この記事は UdonTech Advent Calendar 2023の10日目の記事です。
半年くらい前にAWSから "[Action required] Update your policies・・・" みたいなメールが来てたんですが、どうせたいしたことないだろうと高を括ってましたw
が、なんかよく見たらポリシーをアップデートしてないと Dec11以降は "AWS billing, Cost Management, Account consoles will be affected" とか書かれてるじゃないですか。 ちょっと本当にマズそうなので、(アドベントカレンダーのネタにもなるし)期限ギリギリでポリシー変更してみようと思います。
AWSからのメールに書かれてた、requiredなactionはこの2行だけでした。
The following policies need to be updated to include the new fine-grained actions: Customer Managed|BillingFullAccess|arn:aws:iam::xxxxxxxxxxxx:policy/BillingFullAccess||
でもって、大量にドキュメントへのリンクを用意してくれてるんですが、ここは流行りに乗ってchatGPTに相談してみます。
https://chat.openai.com/share/177675dd-0e52-435d-b272-f7450de434fa
ふむ。JSONで新ポリシーのデータまでくれて至れり尽くせりですね。
さて、次はどうしましょうか? もしこの回答が有償サポートの窓口から返ってきたものなら言われるままに設定しても良さそうですが そこまで信用できる手順書でも無いので逐一検証してみましょう。
IAM ポリシーの特定 メールに記載されているポリシー BillingFullAccess がどの IAM ポリシーに関連しているかを特定します。IAM コンソールまたは AWS CLI を使用して確認できます。
こりゃそうですね。元々"BillingFullAccess"を設定していないIAMポリシーを変更したらセキュリティインシデントですw
IAM ポリシーの編集 該当する IAM ポリシーを開いて、新しい細かいアクションを追加します。具体的なアクションがメールに記載されているはずです。例えば、AWSの新しいサービスや機能に関連するアクションがあるかもしれません。
残念、具体的なアクションはメールに書いてくれてませんでした。
まーこのドキュメントにmappingを用意したよ! って書いてるんですが、元々 aws-portal:*
とかいうクソデカ権限なので何を付ければ良いのやらさっぱり分かりませんo..rz
さて、どうしようかと思いながらドキュメントを見ていたら、「影響を受けるポリシーツール」なるものが提供されていました。
https://us-east-1.console.aws.amazon.com/poliden/home?region=us-east-1#/
初期状態では、ボタンの表示が一部隠れていますが「更新されたポリシーをコピー」の列を広げると「新しいポリシーをクリップボードにコピー」というボタンが現われます。
「新しいポリシーをクリップボードにコピー」をクリックしてポリシーのJSONデータをコピーして、右隣にある「IAMコンソールで編集」をクリックすると このポリシーの編集画面に行くので、元のJSONを削除してペーストしましょう。
保存すれば作業完了(のはず)です。
あれ?まだ手順書の検証をしてたはずなのに、作業が終わってしまった・・・