複雑なIAMも簡単に作成できる IAMビジュアルエディタのご紹介です。

1. 素晴らしき
IAMポリシービジュアルエディタ
の世界
簡単にこだわりのポリシーを実現

2. 自己紹介
▪ PN:九龍真乙
▪ Twitter:@qryuu
▪ SlideShre:https://www.slideshare.net/qryuu
▪ GitHub:https://github.com/qryuu
▪ クックパッド:https://cookpad.com/kitchen/4142562
▪ 専門：Zabbix,カスタマーサポート

3. AWSの操作権限
▪ rootアカウントが必要
– メール送信制限解除申請
– CloudFrontキーペアの生成
– 契約情報の変更
▪ IAMアカウント
– 上記以外

4. IAMリソース
▪ IAMユーザー
– ログインユーザー、APIユーザー
▪ IAMグループ
– IAMユーザーまとめて管理するグループ
▪ IAMロール
– ユーザーの役割を一時的に切り替える
– EC2やAWSサービスに対して権限を割り当てる
▪ IAM管理ポリシー
– 権限を汎用的に管理する

5. IAMポリシー
▪ IAMリソースに対して設定
▪ JSON形式で表現される権限設定
– Effect:許可、不許可を設定 Allow , Deny
– Principal,NotPrincipal:対象者を指定 IAM,AWSアカウント,AWSサービス
– Action,NotAction:操作内容を指定
– Resource,NotResource:対象リソースを指定
– Condition:条件を指定 IPアドレスや日時など
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference
_policies_elements.html

6. IAMポリシー

7. IAMポリシー
▪ 人類には早すぎるJSON形式
– アクションを指定するのにAPIドキュメントの熟読が必要
– ARNの[:]の数を覚えないと
– コンディション書式はドキュメントでもわかりづらい

8. IAMビジュアルエディタ

9. IAMビジュアルエディタ
▪ ビジュアルエディタでは、サービス毎にポリシーを簡単に設定できる

10. IAMビジュアルエディタ
▪ サービスを選択

11. IAMビジュアルエディタ
▪ アクションでは、一覧、読み込み、書き込み、権限設定の種類毎に簡単
にチェックボックスで選択可能

12. リソース制限
▪ 許可したアクションの中にリソース制限が可能な操作があれば、自動的に
指定可能なリソースの種類が表示されます。

13. リソース制限
▪ 全てのリソースを指定することも、個別のリソースを指定することもラジオボ
タンで選ぶだけ

14. リソース制限
▪ リソースタイプが自動的に分かれるので、指定も簡単

15. リソース制限
▪ [ARNの追加]をクリックするとわかりやすい入力欄が現れるので[:]の数を
間違える事がありません。

16. リソース制限
▪ [ARNの追加]をクリックするとわかりやすい入力欄が現れるので[:]の数を
間違える事がありません。

17. リクエスト条件
▪ MFA必須や特定IPアドレスからの操作のみ許可のような制限はチェック
ボックスをチェックするだけで設定可能

18. リクエスト条件
▪ [条件の追加]をクリックすれば、タグベース条件なども簡単に設定可能

19. リクエスト条件
▪ [条件の追加]をクリックすれば、タグベース条件なども簡単に設定可能

20. リクエスト条件
▪ APIの使用に合わせて条件キーリストが自動的に変わるので、APIドキュ
メントを見なくても、設定できる条件だけが表示されます。

21. IAMビジュアルエディタの小技
▪ チェックボックス地獄回避
– Describeはリストと読み込みの一部全部チェックするのは大変

22. IAMビジュアルエディタの小技
▪ チェックボックス地獄回避
– ビジュアルエディタはJSONと併用可能、 [Describe*]のように手動で編集したアク
ションを使って設定を行うこともできます。（動画です）

23. IAMビジュアルエディタの小技
▪ 複雑なポリシーは分割して設定
– 複雑なポリシーは一度に設定しようとせずに、[さらにアクセス許可を追加する]で複数
のブロックに分けて設定できます。

24. IAMビジュアルエディタの小技
▪ 複雑なポリシーは分割して設定
– [アクセス権限の拒否に切り替え]を使うことで拒否設定を行う事も出来ます。

25. IAMビジュアルエディタの小技
▪ ポリシー変数の設定も可能です。
– IAM ユーザーが自分の S3 ホームディレクトリにプログラムによりコンソールでアクセスす
ることを許可する
– 公式ドキュメントで出てくるような[${aws:username}] を使ったポリシーの入力で
きます。

26. IAMビジュアルエディタの小技
▪ バージョニング
– ビジュアルエディタの導入に合わせて、IAMポリシーにバージョニングが導入されました。
設定変更で操作ができなくなった場合などにすぐに切り戻しができます。

27. IAMビジュアルエディタの制限
▪ IAMビジュアルエディタは以下のリソースで利用できます。
– IAMユーザのインラインポリシー
– IAMロールのインラインポリシー
– IAMポリシー
▪ なぜか、IAMグループのインラインポリシーでは使えません。
– AWSさんIAMグループも対応して

28. まとめ
▪ これまでJSONでポリシーを設定する場合、多くのドキュメントや経験が必
要でした。
▪ ビジュアルエディタでは画面上の警告に従うだけで、細やかなポリシー設定
が可能です。
▪ 過去に作った力作のJSONをビジュアルエディタで見ると、抜け漏れが発見
される場合があります。
▪ ビジュアルエディタで適切な権限設定を簡単にできるようになります。