IAM Access Analyzer のカスタムポリシーチェックを使用してポリシーを検証する - AWS Identity and Access Management
カスタムポリシーチェックによるポリシーの検証 (コンソール)カスタムポリシーチェックによるポリシーの検証 (AWS CLI または API)

IAM Access Analyzer のカスタムポリシーチェックを使用してポリシーを検証する

カスタムポリシーチェックを使用して、セキュリティ標準に基づいて新しいアクセスをチェックできます。料金は、新しいアクセスに対する各チェックに関連付けられます。価格設定の詳細については、「IAM Access Analyzer pricing」を参照してください。

カスタムポリシーチェックによるポリシーの検証 (コンソール)

オプションのステップとして、IAM コンソールの JSON ポリシーエディタでポリシーを編集するときに、カスタムポリシーチェックを実行できます。更新したポリシーで新しいアクセス権限が付与されるかどうかを、既存のバージョンとの比較で確認できます。

IAM JSON ポリシーの編集時に新しいアクセスをチェックする方法

  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. 左側のナビゲーションペインで、[ポリシー] を選択します。

  3. ポリシーのリストで、編集するポリシーのポリシー名を選択します。検索ボックスを使用して、ポリシーのリストをフィルタリングできます。

  4. [アクセス許可] タブを選択し、[編集] を選択します。

  5. [JSON] オプションを選択し、ポリシーを更新します。

  6. ポリシーの下にあるポリシー検証ペインで、[新しいアクセス権限の確認] タブを選択し、[ポリシーの確認] を選択します。変更したアクセス許可によって新しいアクセス権限が付与されると、ポリシー検証ペインでそのステートメントが強調表示されます。

  7. 新しいアクセス権限を付与する予定がない場合は、ポリシーステートメントを更新し、新しいアクセスが検出されなくなるまで [ポリシーの確認] を選択します。

    注記

    料金は、新しいアクセスに対する各チェックに関連付けられます。価格設定の詳細については、「IAM Access Analyzer pricing」を参照してください。

  8. [Next] を選択します。

  9. [確認と保存] ページで [このポリシーで定義されている許可] を確認して、[変更の保存] を選択します。

カスタムポリシーチェックによるポリシーの検証 (AWS CLI または API)

AWS CLI または IAM Access Analyzer API から IAM Access Analyzer のカスタムポリシーチェックを実行できます。

IAM Access Analyzer のカスタムポリシーチェックを実行する方法 (AWS CLI)

  • 既存のポリシーと比較して、更新されたポリシーで新しいアクセスが許可されるかどうかを確認するには、check-no-new-access コマンドを実行します。

  • 指定したアクセスがポリシーによって許可されていないかどうかを確認するには、check-access-not-granted コマンドを実行します。

  • リソースポリシーで指定したリソースタイプへのパブリックアクセスを許可できるかどうかを確認するには、コマンド check-no-public-access を実行します。

IAM Access Analyzer のカスタムポリシーチェックを実行する方法 (API)

  • 既存のポリシーと比較して、更新されたポリシーで新しいアクセスが許可されるかどうかを確認するには、CheckNoNewAccess API オペレーションを使用します。

  • 指定したアクセスがポリシーによって許可されていないかどうかを確認するには、CheckAccessNotGranted API オペレーションを使用します。

  • リソースポリシーで指定したリソースタイプへのパブリックアクセスを許可できるかどうかを確認するには、CheckNoPublicAccess API オペレーションを使用します。