はじめに
このツイートを見て「神機能だ!」と思いすぐ試したい気持ちになったので試してみた記録です。
https://twitter.com/toricls/status/1379942463582863361
ざっくり概要
- CloudTrail (AWSの操作履歴を記録してくれるサービス) の履歴を元に、必要最低限のIAMポリシーを自動生成してくれる機能が提供されたようです
- CloudTrail を有効にしていないと作れないと思います。
- いざという時に頼りになるので、有効にした方が良いです。(私は個人アカウントでも有効にしています)
- IAMロールで使用した記録をベースに作れるようです。
- IAM でのセキュリティのベストプラクティス にもある「最小限のアクセス権を付与する」を手間なくできるようになります!
AWSコンソールで実際に試してみる
IAM Policy
ベースとなるIAMロールの下部の方に「CloudTrail イベントに基づいてポリシーを生成」があります。
「ポリシーの生成」をクリックすると生成条件を指定する画面を開ます。
ポリシーを生成
CloudTrail イベントを分析する条件を指定できます。
分析機関は最大90日までのようです。
今回は直近10日にしてみました。
ポリシーが生成されるまで待機
ポリシーを生成ボタンを押すと、しばらく生成されるまで待機します。(キャプチャは撮り忘れました)
今回10日分で約2分ぐらいで生成されました。
期間やCloudTrailの証跡の量によって生成までの時間は変わってくるのかな、と思います。
(今回は私の個人アカウントなので、証跡の量は少ないと思います)
「生成されたポリシーを表示」ボタンを押すと、生成されたポリシーの内容と、そこから新しいポリシーを作るウィザードに入ります。
生成されたポリシーの確認と追加
実際に作成されたポリシーが確認できます。
APIのアクション単位で細かく出ています。
また、ポリシーに追加したいアクションも手動で設定できます。
「次へ」を押すと生成されるポリシーを確認できます。
ポリシーの確認
生成するポリシーをJSONで確認できます。
ポリシー名などの設定
ポリシー名や説明を入力すると、新しいポリシーを作成できます。
非常に簡単に最低限のポリシーを作れますね!
まとめ
IAMポリシーをざっくり当てて、しばらく実際に使ってみると最小限のポリシーを自動で作ることができるようになって、非常に便利になりました!
なかなか最小限のポリシーを試行錯誤するのは面倒なので、是非この機能を使って楽にセキュアなポリシー管理をしていきたいですね!