AWS ポリシーのカスタマー管理とカスタマーインラインの違い

目次

ポリシーのカスタマー管理とカスタマーインラインの違いのまとめ

定義場所 エンティティ削除時 ユースケース
カスタマー管理 AWSアカウント内で独立して作成・管理
→再利用可能
ポリシー自体は残る(他に使われている可能性がある) 標準化・組織的な管理に適している
カスタマーインライン 特定のIAM ユーザー、グループ、ロールに直接埋め込み
→再利用不可
ポリシーを持つエンティティを削除すると一緒に削除される 個別対応、テスト、一時的な用途

カスタマー管理

→ ポリシー で定義した「ユーザーが明示的に作ったポリシー」。再利用でき、名前も自由につけられます。

カスタマーインライン

→ ユーザー/ロール/グループ に紐づいた形で「その場限りで定義するポリシー」。再利用不可。ポリシーの名前も内部的でわかりづらいです。

カスタマー管理に向いている場面

  • 同じアクセス制御を複数のロールやユーザーに付与したい

  • 組織的なアクセス管理やセキュリティポリシーとして統一したい

  • ポリシー変更を一括で適用したい(集中管理)

カスタマーインラインに向いている場面

  • 一時的な制限を特定ユーザーに適用したい

  • 他人には使わせたくない一時的な許可を付けたい

  • テスト用のアクセス制御

    関連の記事

    AWS ポリシーをグループに追加しユーザに適用する

    △上に戻る