読者です 読者をやめる 読者になる 読者になる

_J Blog

学んだ事のまとめやメモなどが中心です

AWS Policy Simulator で簡単 IAM Policy チェック

ついに満を持して(?)リリースされましたね!

AWS Policy Simulator !!

Amazon Web Services ブログ: 【AWS発表】 AWS Identity and Access Management (IAM) Policy Simulator
※ちなみに、ここで紹介されている説明動画はすごく分かりやすいです。

よく IAM Policy で「これ、うまく設定できてる?」というのが試すまで分からない事が多いので、とてもうれしいですね。

早速ですが使ってみました。

新規作成するため、AWS Policy Generator を一旦利用します。
AWS Policy Generator
※ここはIAMのタブの新規作成でもいいです。

適当に入力して、

f:id:jimsei:20131107024728p:plain

とりあえず、こんなポリシーができました。

{
  "Statement": [
    {
      "Sid": "Stmt1383759642380",
      "Action": [
        "ec2:DescribeInstances",
        "ec2:StartInstances",
        "ec2:StopInstances"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:ec2:ap-northeast-1:{your-account-id}:instance/*"
    }
  ]
}

ここでは、「ec2:DescribeInstances」,「ec2:StartInstances」,「ec2:StopInstances」の3つを自分のアカウントのEC2インスタンスに対して許可しています。

では早速 Policy Simulator をつかっていきます。

画面を開き、右側上部のセレクトメニューから「Mode:New Policy」 を選択して、

f:id:jimsei:20131107024720j:plain

左側の「Policy Sandbox」に上記の Policy をペーストして、「Apply」を押します。

f:id:jimsei:20131107030731p:plain

次に、右側の「Policy Simulator」で 「Amazon EC2」 を選択し、矢印のドロップダウンから、 「DescribeInstances」,「StartInstances」,「StopInstances」,「TerminateInstances」にチェックを入れます。

f:id:jimsei:20131107031930p:plain

「Simulation Settings」をクリックし、「Resource Name Format」に「arn:aws:ec2:ap-northeast-1:{your-account-id}:instance/*」(ここでは自分のアカウントのEC2インスタンスを対象にPolicyの効力をチェックしたいので)と入力して「Run Simulation」を押します。

f:id:jimsei:20131107032724p:plain

すると、先ほど許可していた、「DescribeInstances」,「StartInstances」,「StopInstances」の箇所に 「allowed」の文字が!
許可していない「TerminateInstances」には「denied」の表示がされ、このPolicyではインスタンスのTerminateができない事を表しています。

f:id:jimsei:20131107033039p:plain

このような感じで簡単にPolicyをチェックする事ができました!

AWSはツールも充実していって、どんどん便利になっていきますね!

これからもどんどんAWS使っていきます。

もうちょっとIAMネタを書くかな・・・