IAM ポリシーの検証
ポリシーは、IAM ポリシーの文法を使用して記述された JSON ドキュメントです。ユーザー、グループ、ロールなどの IAM エンティティにポリシーをアタッチすると、そのエンティティへのアクセス許可が付与されます。
AWS Management Console を使用してIAMアクセスコントロールポリシーを作成または編集すると、AWS はそれらを自動的に調べて、IAMポリシーの文法に準拠していることを確認します。AWS により、ポリシーが文法に基づいていないと判断された場合、ポリシーの修正が求められます。
IAM Access Analyzer では、ポリシーをさらに絞り込むのに役立つ推奨事項を含む追加のポリシーチェックが提供されます。IAM Access Analyzer のポリシーチェックと実用的な推奨事項の詳細については、「IAM Access Analyzer ポリシーの検証」を参照してください。IAM Access Analyzerによって返される警告、エラー、および提案のリストを表示するには、 IAM Access Analyzer ポリシーチェックリファレンスを参照してください。
検証スコープ
AWS は、JSON ポリシーの構文と文法を確認します。ARN の形式が適切で、アクション名と条件キーが正しいことも確認します。
ポリシーの検証へのアクセス
JSON ポリシーを作成するか、AWS Management Console で既存のポリシーを編集すると、ポリシーが自動的に検証されます。ポリシー構文が有効でない場合は、通知を受け取り、続行する前に問題を修正する必要があります。AWS Management Console のアクセス許可がある場合、IAM Access Analyzer ポリシー検証の結果は access-analyzer:ValidatePolicy
に自動的に返されます。AWS APIまたは AWS CLI を使用してポリシーを検証することもできます。
既存のポリシー
ポリシーエンジンへの最新の更新の前に作成されたか、最後に保存されたために、有効でない既存のポリシーがある可能性があります。ベストプラクティスとして、IAM Access Analyzer を使用して IAM ポリシーを検証し、安全で機能的なアクセス許可を確保することをお勧めします。既存のポリシーを開き、生成されたポリシー検証結果を確認することをお勧めします。ポリシー構文のエラーを修正せずに既存のポリシーを編集して保存することはできません。