AWS IAM — Common Pitfalls

About This Skill

このスキルには、AI エージェントが IAM について頻繁に誤解している事項に関する検証済みの修正情報が含まれています。これは包括的な IAM ガイドではありません。完全な IAM ガイダンスについては AWS ドキュメンテーションを参照してください。

IAM に関する質問に答える際は、事前学習に依存するのではなく、具体的な主張（制限、クォータ、正確な API 名、エッジケースの動作）を公式 AWS ドキュメンテーションに対して検証してください。幅広い検索よりも既知のドキュメンテーション URL の取得を優先してください。競合する場合は、記憶よりも公式ドキュメンテーションを信頼してください。

Verified Edge Cases

CloudTrail:

• AcceptHandshake/DeclineHandshake は実行アカウントのみでログに記録され、管理アカウントでは記録されません。一元化にはこれは Organization trail が必要です。
• ConsoleLogin リージョンはエンドポイント/cookie によって異なり、常に us-east-1 ではありません。?region= で特定のリージョンを強制できます。

STS:

• GetSessionToken 制限: (1) MFA を含まない限り IAM API は使用不可 (2) AssumeRole と GetCallerIdentity 以外の STS は使用不可。
• クロスアカウント AssumeRole をオプトイン リージョンへ: ターゲット アカウントがリージョンを有効にする必要があり、呼び出し元アカウントではありません。
• ロール チェーン: 最大 1 時間のセッション。

Organizations:

• サスペンド/クローズされたアカウントは完全にクローズされるまで（約 90 日）削除できません。最初に削除し、その後クローズしてください。
• ポリシー管理の委任: register-delegated-administrator ではなく PutResourcePolicy を使用してください。
• AI オプトアウト ポリシー: デフォルトでは管理アカウントが必要です。
• Organizations ポリシー タイプ（ListPolicies フィルター用）: SERVICE_CONTROL_POLICY、TAG_POLICY、BACKUP_POLICY、AISERVICES_OPT_OUT_POLICY、CHATBOT_POLICY、DECLARATIVE_POLICY_EC2、RESOURCE_CONTROL_POLICY。

SDK Specifics:

• Organizations: DuplicatePolicyAttachmentException（PolicyAlreadyAttachedException ではない）。
• Boto3 IAM AccessKey: メソッドは activate()、deactivate()、delete() — update() はありません。
• インスタンス プロファイル: waiter + time.sleep(10) パターン。
• マネージド ポリシー最大バージョン: 5。

SAML:

• 暗号化アサーション URL: https://region-code.signin.aws.amazon.com/saml/acs/IdP-ID。
• IdP からの秘密鍵は IAM に .pem 形式でアップロードされます。

Policy Evaluation:

• ForAllValues に空/欠落キーの場合: 真と評価されます（空真）。これを回避するには、同じコンテキスト キー上で ForAllValues に加えて Null 条件を使用して、そのキーが存在し非 null であることを要求します。例えば、aws:TagKeys コンテキスト キーを評価する場合:

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": "ec2:RunInstances",
        "Resource": "*",
        "Condition": {
            "ForAllValues:StringEquals": {
                "aws:TagKeys": ["Alpha", "Beta"]
            },
            "Null": {
                "aws:TagKeys": "false"
            }
        }
    }
}

• リソースベースのポリシーが IAM ユーザー ARN に付与する場合、同じアカウント内の権限境界をバイパスします。
• 直接 IAM ポリシー操作による 8 つの権限昇格アクション: PutGroupPolicy、PutRolePolicy、PutUserPolicy、CreatePolicy、CreatePolicyVersion、AttachGroupPolicy、AttachRolePolicy、AttachUserPolicy。
• iam:PassRole で Resource: "*" + コンピュートサービスでの作成/更新（EC2 RunInstances、Lambda CreateFunction/UpdateFunctionConfiguration、ECS RegisterTaskDefinition、Glue、SageMaker、CloudFormation など）= アカウント内のすべてのパス可能ロール（Administrator を含む）への権限昇格。Resource を特定のロール ARN または IAM パスに限定してください。オプションで iam:PassedToService / iam:AssociatedResourceArn で制限してください。IAM User Guide — Grant a user permissions to pass a role を参照してください。

MFA:

• 割り当てられていない仮想 MFA デバイスは新しいデバイスを追加するときに自動削除されます。
• MFA リシンク専用ポリシー NotAction は正確に以下が必要: iam:ListMFADevices、iam:ListVirtualMFADevices、iam:ResyncMFADevice。

SigV4:

• IncompleteSignatureException には転送中の変更診断用の Authorization ヘッダーの SHA-256 ハッシュが含まれます。

Service-Specific Roles:

• Redshift Serverless トラスト ポリシー: redshift-serverless.amazonaws.com と redshift.amazonaws.com の両方をサービスプリンシパルとして含めます（AWS ドキュメント に従い、serverless を省略すると COPY で Not authorized to get credentials of role が発生）。
• IAM OIDC プロバイダー: サムプリントはほとんどのプロバイダーで不要になりました（AWS が 2022 年以降信頼された CA 経由で検証）。

Policy Summary Display:

• 複数サービスのワイルドカード アクション（例：codebuild:*、codecommit:*）+サービス固有のリソース ARN を持つ単一ステートメント: 各リソースは一致するサービスの概要のみに表示されます（CodeBuild ARN は CodeBuild の下など）。ステートメント内のアクションと一致するサービスプリフィックスを持たないリソースのみが、すべてのアクション概要に表示されます（「不一致リソース」）。