15
14

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

IAM Policyの表記を綺麗にする

Last updated at Posted at 2014-12-31

2014年ももうすぐ終わりですが、いかがお過ごしでしょうか?年末になると家や開発環境・PCなどの大掃除をする方も多いと思います。
そんな中、IAM Policyに関する機能追加がありましたので簡単にご紹介します。IAM Policyの表記を文法準拠に記述する手助けをするツールです。IAM PolicyはAWSリソースなどへのアクセス権限を柔軟に適用でき、活用することでAWSの各リソースへのアクセスを安全に行えるように出来ます。
しかし、記法が若干複雑で幾つかの書き方が出来るのですが、今回リリースされた機能を使ってIAM Policyの記述を文法準拠にしましょう。(どういう変更を自分が行っているかはちゃんと理解しておきましょう)

IAM Policyを文法準拠に

This release of AWS Identity and Access Management (IAM) provides a tool in the IAM console to identify policies that do not comply with the IAM policy grammar and helps you to edit these policies.というリリースが本日ありました。こちらは何かと言うと、今までIAM Policyの記述は複数の書き方が出来ました、しかしリファレンスとなる記述文法はAWS IAM Policy Referenceにまとめられていました。
今回のリリースでは、既にIAM Policyとして登録されている記述がこちらのリファレンスに準拠していない場合は警告が表示され、修正するためのエディタが登場しました。
ドキュメントはこちらです。

なぜこのようなツールが?

リリース文章にも以下のように書かれている通り

Starting in March 2015, you cannot save any new or updated policies that do not comply with the policy grammar. Although existing policies with these errors continue to function as they did, you cannot edit and save them without fixing any errors in the syntax.

2015年3月からグラマーポリシーに準拠していない記述は保存・編集ができなくなるということです。既に保存されているポリシーに関しては動作は継続しますが、編集・保存が文法の修正を行うまで出来なくなるため、このようなツールが出たということです。今までもポリシーの文法チェックはありましたが、厳格化したという感じですね。

よくある間違いはBack to School: Understanding the IAM Policy Grammarで確認出来ます。

使ってみる

もし、既に文法準拠では無いIAM Policyが存在する場合は、Managemenet ConsoleのIAMのページTOPに上方に以下の様な警告文が表示されます。
iam_mc_top

こちらのFix Syntaxをクリックすると以下の様な画面が表示されます
iam_edit_top
こちらの画面には現在記述ポリシーにそぐわないポリシーがこちらの一覧に表示されます。
この画面から編集をしたいポリシーを選択して編集画面を表示します。

iam_edit
この画面では、上段がおすすめ記述、下段が現在の記述です。今回の例ではResourceの箇所が配列表記になっていない点を指摘されています。おすすめ記述で問題無い場合はApply Changesをクリックします。もし、任意の状態に編集したい場合は上段を編集してValidateをクリックします。問題なければApply Changesがクリックできますが、まだ問題がある場合はクリック出来ないので、更に修正を行います。

まとめ

簡単にIAM Policyのバリデーションまわりの新機能をまとめました。
地味なアップデートですが、記述を統一出来るため見通しが良くなるかと思います。是非活用して、綺麗にして、2015年3月のIAM Policyの記述厳格化に備えましょう!

Security BlogはComing March 2015: Upgrades to IAM Policy Validationです。

こちらは個人の意見で会社とは関係ありません。お約束です。

15
14
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
15
14

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?