【AWS発表】 AWS Identity and Access Management (IAM) Policy Simulator
この記事はAWSシニアエバンジェリスト Jeff BarrのAmazon Web Services Blogの記事、AWS Identity and Access Management Policy Simulatorを堀内康弘 (Facebook, Twitter)が翻訳したものです。
AWS Identity and Access Management (IAM)を使えば、 AWSのサービスおよびリソースへのアクセスをアクセスコントロールポリシーを使って、制御することができます。 IAMは事前に作成された大量のポリシーを持っていますのでそれを利用することもできますし、自分でポリシーを作成することもできます。
IAMポリシーはポリシーステートメントで構成されています。各々のステートメントは、AWSのサービス(個々のAPI関数のレベルで)またはリソースへのアクセスを許可または拒否します。ポリシーはユーザー、グループまたはロールに付与することができます。
次のサンプルポリシーは全てのEC2のAPIおよびリソースへのアクセスを許可しています。
新しいポリシーシミュレーター
ポリシー言語はリッチで表現力があるので、これをもっと簡単に使えるようにしたいと私達は考えていました。今までは、ポリシーが期待通りに振るまうかを確認するために、本番環境にポリシーを適用する必要がありました。
これを解消すべく、本日、IAM Policy Simulatorツールを導入いたしました。 このツールを使えば、本番環境にIAMポリシーを適用する前にその効果をテストすることができます。 使い方は簡単です。評価したいポリシーを選択し、AWSオプションのリストから選択し、Run Simulationボタンをクリックするだけです。
AWSアカウントのオーナーで、アカウント内に作成したIAMユーザー(jeffとします)が全てのEC2のAPIにアクセスできること確認したいとします。そうするには、まず、ユーザー名 jeff、 サービス、およびアクセス可能にしたい関数(Select Allボタンで全てを選択することもできます。)を選択します。
Run Simulationボタンを押すと、ポリシーが評価され、結果が表示されます。 この例では、EC2 APIへのアクセス権も持っていないという結果がでました。(これは、IAMユーザーは明示的に許可されない限り、権限がないからです。)
アクセスできるようにしたいので、AWS Management ConsoleのIAMタブに移動し、Amazon EC2のフルアクセスポリーをユーザーjeffに付与します。
その後、シミュレーターに戻り、シミュレーションを再度実行します。今度はアクセスできるようになったようです。
今日紹介した機能は、IAM Policy Simulatorでできることのほんの一部に過ぎません。シミュレーションからポリシーをはずし、実際にそのポリシーを削除したら何が起こるのかを確認することもできます。また、特定のリソースへのアクセスをシミュレートしたり、新しく生成されたポリシーをシミュレータ内で作成してテストすることもできます。
さらに詳しい情報については、ビデオ(英語)を作成いたしましたので、こちらをご覧ください。
-- Jeff;
この記事はAWSシニアエバンジェリスト Jeff BarrのAmazon Web Services Blogの記事、AWS Identity and Access Management Policy Simulatorを堀内康弘 (Facebook, Twitter)が翻訳したものです。
コメント