事前作業4.1. IAMポリシードキュメントの作成 (handson-IAMUserSelfManageSecurity-policy)¶

手順の目的¶

IAMポリシー"IAMMFASelfmanage"のポリシドキュメントを作成します。

設定値の指定¶

手順に必要な設定値を変数に格納をします。

1. ポリシードキュメント用ディレクトリ名¶

ポリシードキュメント用ディレクトリ名を指定します。

変数の設定:

DIR_IAM_POLICY_DOC="${HOME}/conf-handson-cloud9"

ディレクトリが存在することを確認し、存在しない場合は作成します。

コマンド:

ls -d ${DIR_IAM_POLICY_DOC} > /dev/null 2>&1 \
  || mkdir -p ${DIR_IAM_POLICY_DOC}

結果(例):

(出力なし)

2. IAMポリシードキュメント名¶

IAMポリシードキュメント名を指定します。

変数の設定:

IAM_POLICY_DOC_NAME='handson-IAMUserSelfManageSecurity-policy'

変数の設定:

FILE_IAM_POLICY_DOC="${DIR_IAM_POLICY_DOC}/${IAM_POLICY_DOC_NAME}.json" \
  && echo ${FILE_IAM_POLICY_DOC}

結果(例):

${HOME}/conf-handson-cloud9/handson-IAMUserSelfManageSecurity-policy.json

設定値の確認¶

各変数に正しい設定値が格納されていることを確認します。

変数の確認:

cat << END

  # 1. DIR_IAM_POLICY_DOC:"${HOME}/conf-handson-cloud9"
       DIR_IAM_POLICY_DOC="${DIR_IAM_POLICY_DOC}"
  # 2. IAM_POLICY_DOC_NAME:"handson-IAMUserSelfManageSecurity-policy"
       IAM_POLICY_DOC_NAME="${IAM_POLICY_DOC_NAME}"

END

下段の変数が入っていない、もしくは上段と同等の値が入っていない場合は、それぞれの手順番号に戻って変数の設定を行います。

処理の実行¶

IAMポリシードキュメントを作成します。

変数の確認:

cat << END

  # FILE_IAM_POLICY_DOC:"${HOME}/conf-handson-cloud9/handson-IAMUserSelfManageSecurity-policy.json"
    FILE_IAM_POLICY_DOC="${FILE_IAM_POLICY_DOC}"

END

コマンド:

cat << EOF > ${FILE_IAM_POLICY_DOC}
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowListActions",
            "Effect": "Allow",
            "Action": [
                "iam:ListUsers",
                "iam:ListVirtualMFADevices"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowIndividualUserToListOnlyTheirOwnMFA",
            "Effect": "Allow",
            "Action": [
                "iam:ListMFADevices"
            ],
            "Resource": [
                "arn:aws:iam::*:mfa/*",
                "arn:aws:iam::*:user/\${aws:username}"
            ]
        },
        {
            "Sid": "AllowIndividualUserToManageTheirOwnMFA",
            "Effect": "Allow",
            "Action": [
                "iam:CreateVirtualMFADevice",
                "iam:DeleteVirtualMFADevice",
                "iam:EnableMFADevice",
                "iam:ResyncMFADevice"
            ],
            "Resource": [
                "arn:aws:iam::*:mfa/\${aws:username}*",
                "arn:aws:iam::*:user/\${aws:username}"
            ]
        },
        {
            "Sid": "AllowIndividualUserToDeactivateOnlyTheirOwnMFAOnlyWhenUsingMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice"
            ],
            "Resource": [
                "arn:aws:iam::*:mfa/\${aws:username}*",
                "arn:aws:iam::*:user/\${aws:username}"
            ],
            "Condition": {
                "Bool": {
                    "aws:MultiFactorAuthPresent": "true"
                }
            }
        },
        {
            "Sid": "BlockMostAccessUnlessSignedInWithMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:CreateVirtualMFADevice",
                "iam:EnableMFADevice",
                "iam:ListMFADevices",
                "iam:ListUsers",
                "iam:ListVirtualMFADevices",
                "iam:ResyncMFADevice",
                "iam:ChangePassword",
                "cloudshell:*"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:GetAccountPasswordPolicy",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:ChangePassword",
            "Resource": "arn:aws:iam::*:user/\${aws:username}"
        }
    ]
}
EOF

cat ${FILE_IAM_POLICY_DOC}

結果(例):

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowListActions",
            "Effect": "Allow",
            "Action": [
                "iam:ListUsers",
                "iam:ListVirtualMFADevices"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowIndividualUserToListOnlyTheirOwnMFA",
            "Effect": "Allow",
            "Action": [
                "iam:ListMFADevices"
            ],
            "Resource": [
                "arn:aws:iam::*:mfa/*",
                "arn:aws:iam::*:user/${aws:username}"
            ]
        },
        {
            "Sid": "AllowIndividualUserToManageTheirOwnMFA",
            "Effect": "Allow",
            "Action": [
                "iam:CreateVirtualMFADevice",
                "iam:DeleteVirtualMFADevice",
                "iam:EnableMFADevice",
                "iam:ResyncMFADevice"
            ],
            "Resource": [
                "arn:aws:iam::*:mfa/${aws:username}*",
                "arn:aws:iam::*:user/${aws:username}"
            ]
        },
        {
            "Sid": "AllowIndividualUserToDeactivateOnlyTheirOwnMFAOnlyWhenUsingMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice"
            ],
            "Resource": [
                "arn:aws:iam::*:mfa/${aws:username}*",
                "arn:aws:iam::*:user/${aws:username}"
            ],
            "Condition": {
                "Bool": {
                    "aws:MultiFactorAuthPresent": "true"
                }
            }
        },
        {
            "Sid": "BlockMostAccessUnlessSignedInWithMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:CreateVirtualMFADevice",
                "iam:EnableMFADevice",
                "iam:ListMFADevices",
                "iam:ListUsers",
                "iam:ListVirtualMFADevices",
                "iam:ResyncMFADevice",
                "iam:ChangePassword",
                "cloudshell:*"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:GetAccountPasswordPolicy",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:ChangePassword",
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}

JSONファイルを作成したら、フォーマットが壊れてないか必ず確認します。

コマンド:
cat ${FILE_IAM_POLICY_DOC} \
  |  python3 -m json.tool \
  > /dev/null
結果(例):
(出力なし)
注釈

エラーが出力されなければOKです。

完了確認¶

「IAMポリシードキュメント"${HOME}/conf-handson-cloud9/handson-IAMUserSelfManageSecurity-policy.json"が存在する。」ことを確認します。

コマンド:

ls ${FILE_IAM_POLICY_DOC}

結果(例):

${HOME}/conf-handson-cloud9/handson-IAMUserSelfManageSecurity-policy.json

事前作業4.1. IAMポリシードキュメントの作成 (handson-IAMUserSelfManageSecurity-policy)¶

手順の目的¶

設定値の指定¶

設定値の指定¶

1. ポリシードキュメント用ディレクトリ名¶

2. IAMポリシードキュメント名¶

設定値の確認¶

処理の実行¶

完了確認¶

手順の完了¶