[新機能] IAMポリシーのアクセス制御内容がわかりやすくなりました

こんにちは。菊池です。

マネジメントコンソールから、IAMポリシーのアクセス制御内容がわかりやすく確認できるようになりました。

これまで、IAMポリシーで厳密なアクセス制御を実現しようとすると、ポリシードキュメントが複雑になり、必要十分な権限が付与されているかの確認が難しくなっていました。今回のアップデートにより、マネジメントコンソールから付与されているアクセス権限がAPIレベルで簡単に確認できます。

確認してみる

早速確認します。

マネジメントコンソールのIAMのメニューから、IAMポリシーを選択します。任意のポリシーを選択すると、[アクセス権限] -> [Policy summary]にポリシー概要が表示されます。

以下はAWS管理ポリシーのAmazonElasticMapReduceFullAccessの例です。

iam-policy-summary-001

このポリシーの場合EMRのAPIだけでなく、CloudFormationやS3などのEMRを使う上で必要な他のサービスのAPIにも権限が付与されることがわかります。(SimpleDBのフルアクセスも可能なようですw)

[アクセスレベル]には許可されたAPIに応じてそのレベルが表示されます。[リソース]にはポリシードキュメントの"Resource":で指定した制限、[リクエスト条件]には"Condition":での制限が表示されます。

特定のサービスをクリックすると、そのサービスのAPI単位でのアクセス許可が表示されます。以下はKMSを選択した場合です。

iam-policy-summary-002

[アクセスレベル]で、完全となっていたリストアクションは全て許可されています。制限となっている読み込みアクションは一部のAPIのみ許可されています。

上記の画面で、[残りのxxを表示]を選択することで、アクセス許可のないAPIも表示可能です。

iam-policy-summary-003

独自ポリシーの確認

このポリシー概要ですが、AWS管理ポリシーだけでなく独自ポリシーでも表示可能です。

以下の記事で紹介した、AmazonLightsailFullAccessのポリシーで試しました。

iam-policy-summary-004

独自ポリシーを作成して、細かく権限を調整する場合には嬉しい機能です。

最後に

この機能アップデートで、IAMポリシーの権限設定が捗ることでしょう。必要十分な権限を付与して、安全な運用を心がけましょう。