はじめに
この記事は AWS Community Builders Advent Calendar 2025 の 3 日目の記事です。
AWS re:Invent 2025では「IAM Policy Autopilot」というポリシー生成を支援するMCPサーバーが発表されました。
今回の記事ではこのMCPサーバーを利用して、以前書いた記事で紹介したInfrastructureComposerで初期ポリシーが多くついてしまう問題が対応できるか検証しました。
↓ [AWSブログ]ビルダー向けの新しいオープンソース MCP サーバーである IAM Policy Autopilot で IAM ポリシーの作成を簡素化します
↓ Top announcements of AWS re:Invent 2025
↓ AWS Community Builders Advent Calendar 2025 はこちら
↓ 以前のInfrastructureComposerの記事
【修正対象コード準備】InfrastructureComposerで作成したIaCコードの構成
前の記事でAPIGatewayとLambda関数を使ったAPIの構成を作成しました。
今回はこの構成に対してInfrastructureComposerを使ってLambda関数とS3バケットをつなぎ、ポリシーの設定がどのようになるかを確認します。
↓ 前の記事
InfrastructureComposerでLambda関数とS3バケットの接続を作成
LambdaとS3のカードをつなぐことでIaCコード上で関連付けを作成できます。
かなりの広範囲のポリシーが付与されることを確認 ← ★今回の課題★
関連付けをした時点ではポリシーはかなり広範囲のものが設定されます。
Lambda関数にS3バケット内のテキストファイルのリストを取得するコードを追記
今回の動作確認用にLambda関数のコードを更新します。
今回はバケット内のテキストファイルの一覧を取得するコードを記載しました。
IAM Policy Autopilot を利用して過剰なポリシーを修正する
IAM Policy Autopilotの環境設定
検証した環境
Windows PCでKiro(IDE)を使用しています
Gitリポジトリをクローンする
git clone --recurse-submodules https://github.com/awslabs/iam-policy-autopilot.git
クローンしたフォルダに移動する
cd iam-policy-autopilot
ビルドする
cargo build --release
MCP設定ファイル(mcp.json)にiam-policy-autopilotの設定を記載する
"iam-policy-autopilot": {
"command": "【ローカルPCのパス】\\iam-policy-autopilot\\target\\release\\iam-policy-autopilot.exe",
"args": ["mcp-server"]
}
KiroのIDEの画面でMCP設定が成功していることを確認
iam-policy-autopilotのMCPの名前の横にチェックマークと使えるツール一覧が表示されていることを確認します。
IAM Policy Autopilotにポリシー修正を依頼する
プロンプトは「am-policy-autopilotを使ってtemplate.yamlのポリシーを最小限のものに修正お願いします」として修正を依頼します。
以下のようにIAM Policy Autopilotを利用してポリシーが修正されます
今回のLambdaはS3に対してファイルリストの取得しか行っていないので、結果のポリシーも「s3:ListBucket」のみになりました。
さいごに
IAM Policy Autopilotを利用することで、不要な権限を考えて検証する手間が大幅に削減できそうです。
最終的に本当に必要最低限のポリシーになっているか人によるレビューが必要になりますが、ポリシーの初期開発には有効なサービスであることは間違いなさそうです。
過去の記事