IAM Access Analyzer は、AWS アカウントまたは組織の外部アクセスと未使用のアクセスに関する検出結果を生成します。外部アクセスの場合、IAM Access Analyzer は、信頼ゾーン内にないプリンシパルに対して信頼ゾーン内のリソースへのアクセスを許可する、リソースベースのポリシーの各インスタンスの結果を生成します。外部アクセスアナライザーを作成する際には、分析する組織または AWS アカウントを選択します。アナライザー用に選択した組織またはアカウント内のプリンシパルは、信頼済みと見なされます。同じ組織またはアカウント内のプリンシパルは信頼されるため、組織またはアカウント内のリソースとプリンシパルは、アナライザーの信頼ゾーンを構成します。信頼ゾーン内での共有は安全と見なされるため、IAM Access Analyzer は結果を生成しません。たとえば、アナライザーの信頼ゾーンとして組織を選択した場合、その組織内のすべてのリソースとプリンシパルは信頼ゾーン内にあります。ある組織メンバーアカウント内の Amazon S3 バケットへのアクセス許可を、別の組織メンバーアカウント内のプリンシパルに付与した場合、IAM Access Analyzer は結果を生成しません。ただし、組織のメンバーではないアカウントのプリンシパルにアクセス許可を付与すると、IAM Access Analyzer によって結果が生成されます。
IAM Access Analyzer は、AWS 組織およびアカウントで付与されている未使用のアクセス権限に関する検出結果も生成します。未使用のアクセスアナライザーを作成すると、IAM Access Analyzer は AWS 組織およびアカウント内のすべての IAM ロールとユーザーを継続的にモニタリングし、使用されていないアクセス権限に関する検出結果を生成します。IAM Access Analyzer は、未使用のアクセスについて以下のタイプの検出結果を生成します。
-
未使用のロール – 指定された使用期間内にアクセスアクティビティがないロール。
-
未使用の IAM ユーザーアクセスキーとパスワード – 指定された期間内に、AWS アカウント へのアクセスに使用されていない IAM ユーザーに属する認証情報。
-
未使用のアクセス許可 – 指定された使用期間内にロールによって使用されなかったサービスレベルおよびアクションレベルのアクセス許可。IAM Access Analyzer は、ロールにアタッチされた ID ベースのポリシーを使用して、そのロールがアクセスできるサービスとアクションを決定します。IAM Access Analyzer は、すべてのサービスレベルのアクセス許可について、未使用のアクセス許可のレビューをサポートしています。未使用のアクセスの検出結果でサポートされるアクションレベルのアクセス許可の完全なリストについては、「IAM アクションの最終アクセス情報サービスとアクション」を参照してください。
注記
IAM Access Analyzer では、外部アクセスの検出結果については無料で提供されますが、未使用のアクセスの結果については 1 か月あたりにアナライザーごとに分析された IAM ロールとユーザーの数に基づいて料金が発生します。価格設定の詳細については、「IAM Access Analyzer pricing
トピック
