リリースされましたね!
詳しい事は公式ブログに書いてあります。
既に使えるようなので、試してみます。
1.カスタムポリシーをつくってアタッチしてみる
アタッチを試してみます。
IAMのコンソールへ行き、画面左の「Policies」をクリックします。
ポリシー一覧画面が現れます。「Create Policy」の部分からカスタムポリシーを作ってみます。
AWSが用意しているPolicyをもとに作る事もできますね。とりあえず、今回はそれでやってみます。
コピー元の権限一覧が出てきます。とりあえず今回はAdministratorAccessを選択します。
見慣れた権限が出てきますね。ここでもとりあえず「Create Policy」をクリックしてPolicyを作成します。
ただ、今のところ、Policy名をあとから更新できなさそうなので、命名には気をつけましょう。
一覧が表示され、現在作ったPolicyが表示されます。AWSが用意していたものではないのでアイコンが何もついてませんね。
一覧から上記で作ったPolicyをクリックして、詳細を確認すると、先ほど作った通りで設定されています。
上記画面下のVersion欄を確認すると、Version1 になっているのが分かります。
試しに権限を Allow -> Deny に変更し、保存します。「Save as Default version」にはチェックを入れたままにします。
先ほどのVersionを確認すると、Version2 が追加され、Default になっている事が分かります。
ではこのPolicyをAttachしてみましょう。Attachのボタンをクリックします。
アタッチ対象を選択する画面が開きます。対象はIAM User, Group, Role から選択可能なようです。今回は test-user にアタッチします。
Policyの詳細ページが表示され、Attachされた事が確認できます。
IAM User、 test-user みてみると、ちゃんとAttachされている事が確認できます。「Show Policy」を押して、内容も確認してみます。
ちゃんと設定されているようです。
2.ロールバックをためしてみる
どうやらVersionも5世代まで管理されてて、すぐにロールバックできる模様 公式ドキュメント
上記の 1 で作ったカスタムポリシーを利用してやってみます。
先ほどの Policy Version の部分です。現在は Version2 が default になっています。 Version1 にチェックをいれて「Set as Default」を押します。
Version1 が default になりました。
ここでもう一度このPolicyをアタッチしている、IAM User の test-user のページに行き、該当のPolicyを「Show Policy」で確認してみます。
Policyが Version1 の状態のものに変わっています!
これは、簡単に戻したりできますね。
まとめ
個人的にはおなじカスタムポリシーを使い回せるかつバージョン管理できるになったので、結構便利になった気がしています。
上記も書きましたが、作成したPolicyの名前を変えれなさそうなので、ちゃん命名に気をつけなきゃなと思います。(なので上記の説明では変な名前になってます。。)
先日 Webコンソールでの Swich Role もリリースされましたし、もIAMまわりがどんどん管理しやすくなっていきますね。