はじめに（定型文）

AWSのUpdate情報の中で、個人的に気になったものをピックアップします。

（Update以外でも新しく知った情報や、たまにAWS以外の情報も記載するかもしれません）

https://aws.amazon.com/about-aws/whats-new/recent/?nc1=h_ls

※日本語は反映が遅いので基本英語版で見ています

AWS Single Sign-On (AWS SSO) adds support for AWS Identity and Access Management (IAM) customer managed policies (CMPs)

https://aws.amazon.com/jp/about-aws/whats-new/2022/07/aws-single-sign-on-aws-sso-aws-identity-access-management-iam-customer-managed-policies-cmps/

AWS SSOの権限セットでカスタマー管理ポリシー（CMPs）が利用できるようになりました。

これまではAWS管理ポリシーかインラインポリシーのみしか使用できず、カスタムの権限を設定したい場合はインラインポリシーで頑張るしかありませんでしたが、これによりカスタムの権限も管理がしやすくなりました。

（逆に何で今までできなかったのかは謎ですが、インラインポリシーに対してCMPsは比較的新しく、IAMポリシーがIAM以外と連携することは無いので意外に実装が難しかったのかもと推測）

AWS Lambda announces support for Attribute-Based Access Control (ABAC)

https://aws.amazon.com/jp/about-aws/whats-new/2022/07/aws-lambda-support-abac/

LambdaがAttribute-Baseのアクセス制御（ABAC）をサポートするようになりました。

（正確には関数と関数バージョン、エイリアスのタグでサポートされるようになったというアップデート）

ABACは対象リソースのタグ（ResourceTag）とIAMユーザーまたはロールのタグ（PrincipalTag）に基づいてアクセス制御を行う手法で、ポリシーで制御するRBACと比較してリソース毎の権限管理を簡素化できるメリットがあります。

たとえば1アカウント内に複数の環境が共存している場合やマルチテナントの場合、RBACでアクセス制御を行おうとすると中身がほぼ同じIAMポリシーを複数作成する必要がありますが、ABACではリソースとIAMユーザーまたはロールのタグのタグが一致する場合に許可、という書き方ができるため、作成するポリシーは共通で良くなるメリットがあります。

※参考情報

https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/introduction_attribute-based-access-control.html

https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html

KKino1985のブログ

AWS Recent Announcements(7/20)

はじめに（定型文）

AWS Single Sign-On (AWS SSO) adds support for AWS Identity and Access Management (IAM) customer managed policies (CMPs)

AWS Lambda announces support for Attribute-Based Access Control (ABAC)