公式ドキュメントより

このキーは慎重に使用する必要があります。しかし、aws:UserAgent 値は HTTP ヘッダー内の発信者によって渡されるため、認可されていない当事者が改造またはカスタムブラウザを使用して任意の aws:UserAgent 値を渡すことができます。そのため aws:UserAgent は、認可されていない当事者から AWS にリクエストが直接行われることを防止するために使用しないでください。このステートメントを使用して、ポリシーをテストした後にのみ、特定のクライアントアプリケーションのみを許可できます。

参考資料

• AWS グローバル条件コンテキストキー - AWS Identity and Access Management