最近オーストラリアのDJのArchieにハマっている小室です。
今日はIAMで適応したポリシーの動作確認をする方法について書きます。
ポリシーの動作確認
IAMユーザー、グループなどで適応出来るJSON形式のポリシー(権限)を実際に対象ユーザーに反映する前に確認したいと思うかもしれません。
そんな時にIAM ポリシー シミュレーターを使うとよいと思います。
ちょっと分かり辛いですが、IAMのダッシュボードの右下にリンクがあります。それか以下リンクから遷移します。
https://policysim.aws.amazon.com/home/index.jsp?#
ここにkomuro-ec2-elb-no-rdsというIAMユーザーが居たとします。
IAM Policy Simulatorにアクセスをしユーザー名(グループ名も検索可能)を探します。
検証したいユーザー名をクリックします。(ここではkomuro-ec2-elb-no-rdsをクリックします)
ユーザーを選択した後、右画面にサービス、アクション、リソースを選べる様になりますので、調べたいサービスを選びます。
ここではAmazon EC2を選択し、アクションは全てを選びます。個別のアクションを選択する事も可能です。
サービス、アクション、リソースを選択した後、Run Simulation をクリックして動作検証をします。
アクセスが許可されていれば緑で表示されます。
アクセスが許可されていなければ赤で表示されます。
また既存のポリシーだけではなく、この場でJSONポリシー直書きしたいぜ!という方の為に、右上からPolicy作成も行えます。
適応する前にポリシーを作って試してみる事が出来ます。
このPolicy Simulator非常に便利ですよね!
利点として
- 実際に各サービスにリクエストを送らない(ので課金されない&セキュリティを心配する必要がない。例えばS3のDeleteBucketなどは実際に実行しなくとも権限だけを確認が可能)
- 複数サービスにまたがって動作検証が出来る
- 適応する前にポリシーだけを検証出来る
注意点として
- ユーザー、グループについているポリシーしか見ないので、リソース自身についているポリシーは見ない。例えばS3バケット、SQS、SNSトピックに設定されているポリシーは見ない
参考URL
- AWS Identity and Access Management (IAM) Announces Policy Simulator
- IAM Policy Simulator - AWS Identity and Access Management
マイナーなのであまり利用しないかもしれませんが、よりセキュアにIAM運用をしたい場合は使うといいのではないかと思いました!