![[AWS CDK] Condition 付きの信頼ポリシーを設定した AssumeRole 用の IAM ロールを作成したい](https://devio2023-media.developers.io/wp-content/uploads/2023/08/aws-iam.png)
[AWS CDK] Condition 付きの信頼ポリシーを設定した AssumeRole 用の IAM ロールを作成したい
こんにちは、CX事業本部 Delivery部の若槻です。
今回は、AWS CDK で Condition 付きの信頼ポリシー(信頼関係)を設定した AssumeRole 用の IAM ロールを作成する方法を確認してみました。
理由としては、Amazon Managed Grafana ではコンソールからワークスペースを作成した際にサービスロールを自動作成できるのですが、これを CDK で Condition 付きで作成したかったためです。
結論としては、次のように withConditions を使うことにより実現できます。
import { aws_iam, Stack, StackProps } from 'aws-cdk-lib'; import { Construct } from 'constructs'; export class CdkSampleStack extends Stack { public readonly myFileObjectKey: string; constructor(scope: Construct, id: string, props: StackProps) { super(scope, id, props); const principal = new aws_iam.ServicePrincipal( 'grafana.amazonaws.com' ).withConditions({ StringEquals: { 'aws:SourceAccount': this.account, }, StringLike: { 'aws:SourceArn': `arn:aws:grafana:${this.region}:${this.account}:/workspaces/*`, }, }); new aws_iam.Role(this, 'GrafanaRole', { assumedBy: principal, }); } }
上記により、次のような Condition 付きの信頼ポリシーを設定した AssumeRole 用の IAM ロールを作成できました。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "grafana.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "XXXXXXXXXXXX" }, "StringLike": { "aws:SourceArn": "arn:aws:grafana:ap-northeast-1:XXXXXXXXXXXX:/workspaces/*" } } } ] }
はじめに、次のように addStatements
を使用して作成済みのロールに Condition 付きの PolicyStatement を追加しようとしました。
import { aws_iam, Stack, StackProps } from 'aws-cdk-lib'; import { Construct } from 'constructs'; export class CdkSampleStack extends Stack { public readonly myFileObjectKey: string; constructor(scope: Construct, id: string, props: StackProps) { super(scope, id, props); const grafanaRole = new aws_iam.Role(this, 'GrafanaRole', { assumedBy: new aws_iam.ServicePrincipal('grafana.amazonaws.com'), }); grafanaRole.assumeRolePolicy?.addStatements( new aws_iam.PolicyStatement({ effect: aws_iam.Effect.ALLOW, actions: ['sts:AssumeRole'], conditions: { StringEquals: { 'aws:SourceAccount': this.account, }, StringLike: { 'aws:SourceArn': `arn:aws:grafana:${this.region}:${this.account}:/workspaces/*`, }, }, principals: [new aws_iam.ServicePrincipal('grafana.amazonaws.com')], }) ); } }
しかしこれだと、次のように Condition が設定された信頼ポリシーに加えて、assumedBy
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "grafana.amazonaws.com" }, "Action": "sts:AssumeRole" }, { "Effect": "Allow", "Principal": { "Service": "grafana.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "XXXXXXXXXXXX" }, "StringLike": { "aws:SourceArn": "arn:aws:grafana:ap-northeast-1:XXXXXXXXXXXX:/workspaces/*" } } } ] }
続いて、次のような記述で設定をしようとしました。これは「IAM ポリシー」と「ロールの信頼ポリシー」を混同してしまっています。addToPolicy
は IAM ポリシーを設定するためのものであり、ロールの信頼ポリシーを設定するためのものではありません。
import { aws_iam, Stack, StackProps } from 'aws-cdk-lib'; import { Construct } from 'constructs'; export class CdkSampleStack extends Stack { public readonly myFileObjectKey: string; constructor(scope: Construct, id: string, props: StackProps) { super(scope, id, props); const grafanaRole = new aws_iam.Role(this, 'GrafanaRole', { assumedBy: new aws_iam.ServicePrincipal('grafana.amazonaws.com'), }); const policy = new aws_iam.PolicyStatement({ effect: aws_iam.Effect.ALLOW, actions: ['sts:AssumeRole'], conditions: { StringEquals: { 'aws:SourceAccount': this.account, }, StringLike: { 'aws:SourceArn': `arn:aws:grafana:${this.region}:${this.account}:/workspaces/*`, }, }, principals: [new aws_iam.ServicePrincipal('grafana.amazonaws.com')], }); grafanaRole.addToPolicy(policy); } }
$ cdk synth /Users/wakatsuki.ryuta/projects/cm-rwakatsuki/cdk_sample_app/node_modules/aws-cdk-lib/core/lib/private/synthesis.js:3 `);throw new Error(`Validation failed with the following errors: ^ Error: Validation failed with the following errors: [CdkSampleStack/GrafanaRole/DefaultPolicy] A PolicyStatement used in an identity-based policy cannot specify any IAM principals. [CdkSampleStack/GrafanaRole/DefaultPolicy] A PolicyStatement used in an identity-based policy must specify at least one resource.
ロールの信頼ポリシーは、そのロールを「誰が使えるか」を定義するものです。一方で IAM ポリシーは、そのロール(ポリシー)を使って「何をできるか」を定義するものです。混同しないように気を付けましょう。
AWS CDK で Condition 付きの信頼ポリシー(信頼関係)を設定した AssumeRole 用の IAM ロールを作成する方法を確認してみました。