最近オーストラリアのDJのArchieにハマっている小室です。

今日はIAMで適応したポリシーの動作確認をする方法について書きます。

ポリシーの動作確認

IAMユーザー、グループなどで適応出来るJSON形式のポリシー（権限）を実際に対象ユーザーに反映する前に確認したいと思うかもしれません。

そんな時にIAM ポリシー シミュレーターを使うとよいと思います。

ちょっと分かり辛いですが、IAMのダッシュボードの右下にリンクがあります。それか以下リンクから遷移します。
https://policysim.aws.amazon.com/home/index.jsp?#

ここにkomuro-ec2-elb-no-rdsというIAMユーザーが居たとします。

IAM Policy Simulatorにアクセスをしユーザー名（グループ名も検索可能）を探します。

検証したいユーザー名をクリックします。（ここではkomuro-ec2-elb-no-rdsをクリックします）

ユーザーを選択した後、右画面にサービス、アクション、リソースを選べる様になりますので、調べたいサービスを選びます。

ここではAmazon EC2を選択し、アクションは全てを選びます。個別のアクションを選択する事も可能です。

サービス、アクション、リソースを選択した後、Run Simulation をクリックして動作検証をします。

アクセスが許可されていれば緑で表示されます。

 

アクセスが許可されていなければ赤で表示されます。

また既存のポリシーだけではなく、この場でJSONポリシー直書きしたいぜ！という方の為に、右上からPolicy作成も行えます。

適応する前にポリシーを作って試してみる事が出来ます。

 

このPolicy Simulator非常に便利ですよね！

利点として

• 実際に各サービスにリクエストを送らない（ので課金されない＆セキュリティを心配する必要がない。例えばS3のDeleteBucketなどは実際に実行しなくとも権限だけを確認が可能）
• 複数サービスにまたがって動作検証が出来る
• 適応する前にポリシーだけを検証出来る

注意点として

• ユーザー、グループについているポリシーしか見ないので、リソース自身についているポリシーは見ない。例えばS3バケット、SQS、SNSトピックに設定されているポリシーは見ない

参考URL

• AWS Identity and Access Management (IAM) Announces Policy Simulator 
• IAM Policy Simulator - AWS Identity and Access Management 

マイナーなのであまり利用しないかもしれませんが、よりセキュアにIAM運用をしたい場合は使うといいのではないかと思いました！