AWS ポリシーのカスタマー管理とカスタマーインラインの違い

nas2025/04/23

目次

01. 目的

02. カスタマー管理とカスタマーインラインの違い

03. カスタマー管理に向いている場面

04. カスタマーインラインに向いている場面

目的

AWS IAM のポリシーの「カスタマー管理」と「カスタマーインライン」の違いについてです。

 

カスタマー管理とカスタマーインラインの違い

項目 カスタマー管理 カスタマーインライン
定義場所 AWS アカウント内で独立して作成・管理 特定の IAM ユーザー、グループ、ロールに直接埋め込み
再利用性 可能(複数のユーザーやロールにアタッチできる) できない(他のエンティティに共有できない)
削除時の影響 ポリシー自体は残る(他に使われている可能性がある) ポリシーを持つエンティティを削除すると一緒に削除される
可視性・管理性 IAMポリシー一覧で一括管理しやすい 管理が複雑(個々のエンティティを開かないと見えない)
ユースケース 標準化・組織的な管理に適している 個別対応、テスト、一時的な用途

補足

カスタマー管理

→ ポリシー で定義した「ユーザーが明示的に作ったポリシー」。再利用でき、名前も自由につけられます。

カスタマーインライン

→ ユーザー/ロール/グループ に紐づいた形で「その場限りで定義するポリシー」。再利用不可。ポリシーの名前も内部的でわかりづらいです。

 

カスタマー管理に向いている場面

  • 同じアクセス制御を複数のロールやユーザーに付与したい

  • 組織的なアクセス管理やセキュリティポリシーとして統一したい

  • ポリシー変更を一括で適用したい(集中管理)

 

カスタマーインラインに向いている場面

  • 一時的な制限を特定ユーザーに適用したい

  • 他人には使わせたくない一時的な許可を付けたい

  • テスト用のアクセス制御

 

    関連の記事

    AWS ポリシーを作成しグループに追加する

    △上に戻る