参考
経緯
- IAMポリシーで認識されないアクションがあると!マークが出る
- サービスとして使用できるIAMアクションなのに何故通知が出るのか気になったので備忘録
説明
IAMポリシーで認識されないアクションが表示された場合は以下が考えられる
Unrecognized actions – このポリシーには、このサービスのポリシー内で認識されない 1 つ以上のアクションが含まれます。
この警告を使用して、アクションにタイプミスが含まれている可能性があるかどうかを確認できます。
アクション名が正しい場合、サービスはポリシー概要を一部サポートしていないか、プレビュー中であるか、カスタムサービスである可能性があります。
一般公開された (GA) サービスの特定のアクションに対するポリシー概要のサポートをリクエストするには、「サービスが IAM ポリシー概要をサポートしていない」を参照してください。
僕の場合
- プレビュー中のIAMアクションを使用していた
- SMS MFA
- http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_mfa_enable_sms.html
- https://aws.amazon.com/jp/iam/details/mfa/
IAMポリシーで認識されなかった場合の参考
ポリシーに認識されないサービス、アクション、またはリソースタイプが含まれている場合は、以下のいずれかのエラーが発生しています。
プレビューサービス – プレビュー中のサービスはポリシー概要をサポートしていません。
カスタムサービス – カスタムサービスはポリシー概要をサポートしていません。
サービスが概要をサポートしていない – ポリシー概要をサポートしていない一般公開された (GA) サービスがポリシーに含まれる場合、そのサービスは、ポリシー概要テーブルの [Unrecognized services] セクションに含まれます。一般公開されたサービスとは、プレビューやカスタムサービスではない、一般にリリースされたサービスです。認識されないサービスが一般公開されていて、名前のスペルが正しくない場合、そのサービスは IAM ポリシー概要をサポートしません。GA サービスに対するポリシー概要のサポートをリクエストする方法については、「サービスが IAM ポリシー概要をサポートしていない」を参照してください。
アクションが概要をサポートしていない – ポリシーに含まれるサービスがサポートされていても、アクションがサポートされていない場合、そのアクションはサービス概要テーブルの [Unrecognized actions] セクションに含まれます。サービス概要内での警告については、「サービス概要 (アクションのリスト)」を参照してください。
リソースタイプが概要をサポートしていない – ポリシーに含まれるアクションがサポートされていても、リソースタイプがサポートされていない場合、そのリソースは、サービス概要テーブルの [Unrecognized resource types] セクションに含まれます。サービス概要内での警告については、「サービス概要 (アクションのリスト)」を参照してください。
タイプミス – AWS の Policy Validator は JSON が構文上正しいことのみをチェックするため、タイプミスを含むポリシーが作成される可能性があります。ポリシーに、確実に上記のエラーが含まれていない場合は、ポリシーにタイプミスが含まれている可能性があります。サービス、アクション、およびリソースタイプの名前にタイプミスがないか確認してください。たとえば、s3 ではなく s2 を使用したり、ListAllMyBucketsではなく ListMyBuckets を使用する場合があります。アクションによくある別のタイプミスは、arn:aws:s3: : :* など、ARN に不要なテキストが含まれているものや、AWSAuthRuntimeService.AuthenticatePassword など、アクションにコロンがないものです。ポリシーシュミレーターを使用して、タイプミスを含む可能性のあるポリシーを評価し、そのポリシーが意図したアクセス許可を付与するかどうかを確認できます。
今後の教訓
- サービスとして利用できてもプレビューサービスやカスタムサービスはIAMに認識されないということになる(実際自分がそうだったので)