IAMポリシーでAWS Elementalアプライアンスとソフトウェアの購入を制御する

IAMポリシーでAWS Elementalアプライアンスとソフトウェアの購入を制御する

こんにちは。サービス部の武田です。IAMポリシーでAWS Elementalアプライアンスとソフトウェアの購入を制御する方法と、サポートされた時期を調査してみました。
Clock Icon2023.05.30

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは。サービス部の武田です。

Elementalアプライアンスといわれてピンときますか?具体的な製品としてはElemental Linkなどがあります。

さてこちらの製品ですが、ブログでも説明されているとおりルートユーザーでなくても購入可能です。そうなると管理者としては、それを制御できるのか、というのは気になるところです。

結論からいえば、 購入制限は可能 です。

権限については次のドキュメントにまとまっています。このうち、CreateOrderV1SubmitOrderV1をDenyすると購入できなくなります。

Actions, resources, and condition keys for AWS Elemental Appliances and Software - Service Authorization Reference

具体的には次のようにポリシーを設定すればOKです。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "elemental-appliances-software:CreateOrderV1",
        "elemental-appliances-software:SubmitOrderV1"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

権限が追加された時期について

結論は以上なのですが、この権限が追加された時期はいつなのか個人的に気になっていました。というのも、以前調査したときに、この権限は存在しなかったからです。

調査の方針としてドキュメントの更新履歴などを探しましたが見つかりませんでした。GitHubのパブリックリポジトリでは管理していないんでしょうか。ご存じの方いましたら教えてください。

もう少し進めていると次のリポジトリを発見しました。

どうやら週次でAuthorization Referenceをクローリングし、ポリシー一覧をJSONに保存するプログラムのようです。素敵すぎますね。

こちらのリポジトリのコミット履歴をさかのぼりながら探したところ、件の権限が追加されたのは 2022年11月13日ごろ ということがわかりました。

まとめ

AWS Elementalアプライアンスとソフトウェアの購入を制御したい場合の方法と、サポートされた時期を調べてみました。参考になれば幸いです。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.