✨️

AWS CloudTrail の履歴から最小限の IAM Policy が作れる機能ができたようなので試してみた

2021/04/08に公開

はじめに

このツイートを見て「神機能だ!」と思いすぐ試したい気持ちになったので試してみた記録です。

https://twitter.com/toricls/status/1379942463582863361

ざっくり概要

  • CloudTrail (AWSの操作履歴を記録してくれるサービス) の履歴を元に、必要最低限のIAMポリシーを自動生成してくれる機能が提供されたようです
    • CloudTrail を有効にしていないと作れないと思います。
    • いざという時に頼りになるので、有効にした方が良いです。(私は個人アカウントでも有効にしています)
  • IAMロールで使用した記録をベースに作れるようです。
  • IAM でのセキュリティのベストプラクティス にもある「最小限のアクセス権を付与する」を手間なくできるようになります!

AWSコンソールで実際に試してみる

IAM Policy

ベースとなるIAMロールの下部の方に「CloudTrail イベントに基づいてポリシーを生成」があります。
「ポリシーの生成」をクリックすると生成条件を指定する画面を開ます。

image.png

ポリシーを生成

CloudTrail イベントを分析する条件を指定できます。
分析機関は最大90日までのようです。

image.png

今回は直近10日にしてみました。

ポリシーが生成されるまで待機

ポリシーを生成ボタンを押すと、しばらく生成されるまで待機します。(キャプチャは撮り忘れました)
今回10日分で約2分ぐらいで生成されました。

期間やCloudTrailの証跡の量によって生成までの時間は変わってくるのかな、と思います。
(今回は私の個人アカウントなので、証跡の量は少ないと思います)

capture.png

「生成されたポリシーを表示」ボタンを押すと、生成されたポリシーの内容と、そこから新しいポリシーを作るウィザードに入ります。

生成されたポリシーの確認と追加

実際に作成されたポリシーが確認できます。
APIのアクション単位で細かく出ています。

また、ポリシーに追加したいアクションも手動で設定できます。

image.png

「次へ」を押すと生成されるポリシーを確認できます。

ポリシーの確認

生成するポリシーをJSONで確認できます。

image.png

ポリシー名などの設定

ポリシー名や説明を入力すると、新しいポリシーを作成できます。
非常に簡単に最低限のポリシーを作れますね!

image.png

まとめ

IAMポリシーをざっくり当てて、しばらく実際に使ってみると最小限のポリシーを自動で作ることができるようになって、非常に便利になりました!
なかなか最小限のポリシーを試行錯誤するのは面倒なので、是非この機能を使って楽にセキュアなポリシー管理をしていきたいですね!

GitHubで編集を提案

Discussion