IAM ポリシーの検証 - AWS Identity and Access Management

IAM ポリシーの検証

ポリシーは、IAM ポリシーの文法を使用する JSON ドキュメントです。ユーザー、グループ、ロールなどの IAM エンティティにポリシーをアタッチすると、そのエンティティにアクセス許可が付与されます。

AWS Management Console を使用して IAM アクセス制御ポリシーを作成または編集すると、AWS はそのポリシーを自動的に検査して、IAM ポリシー文法に準拠していることを確認します。AWS により、ポリシーが文法に基づいていないと判断された場合、ポリシーの修正が求められます。

IAM Access Analyzer では、ポリシーをさらに絞り込むために推奨される追加のポリシーチェックを行います。IAM Access Analyzer のポリシーチェックと実用的な推奨事項の詳細については、「IAM Access Analyzer ポリシーの検証」を参照してください。IAM Access Analyzer によって返される警告、エラー、および提案の一覧を表示するには、「IAM Access Analyzer ポリシーチェックリファレンス」を参照してください。

検証範囲

AWS は、JSON ポリシーの構文と文法をチェックします。また、ARN が正しくフォーマットされ、アクション名と条件キーが正しいことも検証します。

ポリシーの検証の利用

AWS Management Console で JSON ポリシーを作成するか、既存のポリシーを編集すると、ポリシーが自動的に検証されます。ポリシー構文が有効でない場合は、通知を受け取り、続行する前に問題を修正する必要があります。access-analyzer:ValidatePolicy の権限がある場合、IAM Access Analyzer ポリシー検証の結果は、AWS Management Console に自動的に返されます。AWS API または AWS CLI を使用してポリシーを検証することもできます。

既存のポリシー

ポリシーエンジンへの最新の更新の前に作成または最後に保存されたために、有効でない既存のポリシーがある可能性があります。ベストプラクティスとして、既存のポリシーを開き、生成されたポリシーの検証結果を確認することをお勧めします。ポリシー構文エラーを修正しなければ、既存のポリシーを編集して保存することはできません。