ちょっと話題の記事

[新機能]IAMのVisual Editorを使って見た[便利!]

2017.11.18

ご機嫌いかがでしょうか、豊崎です。

IAMポリシーの作成と更新時にVisual Editorが利用できるようになりましたので、 試して見たいと思います。

Visual Editorを使って見た

では早速ポリシーを作成します。 まずはIAMダッシュボードからポリシーの作成をクリックします。

すると、Visual Editorというタブがあります。

ここではEC2に対する参照系の全ての権限とEC2作成権限を付与してみます。
※IAMRoleを付与したい場合は別途IAMRole関連の権限付与が必要です。

まずは対象のサービスを選択します。

次にアクションを選択します。 検索してアクションを選択したり、マニュアルで指定(ec2:create*、など)、また各アクセスレベルグループから選択することができます。 またデフォルトでは許可の権限を設定しますが、「Switch to deny permissions」をクリックすることで拒否設定も設定できます。

アクセスレベルグループから選択したいと思います。 参照系のリスト、読み込みはすべて選択して、書き込みのリストから「RunInstances」を選択します。

RunInstancesを選択したタイミングでResourcesに警告がでました。 選択したアクションによってはリソースタイプを指定できるものがあるため、その場合警告を出してくれるようです。

今回は特定のサブネットのみを指定してそれ以外はanyにしてみます。

  • region
  • AWSアカウント
  • subnetID

を指定することでARNを自動生成してくれます。便利です!

Request ConditionsでMFA、SourceIPの指定もできるようですが、今回は設定しません。

右下のReview Policyを押して「demo-policy」という名前で作成しました。

試してみます

テストとして、「demo-user」というIAMユーザを作り、「demo-policy」の権限を付与、AWSマネジメントコンソールからEC2をlaunchします。そして特定のサブネットだけにしかlaunchできないことを確認します。

指定していないサブネット

指定とは異なるサブネットを指定してlaunchすると想定の通り失敗になりました。 (RunInstancesしか指定していないので、新規作成はできません。タグ指定なし+セキュリティグループは既存としてください。)

指定したサブネット

指定のサブネットを選択すると想定通り成功しました。

さいごに

IAMで細かい指定をするのが簡単になりました。 特にリソースタイプの指定がとても行いやすくなった印象があります。 嬉しいアップデートだと思いました!