目次
ポリシーのカスタマー管理とカスタマーインラインの違いのまとめ
定義場所 | エンティティ削除時 | ユースケース | |
---|---|---|---|
カスタマー管理 | AWSアカウント内で独立して作成・管理 →再利用可能 |
ポリシー自体は残る(他に使われている可能性がある) | 標準化・組織的な管理に適している |
カスタマーインライン | 特定のIAM ユーザー、グループ、ロールに直接埋め込み →再利用不可 |
ポリシーを持つエンティティを削除すると一緒に削除される | 個別対応、テスト、一時的な用途 |
カスタマー管理
→ ポリシー で定義した「ユーザーが明示的に作ったポリシー」。再利用でき、名前も自由につけられます。
カスタマーインライン
→ ユーザー/ロール/グループ に紐づいた形で「その場限りで定義するポリシー」。再利用不可。ポリシーの名前も内部的でわかりづらいです。
カスタマー管理に向いている場面
-
同じアクセス制御を複数のロールやユーザーに付与したい
-
組織的なアクセス管理やセキュリティポリシーとして統一したい
-
ポリシー変更を一括で適用したい(集中管理)
カスタマーインラインに向いている場面
-
一時的な制限を特定ユーザーに適用したい
-
他人には使わせたくない一時的な許可を付けたい
-
テスト用のアクセス制御
関連の記事