こんにちは!
今回はWasabiのIAMポリシーについて調べてみました。
IAMポリシーとは
IAMポリシーはJSON形式で記述され、特定の操作の許可・拒否を記述した一連の定義で、「誰が」「どのWasabiサービスの」「どのリソースに対して」「どんな操作を」「許可する(許可しない)」という内容をまとめたルールのようなものです。
具体的には、管理者はIAMポリシーを使用して個々のユーザーやグループがWasabiのリソースに対して実行できるアクションを制御します。
IAMポリシーをユーザーまたはグループにアタッチすることで、IAMポリシーの権限の範囲内でWasabiに対する操作が可能になります。
IAMポリシーの種類について
IAMポリシーは大きく分けて事前定義されたポリシーとユーザーポリシーがあります。
事前定義されたポリシーは予め用意されているポリシーです。
大まかに各サービスごとにフル権限と読み取り権限が用意されています。
・WasabiFullAccess – すべてのS3リソースに対する完全な権限とユーザーへのサインイン権限
・WasabiReadOnlyAccess – すべてのS3リソースに対するGetおよびList権限と、
ユーザーへのログイン権限のみ
・WasabiWriteOnlyAccess – すべてのS3リソースにPutおよびMultipartAbort権限のみ
ユーザーはこのポリシーだけをアタッチした状態では
サインインできない。
などがあります。
ユーザーポリシーは、ユーザー、グループ、ロール にアタッチできる単独のポリシーを独自のWasabiアカウント に作成することができます。
特定のユースケースに合わせて作成し、自由に権限を付与したり制限をかけたり、何度でも変更および更新が可能です。
