
## AWS CLI で、IAM ポリシーがアタッチされた IAM ロールと、IAM ロールがアタッチされた AWS サービスを確認する方法はあるのか

- 特定の IAM ポリシーがアタッチされた IAM ロールを確認できる AWS CLI コマンドがあるか。
- 特定の IAM ロールがアタッチされた AWS サービスを確認できる AWS CLI コマンドがあるか。

## AWS CLI で、IAM ポリシーがアタッチされた IAM ロールと、IAM ロールがアタッチされた AWS サービスを確認する方法

### 特定の IAM ポリシーがアタッチされた IAM ロールを確認する方法

list-entities-for-policy コマンドの実行結果内の PolicyRoles の値からご確認することができました。

```bash
aws iam list-entities-for-policy --policy-arn <IAN ポリシーの arn>
{
    "PolicyGroups": [],
    "PolicyUsers": [],
    "PolicyRoles": [
        {
            "RoleName": "SmapleRoleName",
            "RoleId": "AAAAAAAAAAAAAAAAAAAAA"
        },
    ]
}
```

### 特定の IAM ロールがアタッチされた AWS サービスを確認する方法

一方で、特定の IAM ロールがアタッチされた AWS サービスを確認できる AWS CLI コマンドは見つかりませんでした。
ただ、get-role コマンドの実行結果内の AssumeRolePolicyDocument 内の Service の値から推測することは可能ではあるかなと思ったのですが、以下の懸念ともあり、実用性には欠けます。
・AWS サービス単位であって機能単位( 実際にアタッチされている EC2 インスタンスなど )での確認ができない。
・実際にその IAM ロールが AWS サービスにアタッチされているかは確認できない。
・IAM ポリシーの内容は変更が可能なため、確認したタイミング時に IAM ポリシーに記載の AWS サービスとは別の AWS サービスが登録された結果、一致しない可能性がある。

現状、適宜 IAM ロールの使用状況を個別に確認・管理していく必要があるという結論です。
IAM ロールの使用状況に関しては CloudTrail のログから確認できるようなので、こうゆうのを使っていく感じになのかな。

```bash
aws iam get-role --role-name <IAM ロール名>
{
  "Role": {
      ...
      "AssumeRolePolicyDocument": {
          "Version": "2012-10-17",
          "Statement": [
              {
                  "Effect": "Allow",
                  "Principal": {
                      "Service": "ec2.amazonaws.com"
                  },
                  "Action": "sts:AssumeRole"
              }
          ]
      },
      ...
  }
}
```

## 参考文献

<https://docs.aws.amazon.com/ja_jp/cli/latest/reference/iam/list-entities-for-policy.html>

<https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html>

<https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html>

<https://aws.amazon.com/jp/premiumsupport/knowledge-center/view-iam-history/>


AWS CLI で、IAM ポリシーがアタッチされた IAM ロールと、IAM ロールがアタッチされた AWS サービスを確認する方法はあるのか


## 自分の考える IAM ユーザーの最小権限 (MFA 必須) を考えてみた背景

AWS Organizations を利用した複数アカウント運用のベストプラクティスとして IAM ユーザーは基本権限を全く持たず権限のあるアカウントに切り替える(スイッチロール)のが紹介されていました。
この、「基本権限を全く持たない IAM ユーザー」について自分なりの最小権限を考えてみました。

## 自分の考える IAM ユーザーの最小権限 (MFA 必須) の IAM ポリシー

AWS のドキュメントで紹介されているポリシーから色々省いたり追加したものです。

```json
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowViewAccountInfo",
      "Effect": "Allow",
      "Action": [
        "iam:GetAccountPasswordPolicy",
        "iam:GetAccountSummary",
        "iam:ListVirtualMFADevices"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowManageOwnPasswords",
      "Effect": "Allow",
      "Action": [
        "iam:ChangePassword",
        "iam:GetUser",
        "iam:CreateLoginProfile",
        "iam:DeleteLoginProfile",
        "iam:GetLoginProfile",
        "iam:UpdateLoginProfile"
      ],
      "Resource": "arn:aws:iam::*:user/${aws:username}"
    },
    {
      "Sid": "AllowManageOwnVirtualMFADevice",
      "Effect": "Allow",
      "Action": ["iam:CreateVirtualMFADevice", "iam:DeleteVirtualMFADevice"],
      "Resource": "arn:aws:iam::*:mfa/${aws:username}"
    },
    {
      "Sid": "AllowManageOwnUserMFA",
      "Effect": "Allow",
      "Action": [
        "iam:DeactivateMFADevice",
        "iam:EnableMFADevice",
        "iam:ListMFADevices",
        "iam:ResyncMFADevice"
      ],
      "Resource": "arn:aws:iam::*:user/${aws:username}"
    },
    {
      "Sid": "DenyAllExceptListedIfNoMFA",
      "Effect": "Deny",
      "NotAction": [
        "iam:CreateVirtualMFADevice",
        "iam:EnableMFADevice",
        "iam:GetUser",
        "iam:ListMFADevices",
        "iam:ListVirtualMFADevices",
        "iam:ResyncMFADevice",
        "sts:GetSessionToken"
      ],
      "Resource": "*",
      "Condition": {
        "BoolIfExists": {
          "aws:MultiFactorAuthPresent": "false"
        }
      }
    }
  ]
}
```

## 自分の考える IAM ユーザーの最小権限 (MFA 必須) のポイント

- できることは「マイセキュリティ資格情報」ページで自分の認証情報のパスワードと MFA の管理ができるくらいです。
- MFA なしでもサインインはできますが、その場合 `DenyAllExceptListedIfNoMFA` で定義したアクション以外はできません。ただこれは AWS CLI に影響しないため、AWS CLI などを利用する際に MFA を使わないといけないということはないです。
- IAM ユーザー作成時に初回サインイン時にパスワードリセットを強制できますが、:span[このポリシーではパスワードリセットはできません。]{style="color:red"} AWS のドキュメントで言及されている通りセキュリティ的にしないほうがいいとのことなので許可はしてません。
- MFA を使用したサインインを行った後にユーザーが自分でパスワードを変更できるようにしてます。

## 自分の考える IAM ユーザーの最小権限 (MFA 必須) の運用

このポリシーをベースにグループを作ってそこに所属させて運用するのでも楽でいいかなと思ってます。
例えばこのポリシーにアクセスキーを作成、更新、削除を付与して「IAMEngineer」というグループを作ったりいった感じです。
以前いた会社は複数アカウント管理じゃなくて単一のアカウントで運用していたのですが、
このポリシーに S3 の権限を付与して「IAMVideoCreator」というグループを作って映像クリエイターの方に動画をアップしてもらったりするなど、このポリシーをベースにした運用をやっていれば色々トラブらなくてよかったなぁと思ってます。

## 参考文献

<https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_policies_examples_aws_my-sec-creds-self-manage.html>


AWS IAM の記事一覧

AWS CLI で、IAM ポリシーがアタッチされた IAM ロールと、IAM ロールがアタッチされた AWS サービスを確認する方法はあるのか

自分の考える IAM ユーザーの最小権限 (MFA 必須)