2014年ももうすぐ終わりですが、いかがお過ごしでしょうか?年末になると家や開発環境・PCなどの大掃除をする方も多いと思います。
そんな中、IAM Policyに関する機能追加がありましたので簡単にご紹介します。IAM Policyの表記を文法準拠に記述する手助けをするツールです。IAM PolicyはAWSリソースなどへのアクセス権限を柔軟に適用でき、活用することでAWSの各リソースへのアクセスを安全に行えるように出来ます。
しかし、記法が若干複雑で幾つかの書き方が出来るのですが、今回リリースされた機能を使ってIAM Policyの記述を文法準拠にしましょう。(どういう変更を自分が行っているかはちゃんと理解しておきましょう)
IAM Policyを文法準拠に
This release of AWS Identity and Access Management (IAM) provides a tool in the IAM console to identify policies that do not comply with the IAM policy grammar and helps you to edit these policies.というリリースが本日ありました。こちらは何かと言うと、今までIAM Policyの記述は複数の書き方が出来ました、しかしリファレンスとなる記述文法はAWS IAM Policy Referenceにまとめられていました。
今回のリリースでは、既にIAM Policyとして登録されている記述がこちらのリファレンスに準拠していない場合は警告が表示され、修正するためのエディタが登場しました。
ドキュメントはこちらです。
なぜこのようなツールが?
リリース文章にも以下のように書かれている通り
Starting in March 2015, you cannot save any new or updated policies that do not comply with the policy grammar. Although existing policies with these errors continue to function as they did, you cannot edit and save them without fixing any errors in the syntax.
2015年3月からグラマーポリシーに準拠していない記述は保存・編集ができなくなるということです。既に保存されているポリシーに関しては動作は継続しますが、編集・保存が文法の修正を行うまで出来なくなるため、このようなツールが出たということです。今までもポリシーの文法チェックはありましたが、厳格化したという感じですね。
よくある間違いはBack to School: Understanding the IAM Policy Grammarで確認出来ます。
使ってみる
もし、既に文法準拠では無いIAM Policyが存在する場合は、Managemenet ConsoleのIAMのページTOPに上方に以下の様な警告文が表示されます。
こちらのFix Syntaxをクリックすると以下の様な画面が表示されます
こちらの画面には現在記述ポリシーにそぐわないポリシーがこちらの一覧に表示されます。
この画面から編集をしたいポリシーを選択して編集画面を表示します。
この画面では、上段がおすすめ記述、下段が現在の記述です。今回の例ではResourceの箇所が配列表記になっていない点を指摘されています。おすすめ記述で問題無い場合はApply Changesをクリックします。もし、任意の状態に編集したい場合は上段を編集してValidateをクリックします。問題なければApply Changesがクリックできますが、まだ問題がある場合はクリック出来ないので、更に修正を行います。
まとめ
簡単にIAM Policyのバリデーションまわりの新機能をまとめました。
地味なアップデートですが、記述を統一出来るため見通しが良くなるかと思います。是非活用して、綺麗にして、2015年3月のIAM Policyの記述厳格化に備えましょう!
Security BlogはComing March 2015: Upgrades to IAM Policy Validationです。
こちらは個人の意見で会社とは関係ありません。お約束です。