この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
ご機嫌いかがでしょうか、豊崎です。
IAMポリシーの作成と更新時にVisual Editorが利用できるようになりましたので、 試して見たいと思います。
Visual Editorを使って見た
では早速ポリシーを作成します。 まずはIAMダッシュボードからポリシーの作成をクリックします。
すると、Visual Editorというタブがあります。
ここではEC2に対する参照系の全ての権限とEC2作成権限を付与してみます。 ※IAMRoleを付与したい場合は別途IAMRole関連の権限付与が必要です。
まずは対象のサービスを選択します。
次にアクションを選択します。 検索してアクションを選択したり、マニュアルで指定(ec2:create*、など)、また各アクセスレベルグループから選択することができます。 またデフォルトでは許可の権限を設定しますが、「Switch to deny permissions」をクリックすることで拒否設定も設定できます。
アクセスレベルグループから選択したいと思います。 参照系のリスト、読み込みはすべて選択して、書き込みのリストから「RunInstances」を選択します。
RunInstancesを選択したタイミングでResourcesに警告がでました。 選択したアクションによってはリソースタイプを指定できるものがあるため、その場合警告を出してくれるようです。
今回は特定のサブネットのみを指定してそれ以外はanyにしてみます。
- region
- AWSアカウント
- subnetID
を指定することでARNを自動生成してくれます。便利です!
Request ConditionsでMFA、SourceIPの指定もできるようですが、今回は設定しません。
右下のReview Policyを押して「demo-policy」という名前で作成しました。
試してみます
テストとして、「demo-user」というIAMユーザを作り、「demo-policy」の権限を付与、AWSマネジメントコンソールからEC2をlaunchします。そして特定のサブネットだけにしかlaunchできないことを確認します。
指定していないサブネット
指定とは異なるサブネットを指定してlaunchすると想定の通り失敗になりました。 (RunInstancesしか指定していないので、新規作成はできません。タグ指定なし+セキュリティグループは既存としてください。)
指定したサブネット
指定のサブネットを選択すると想定通り成功しました。
さいごに
IAMで細かい指定をするのが簡単になりました。 特にリソースタイプの指定がとても行いやすくなった印象があります。 嬉しいアップデートだと思いました!
8
