IAM Policy Autopilot（ビルダー向け新規オープンソース MCP サーバー）で、IAM ポリシー作成を簡素化しましょう

2025 年 11 月 30 日、アプリケーションコードを分析し、AI コーディングアシスタントが AWS Identity and Access Management (IAM) のアイデンティティベースポリシーを生成するのを支援する、新しいオープンソースの Model Context Protocol (MCP) サーバー IAM Policy Autopilot を発表しました。IAM Policy Autopilot は、ビルダーが確認・改善できるたたき台を提供することで、初期開発を加速します。Kiro、Claude Code、Cursor、Cline などの AI コーディングアシスタントと統合され、AWS のアイデンティティとアクセス管理 (IAM) に関する知識と最新の AWS サービスと機能についての理解を深めることができます。IAM Policy Autopilot は追加費用なしで利用でき、ローカルで実行されます。ぜひ私たちの GitHub リポジトリを訪れて、今すぐ始めてみてください。

Amazon Web Services (AWS) のアプリケーションは、そのロールに対して IAM ポリシーを必要とします。AWS を利用するビルダーは、開発者からビジネスリーダーに至るまで、ワークフローの一環として IAM を扱います。開発者は通常、広い権限から始め、迅速な開発とセキュリティのバランスを取りながら、時間をかけて権限を絞り込んでいきます。開発を加速し、IAM 権限の作成を支援してもらうことを期待して、AI コーディングアシスタントを利用することもよくあります。しかし、これらの AI ツールは IAM の微妙な仕様を完全には理解しておらず、必要な権限を見落としたり、無効なアクションを提案してしまうことがあります。ビルダーは、信頼できる IAM の知識を提供し、AI アシスタントと統合され、ポリシー作成を始める助けとなるソリューションを求めています。そうすることで、アプリケーションの構築に集中できるようになります。

AWS の知識を活かして有効なポリシーを作成
IAM Policy Autopilot は、アプリケーションコードから直接 ID ベースの IAM ポリシーを生成することで、これらの課題に対処します。決定論的なコード解析を用いて信頼性の高い有効なポリシーを作成するため、権限の作成やデバッグにかかる時間を短縮できます。IAM Policy Autopilot は、公開されている AWS サービスのリファレンス実装を含む AWS の知識を取り入れ、常に最新の状態を維持します。この情報を活用して、コードや SDK の呼び出しが IAM アクションにどのように対応するかを理解し、最新の AWS サービスや操作にも対応します。

生成されたポリシーは、確認して最小権限ポリシーを実装するための出発点として利用できます。アプリケーションコードを変更した場合（新しい AWS サービスの統合を追加したり、既存の統合を更新したりする場合でも）、IAM Policy Autopilot を再実行するだけで、更新された権限を取得できます。

IAM Policy Autopilot の始め方
開発者は、IAM Policy Autopilot をダウンロードしてワークフローに統合することで、数分で利用を開始できます。

MCP サーバーとして、IAM Policy Autopilot はビルダーが AI コーディングアシスタントとやり取りしている間、バックグラウンドで動作します。アプリケーションに IAM ポリシーが必要な場合、コーディングアシスタントは IAM Policy Autopilot を呼び出して、アプリケーション内の AWS SDK 呼び出しを解析し、必要なアイデンティティベースの IAM ポリシーを生成できます。これにより、作業を始めるために必要な権限が提供されます。権限を作成した後でもテスト中にアクセス拒否エラーが発生した場合、AI コーディングアシスタントは IAM Policy Autopilot を呼び出して拒否原因を解析し、対象を絞った IAM ポリシーの修正案を提案します。提案された変更を確認して承認すると、IAM Policy Autopilot が権限を更新します。

IAM Policy Autopilot は、スタンドアロンのコマンドラインインターフェイス（CLI）ツールとしても使用でき、ポリシーを直接生成したり、欠落している権限を修正したりできます。CLI ツールと MCP サーバーの両方が同じポリシー作成およびトラブルシューティング機能を提供するため、ワークフローに最適な統合方法を選択できます。

IAM Policy Autopilot を使用する際は、その利点を最大限に活用するためのベストプラクティスも理解しておく必要があります。IAM Policy Autopilot はアイデンティティベースのポリシーを生成しますが、リソースベースのポリシー、パーミッション境界、サービスコントロールポリシー（SCP）、リソースコントロールポリシー（RCP）は作成しません。IAM Policy Autopilot が生成するポリシーは、最小権限よりも機能性を優先しています。生成されたポリシーは必ず確認し、必要に応じて修正して、デプロイ前に自社のセキュリティ要件に合致させるようにしてください。

試してみましょう
IAM Policy Autopilot をセットアップするには、まずシステムにインストールする必要があります。そのためには、ワンライナーのスクリプトを実行するだけで済みます：

curl https://github.com/awslabs/iam-policy-autopilot/raw/refs/heads/main/install.sh | bash

その後、指示に従って、使用したい IDE 用の MCP サーバーをインストールできます。 今日は Kiro を使っています！

Kiro で新しいチャットセッションを開始し、まずシンプルなプロンプトを入力します。例えば、file-to-queueフォルダー内のファイルを読み取り、アプリケーションをデプロイできるように新しい AWS CloudFormation ファイルを作成するよう Kiro に依頼します。このフォルダには、Amazon Simple Storage Service (Amazon S3) の自動ファイルルーターが含まれています。該当ルーターはバケットをスキャンし、設定可能なプレフィックス一致ルールに基づいて Amazon Simple Queue Service（Amazon SQS）キューまたは Amazon EventBridge に通知を送信し、ファイルの保存先によってトリガーされるイベント駆動型ワークフローを実現します。

最後の部分では、Kiro に必要な IAM ポリシーを確実に含めるよう依頼しています。これで、Kiro が IAM Policy Autopilot MCP サーバーを利用するのに十分なはずです。

次に、Kiro は IAM Policy Autopilot MCP サーバーを使って新しいポリシードキュメントを生成します。以下の画像のように表示されます。生成が完了すると、Kiro は CloudFormation テンプレートの作成や、追加のドキュメント、関連するコードファイルの作成に進みます。

ついに、IAM Policy Autopilot MCP サーバーを使って生成された新しいポリシードキュメントを含む CloudFormation テンプレートを確認できます！

開発ワークフローの強化
IAM Policy Autopilot は、複数の分野にわたって AWS サービスと統合されます。AWS のコアサービスについては、IAM ポリシーオートパイロットがアプリケーションの Amazon S3、 AWS Lambda、Amazon DynamoDB、Amazon Elastic Compute Cloud (Amazon EC2)、Amazon CloudWatch Logs などのサービスの使用状況を分析し、検出された SDK 呼び出しに基づいてコードに必要な権限を生成します。ポリシーが作成されたら、CloudFormation テンプレート、AWS Cloud Development Kit (AWS CDK) スタック、または Terraform の設定に直接コピーできます。また、AI コーディングアシスタントに統合を依頼することもできます。

IAM Policy Autopilot は、既存の IAM ツール（例えば AWS IAM Access Analyzer）と補完的に機能します。まず機能的なポリシーを出発点として提供し、その後 IAM Access Analyzer のポリシー検証で確認したり、未使用アクセス分析を使って時間をかけて改善したりできます。

今すぐご利用いただけます
IAM Policy Autopilot は、追加費用なしで GitHub 上のオープンソースツールとして利用できます。このツールは現在、Python、TypeScript、Go の各アプリケーションに対応しています。

これらの機能は、AWS 開発体験の簡素化における大きな前進を示しており、経験レベルの異なるビルダーでも、より効率的にアプリケーションを開発・デプロイできるようになります。

原文はこちらです。