AWS CloudTrail の履歴から最小限の IAM Policy が作れる機能ができたようなので試してみた

はじめに

このツイートを見て「神機能だ!」と思いすぐ試したい気持ちになったので試してみた記録です。

https://twitter.com/toricls/status/1379942463582863361

ざっくり概要

AWSコンソールで実際に試してみる

IAM Policy

ベースとなるIAMロールの下部の方に「CloudTrail イベントに基づいてポリシーを生成」があります。
「ポリシーの生成」をクリックすると生成条件を指定する画面を開ます。

image.png

ポリシーを生成

CloudTrail イベントを分析する条件を指定できます。
分析機関は最大90日までのようです。

image.png

今回は直近10日にしてみました。

ポリシーが生成されるまで待機

ポリシーを生成ボタンを押すと、しばらく生成されるまで待機します。(キャプチャは撮り忘れました)
今回10日分で約2分ぐらいで生成されました。

期間やCloudTrailの証跡の量によって生成までの時間は変わってくるのかな、と思います。
(今回は私の個人アカウントなので、証跡の量は少ないと思います)

capture.png

「生成されたポリシーを表示」ボタンを押すと、生成されたポリシーの内容と、そこから新しいポリシーを作るウィザードに入ります。

生成されたポリシーの確認と追加

実際に作成されたポリシーが確認できます。
APIのアクション単位で細かく出ています。

また、ポリシーに追加したいアクションも手動で設定できます。

image.png

「次へ」を押すと生成されるポリシーを確認できます。

ポリシーの確認

生成するポリシーをJSONで確認できます。

image.png

ポリシー名などの設定

ポリシー名や説明を入力すると、新しいポリシーを作成できます。
非常に簡単に最低限のポリシーを作れますね!

image.png

まとめ

IAMポリシーをざっくり当てて、しばらく実際に使ってみると最小限のポリシーを自動で作ることができるようになって、非常に便利になりました!
なかなか最小限のポリシーを試行錯誤するのは面倒なので、是非この機能を使って楽にセキュアなポリシー管理をしていきたいですね!


※この記事は以下に投稿した記事のクロスポストです
https://zenn.dev/mryhryki/articles/2021-04-08-aws-iam-policy