AWS サービスのリソースに対する操作が他の AWS サービスのリソースを直に操作するという構成の時に、その呼び出し元のリソースを表す。
例: CodeBuild ビルドの際に、ビルドイメージを ECR のものにしていた場合、 codebuild のサービスが直に ECR から pull しようとする。そのとき、 ECR の Resource-based Policy の評価のタイミングでは、 aws:SourceArn の Condition Key が利用可能となり、その CodeBuild ビルド設定の ARN へと評価される。
AWS IAM における Principal の一時的な属性による条件
(AWS) Resource-based Policy
リソースに対して設定されるポリシー。 Principal と Action を基本的に指定する。
(AWS IAM) Principal でのアカウント vs Role vs Role Session
Resource-based Policy において Principal にアカウント, Role , Role Session をそれぞれ付与した場合の挙動。
AWS IAM の Policy
が指定されると、誰(Principal)が何の Action をどの Resource に行えるかが規定される。
(AWS) Permission Boundary
これを設定すると、 Identity-based Policy によって grant される Permission の上限が、 Permission Boundary に制限される。
(AWS) Role Trust Policy
Role を IAM Resource として見たときの、 Role に対する (AWS) Resource-based Policy のこと。 これにより assume role が可能となる。