一般に、AWS(Amazon Web Services)でインラインポリシーを使用しないようにするには、Elastic Compute Cloud(EC2 )は管理が難しく、必要な変更を加えるためにグループなどの個々のエンティティに移動する必要があるためです。さらに、インラインポリシーは隠す傾向があり、セットアップのトラブルシューティングの問題をそれほど難しくしています。
ただし、インラインポリシーがセキュリティを適切に設定する唯一の方法を提供する状況に遭遇することがあります。次の手順は、必要に応じてインラインポリシーを作成するのに役立ちます。 (この手順では、EC2Usersという名前のグループを使用しますが、インラインポリシーをサポートするすべてのエンティティで動作します)。
<! - 1 - >- ナビゲーションペインで、グループ、ユーザー、または役割のエントリを選択します。
- オブジェクトタイプページでそのエントリをクリックして、作業するエンティティを開きます。
- エンティティの[概要]ページの[権限]タブを選択します。 図に示すように、管理ポリシーとインラインポリシーの両方の領域が表示されます。
[概要]ページの[権限]タブには、エンティティのポリシーが含まれています。
- [インラインポリシー]をクリックします。 これが最初のインラインポリシーの場合は、「表示するインラインポリシーはありません。作成するには、ここをクリックしてください。 "
- ここをクリックボタンをクリックします。 2つのオプションを含むSet Permissionsページが表示されます。
- ポリシージェネレータ: エンティティで使用するポリシーを簡単に作成できるウィザードを表示します。インラインポリシーを作成する方法の中で、これが最も簡単です。
- カスタムポリシー: 適切な構文と文法を使用して手動でポリシーを入力するエディタを表示します。これは、インラインポリシーを作成するための2つのオプションのうち、より柔軟性があります。
- 権限生成オプションを選択し、そのエントリの横にある選択ボタンをクリックします。 この例では、[ポリシージェネレータ]オプションを使用することを前提としています。ここに表示されている[Edit Permissions]ページが表示されます。このインタフェースを使用すると、特定のAWSサービス、およびオプションでそのサービスに関連付けられた特定のリソースに対するアクションを許可または拒否できます。
「権限の編集」ページでは、権限オプションへのアクセスを提供します。
- さまざまなアクセス許可エントリを使用してアクセス許可を構成し、[ステートメントの追加]をクリックして、ステートメントをポリシーに追加します。
- [次のステップ]をクリックします。 レビューポリシーページが表示されます。一連の個々の権限を使用してポリシーを定義するので、ポリシーを編集する必要はないでしょう。
- 「ポリシーの検証」をクリックします。 あなたが行った変更が意図したとおりに行われた場合は、ページの上部に「このポリシーは有効です」という成功メッセージが表示されます。ポリシーを作成する前に、常にそのポリシーを検証してください。
- 「ポリシーの適用」をクリックします。 エンティティの[概要]ページの[アクセス許可]タブの[インラインポリシー]領域にポリシーが追加されていることがわかります。さらに、インラインポリシーエリアには、グループのためのグループポリシー作成エントリなど、より多くのポリシーを作成するためのボタンが追加されました。
既存のインラインポリシーと対話するには、ポリシーリストの[アクション]列にあるリンクを使用します。インラインポリシーで実行できるアクションの概要を次に示します。
- ポリシーの表示: ポリシーの作成に使用されたコードを表示します。
- ポリシーの編集: ポリシーの確認ページを使用して、ポリシーの作成に使用するコードを編集できます。
- ポリシーの削除: エンティティポリシーに影響を与えないようにインラインポリシーを削除します。削除は最終的なものなので、実際にポリシーを削除することを確認する必要があります。
- ポリシーのシミュレーション: ポリシーがエンティティに及ぼす影響を示します。さまざまな構成とテスト基準を設定して、インラインポリシーが期待通りに機能することを確認できます。
