あなたはIAMと資源ベースの戦略の次の方法をテストし、トラブルシューティングを行うことができ、IAMポリシーシミュレータを使用します。
-
あなたのAWS IAMユーザーアカウント、グループ、または役割ベースのポリシーへの追加のテスト。複数のポリシーがユーザー、グループ、またはロールに接続されている場合、あなたはすべてのポリシーをテストすることができ、あなたは、テストのために単一のポリシーを選択することができます。あなたは、許可または特定のリソース選択した戦略を拒否動作をテストすることができます。
-
戦略(例えばAmazon S3のバケット、アマゾンSQSキュー、アマゾンSNSのトピックやAmazon S3氷河ファイルライブラリなど)AWSリソースへの追加試験。
-
アカウントがAWSの場合 AWS組織の 組織のメンバーは、あなたのIAM戦略と資源戦略上のサービス制御ポリシー(SCP)への影響をテストすることができます。
-
まだユーザーに接続されていないことで、新しいポリシーグループまたはロールタイプかは、これらの新たな戦略をテストするために、シミュレータにコピーします。これらは、シミュレーションのみで使用されている、それは保存されません。注:リソースベースの戦略を入力するか、エミュレータにコピーすることはできません。ベースのシミュレータリソースポリシーで使用するための戦略は、あなたがシミュレーションに含まれたリソースに関連し、シミュレーション中に含まれるリソースのチェックボックスを選択する必要があります。
-
選択したサービス、オペレーションおよびリソースのテスト戦略を使用します。たとえば、ポリシーは、エンティティは、Amazon S3のサービスで特定のバケツを実行することを可能にすることを確実にするための試験に合格することができ
ListAllMyBuckets
、CreateBucket
かつDeleteBucket
操作。 -
(例えば、IPアドレスや日付など、テストに含まれるポリシーキーコンテキスト提供することによって
Condition
実際のプログラムをシミュレートする要素)。 -
戦略は、特定のリソースまたは操作へのアクセスを許可または拒否するために、特定のステートメントにつながる特定します。
-
IAMポリシーシミュレータ作品
あなたが選択したシミュレータの評価戦略は、有効な権限を決定するために、各操作のために指定します。評価エンジンシミュレータ時に使用したのと同じ戦略は、実際のAWSサービス要求を使用しています。異なる実際のAWS環境では、次の領域でのみ:
-
エミュレータは実際のAWSサービスリクエストを送信していないので、あなたは安全に実際のAWS環境の変化を要求する必要はありませんテストすることができます。
-
シミュレータは、選択した操作の動作をシミュレートしないので、それは任意のアナログ応答要求を報告することはできません。返された結果だけが要求された操作が許可または拒否されています。
-
あなたは、シミュレータ内ポリシーを編集した場合、変更は唯一のシミュレータに影響を与えます。AWSアカウントのための適切な方針は変わりません。
IAMポリシーシミュレータ(AWS CLIおよびAWS API)を使用します
ポリシーシミュレータコマンドは、通常は2つのことを行うためにAPIオペレーションを呼び出す必要があります:
-
ポリシーを評価し、参照するためにポリシーを返すキーのコンテキストリストを。次のステップでその値を提供するために、キー参照のどのような状況を知る必要があります。
-
シミュレーション中に操作、リソースリストとコンテキストキーを提供するために、シミュレーション戦略。
セキュリティ上の理由から、APIの操作は、2つのグループに分割されています。
-
APIシミュレートされたAPI操作に直接渡すだけの文字列へのポリシー。このグループは、 GetContextKeysForCustomPolicy と SimulateCustomPolicyを。
-
追加のユーザーを指定するには、IAM、グループポリシー、ロールまたはリソースは、APIの動作をシミュレーションします。あなたはこれらのAPI操作へのアクセスを制限することを検討すべきであるように、これらの他のエンティティIAM API操作の権利の詳細は、に割り当てられ得ることができますので。このグループは、 GetContextKeysForPrincipalPolicy と SimulatePrincipalPolicyを。API操作へのアクセスを制限するの詳細については、AWSアイデンティティおよびアクセス管理(IAM):例ポリシーを。
どちらの場合も、API操作はアクションとリソースのリスト上の1つのまたは複数のポリシーの影響をシミュレートします。各リソースと対をなす各動作は、リソースの戦略シミュレーション操作を許可または拒否するかどうかを決定します。また、あなたのポリシーのいずれかのコンテキスト基準値を提供してキー入力することができます。最初の呼び出しによって
GetContextKeysForCustomPolicy
かGetContextKeysForPrincipalPolicy
、あなたはキーポリシー参照コンテキストのリストを取得することができます。あなたはコンテキストキーを提供しない場合は、シミュレーションが実行されます。シミュレータは、コンテキストキーの評価に含めることはできませんので、しかし、結果は、信頼性がないかもしれません。コンテキスト依存のキーのリストを取得します(AWS CLI、AWSのAPI)
ポリシーリストを評価するために、次のコマンドを使用し、使用の文脈で重要な戦略のリストを返します。
-