Q&A
そのIAMポリシーはどこに設定しましたか?
前提・実現したいこと
現在、1つのAWSアカウントで複数のコンテンツを運用しており
コンテンツを問わず、各種RDS、EC2がインスタンス一覧に
すべて混在して表示されていて目的の情報が埋もれてしまっています。
そこで、特定リソースをインスタンス一覧で非表示とし
目当てのインスタンスのみ表示される状態にしたいと考えております。
(可能ならば特定VPCに関連付くサブネット等の一切を非表示としたい)
試したこと
特定のリソースが閲覧できない状態となる事を期待し、対象のRDSに
タグを設定してIAMポリシーで当該RDSに対するあらゆる操作を拒否としました。
該当のソースコード
IAMPolicy
1{ 2 "Version": "2012-10-17", 3 "Statement": [ 4 { 5 "Sid": "DenyFUGEContents", 6 "Effect": "Deny", 7 "Action": "rds:*", 8 "Resource": "*", 9 "Condition": { 10 "StringEquals": { 11 "rds:db-tag/IAM-tag": "FUGEContents" 12 } 13 } 14 } 15 ] 16}
結果
対象のrdsへのあらゆるアクションを無効化できたもののインスタンスの一覧には変わらず表示されている状態です。
補足
できればAWS管理コンソール画面でのフリーワード入力によるフィルタリングは使わず(都度入力が必要なため)
特定のリソースを非表示とする術を知りたく、IAM以外でも本要件を満たせる方法があればご教示いただけないでしょうか。
IAMグループに対し当該ポリシーをアタッチし
そこへIAMユーザを所属させてポリシーを反映しています。
IAMグループにアタッチしているポリシー内容は
「AdministratorAccess」および質問で挙げている
「DenyFUGEContents」の二点です。
上記グループに所属するIAMユーザには
特定リソースのみ非表示かつ変更の一切を許可しない状態で
新規リソース追加や変更が可能な権限を付与したいと考えています。
AdministratorAccessを付与しているのであれば、他に何を付与していようとすべて許可されるので意味ないのでは…。
ご回答を大変ありがとうございます。
当方の環境において
「AdministratorAccess」および「DenyFUGEContents」を付与した場合
対象のRDSに対する再起動や削除といったアクションが拒否される事を確認しております。
ただし、一覧画面には変わらず対象のRDSが表示されてしまうためそれを非表示とする術を探しております。
IAM以外でも、本要件を満たせる方法があればご教示いただきたくお知恵を貸して頂けると幸いでございます。
> AdministratorAccessを付与しているのであれば、
このくだりは自分の勘違いですね。すいません。
RDSはタグ周りがちょっとめんどくさそうです。
もしかして、対象のRDSはAuroraで、見えているのはCluster、とかではないですか?
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/list_amazonrds.html
ご回答をありがとうございます。
RDSのエンジンはPostgreSQLを指定しております。
Clusterについて不勉強で理解が至らず申し訳ございませんが
今回作成しているRDSはMultiAZ構成にもしていないため
現在、一覧画面で見えているのはClusterという事もないかと思われます。
(見当違いな事を言っていたら申し訳ございません)
RDSに限らず、特定のリソース類を手早く非表示としたい場合
コンテンツ別にAWSアカウントを分けるのが一般的な運用となるのでしょうか・・・。
Aurora PostgreSQLではなく RDS for PostgreSQLですか?
>RDSはMultiAZ構成にもしていないため現在、一覧画面で見えているのはClusterという事もないかと
MultiAZは関係ないです。
なぜそんなことを聞いたかと言うと、Auroraを使用している場合Aurora Clusterが表示されてそのClusterに紐づくRDSインスタンスが下に表示される、という形で、インスタンスだけ見えないようにしてもCluster自体は見えてしまうのでは、と疑問に思ったからです。(Conditionsで指定しているのはdbのタグのみなので)
上に貼ったドキュメントにRDSをIAMで制御するときの色々が書いてあるので参考にしてみてください。
ただ、個人的には管理が面倒すぎるので、そこまでするぐらいならアカウントを分けたほうが早いだろうとは思いますね。
やろうと思えば細かくIAMで権限を定義すればできそうな気もしますが、めちゃくちゃ複雑になるでしょうし。
ご回答をありがとうございます。
使用しているのはRDS for PostgreSQLです。
おっしゃるとおり、Conditionsで指定しているのはdbのタグのみのため
Auroraの表示をIAMで管理しようとする場合、さらに留意が必要になるかもしれません。
ドキュメントにつきましても、貴重な情報をありがとうございます。目を通してみます。
今回、IAMで特定リソースの表示制限を検討しておりましたが権限管理が
複雑化しすぎるのであれば素直にアカウントを分けるようにしたいと思います。
有用なご助言をいただきまして大変ありがとうございました。
今回はDBの話だけしてますけど、他のマネージドサービスでも同じようなことをやりたいとかなると、頭が痛くなるぐらい複雑になるのが想像できます。
おまけにAWSは日々サービスが増えるので…。
なので、最初からアカウントを分けてしまったほうがわかりやすいですし簡潔ですね。
既にあるリソースを移行する手間はかかりますけれど。
確かにそうですね。リソースを別アカウントへ移行して運用を行いたいと思います。この度はご親切にありがとうございました。
回答1件
0
自己解決
特定リソースの表示制限はIAMで管理する場合、複雑化する可能性が高いためAWSアカウントを分けて対応する事にいたしました。有用なご助言をいただき大変ありがとうございました。
投稿2020/12/04 01:59
総合スコア9
あなたの回答
tips
プレビュー
