【SAA対策】IAM/SCPにてポリシー付与方法

ホワイトリストとブラックリスト

ポリシーを付与する際に、まっさらな状態にポリシーを付与していくのか、全権限を与えられた状態から（拒否）ポリシーを付与していくのかの２パターンの付与方法がある。前者がホワイトリスト、後者がブラックリストという方法である。
AWSではIAMはホワイトリスト、SCPではブラックリストがデフォルトである。
それゆえ、混乱しやすいが、IAMは許可ポリシーを付与しなければ何も権限が無く、SCPはデフォルトで「FullAWSAccess」ポリシーが付与されているので、ホワイトリスト方式でポリシーを付与したければ、第一にFullAWSAccessポリシーをデタッチすることが必須である。

SAA対策のために理解しておくべきこと

SCPでEC2全権限許可のポリシーが付与されていたとしても、そのアカウント内のユーザーに対してIAMにてEC2全権限許可のポリシーが明示的に付与されてなければそのポリシーは適用されない。
問題の例として、

SCPで、あるOUに対してS3の全権限許可のポリシーが付与されている。そのOU内のアカウントのあるユーザーに対してIAMでS3の削除拒否ポリシーを付与した。それ以外のポリシーはこのユーザーには付与されていない。このユーザーの権限について答えよ。

このような問題が出題されたときに、デフォルトでIAMはホワイトリストでポリシーを付与する為、SCPで何を付与されたかと、IAMで何を付与されているのかに着目する必要がある。
今回はS3の削除拒否ポリシーだけ付与されている為、このユーザーはS3操作に関して何も許可のポリシーが付与されていないので、何も権限を持たないというのが答えとなる。