前回はIAMの設定方法でした。
今回はもう少し掘り下げます。

ポリシーの中にも
「管理ポリシー」と「インラインポリシー」があります。
そして「管理ポリシー」の中にも
「AWS管理ポリシー」と「カスタマー管理ポリシー」があります。

管理ポリシーは、IAM画面の左側に記載されているポリシーのことです。

AWS管理ポリシーは、AWSが用意したポリシーです。

カスタマー管理ポリシーは、管理者が自分で作るポリシーです。

グループに割り当てると、そのグループに所属するユーザは全員同じポリシーが割り当てられます。

インラインポリシーは、他のユーザーやグループ、ロールに影響しない独自のポリシーを設定できます。

ロールでどこからのアクセスに対しての許可をするのかも決めます。

ロール作成時のロールタイプを選択するときにEC２を選択すれば、EC2からのアクセスを許可することになります。

信頼関係タブの信頼されたエンティティに書いてあるドメインがアクセス許可されたサービスを表しています。

管理ポリシーでアクセス許可、インラインポリシーでアクセス拒否の場合

管理ポリシーでアクセス拒否、インラインポリシーでアクセス許可の場合

つまり、どちらかで拒否してたら、許可してても拒否が優先されます。