AWS Identity and Access Management Access Analyzer の結果の使用開始 - AWS Identity and Access Management
IAM Access Analyzer を使用するために必要なアクセス許可IAM Access Analyzer の有効化IAM Access Analyzer のステータス

AWS Identity and Access Management Access Analyzer の結果の使用開始

このトピックでは、AWS Identity and Access Management Access Analyzer を使用および管理するために必要な条件と、IAM Access Analyzer を有効にする方法について説明します。IAM Access Analyzer のサービスにリンクされたロールの詳細については、「AWS Identity and Access Management Access Analyzer のサービスにリンクされたロールの使用」を参照してください。

IAM Access Analyzer を使用するために必要なアクセス許可

IAM Access Analyzer を正常に設定して使用するには、お使いのアカウントに対して必要なアクセス許可が付与されている必要があります。

IAM Access Analyzer の AWS 管理ポリシー

AWS Identity and Access Management Access Analyzer で提供される AWS 管理ポリシーを使用して、すぐに作業を開始できます。

  • IAMAccessAnalyzerFullAccess - 管理者に IAM Access Analyzer へのフルアクセスを許可します。また、このポリシーによって、IAM Access Analyzer がアカウント内または AWS 組織のリソースを分析できるようにするために必要なサービスリンクされたロールを作成することもできます。

  • IAMAccessAnalyzerReadOnlyAccess - IAM Access Analyzer への読み取り専用アクセスを許可します。IAM ID (ユーザー、ユーザーのグループ、またはロール) にポリシーを追加して、それらが表示できるようにする必要があります。

IAM Access Analyzer で定義したリソース

IAM Access Analyzer によって定義されるリソースを表示するには、「サービス認可リファレンス」の「IAM Access Analyzer で定義されるリソースタイプ」を参照してください。

必要な IAM Access Analyzer サービスの許可

IAM Access Analyzer は、AWSServiceRoleForAccessAnalyzer という名前の IAM サービスリンクロール (SLR) を使用します。この SLR は、リソースベースのポリシーを使用して AWS リソースを分析し、ユーザーに代わって未使用のアクセスを分析するための読み取り専用アクセスをサービスに付与します。以下のシナリオで、サービスによってアカウント内のロールが作成されます。

  • 自分のアカウントを信頼ゾーンとして持つ外部アクセスアナライザーを作成します。

  • 自分のアカウントを選択アカウントとして持つ未使用のアクセスアナライザーを作成します。

詳細については、「AWS Identity and Access Management Access Analyzer のサービスにリンクされたロールの使用」を参照してください。

注記

IAM Access Analyzer はリージョンに基づきます。外部アクセスの場合、IAM Access Analyzer は、各リージョンで個別に有効にする必要があります。

未使用のアクセスの場合、アナライザーの検出結果はリージョンによって変わりません。リソースがある各リージョンにアナライザーを作成する必要はありません。

場合によっては、IAM Access Analyzer で外部アクセスアナライザーまたは未使用のアクセスアナライザーを作成した後に、[結果] ページまたはダッシュボードを読み込んでも検出結果や概要が表示されないことがあります。これは、コンソールで結果の反映が遅延しているためと考えられます。必要に応じてブラウザを手動で更新するか、後で検出結果や概要が表示されるか確認してください。それでも外部アクセスアナライザーの検出結果が表示されない場合は、外部エンティティからアクセスできるサポート対象のリソースがアカウント内にないことが原因です。外部エンティティにアクセスを許可するポリシーをリソースに適用すると、IAM Access Analyzer で結果が生成されます。

注記

外部アクセスアナライザーの場合、ポリシーが変更されてから、IAM Access Analyzer がリソースを分析して、新しい外部アクセスの結果を生成したり、リソースへのアクセスに関する既存の結果を更新したりするまでに、最大で 30 分かかる場合があります。外部アクセスアナライザーと未使用のアクセスアナライザーのどちらの場合も、検出結果の更新がすぐにダッシュボードに反映されないことがあります。

検出結果ダッシュボードを表示するために必要な IAM Access Analyzer アクセス許可

IAM Access Analyzer の検出結果ダッシュボードを表示するには、使用するアカウントに対して、以下の必要なアクションを実行するためのアクセス許可が付与されている必要があります。

IAM Access Analyzer によって定義されるすべてのアクションを表示するには、「サービス認可リファレンス」の「IAM Access Analyzer で定義されるアクション」を参照してください。

IAM Access Analyzer の有効化

AWS アカウントを信頼ゾーンとして持つ外部アクセスアナライザーを作成する方法

リージョンで外部アクセスアナライザーを有効にするには、そのリージョンでアナライザーを作成する必要があります。外部アクセスアナライザーは、リソースへのアクセスをモニタリングするリージョンごとに作成する必要があります。

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. [Access analyzer] (アクセスアナライザー) を選択します。

  3. [アナライザー設定] を選択します。

  4. [Create analyzer] (アナライザーの作成) を選択します。

  5. [分析] セクションで [外部アクセス分析] を選択します。

  6. [アナライザーの詳細] セクションで、表示されているリージョンが、IAM Access Analyzer を有効にするリージョンであることを確認します。

  7. アナライザーの名前を入力します。

  8. アナライザーの信頼ゾーンとして [現在の AWS アカウント] を選択します。

    注記

    アカウントが AWS Organizations 管理アカウントまたは代理管理者アカウントでない場合は、アカウントを信頼ゾーンとして持つアナライザーは 1 つだけ作成できます。

  9. オプション。アナライザーに適用するタグを追加します。

  10. [送信] を選択します。

外部アクセスアナライザーを作成して IAM Access Analyzer を有効にすると、AWSServiceRoleForAccessAnalyzer という名前のサービスリンクロールがアカウント内に作成されます。

組織を信頼ゾーンとして持つ外部アクセスアナライザーを作成する方法

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. [Access analyzer] (アクセスアナライザー) を選択します。

  3. [アナライザー設定] を選択します。

  4. [Create analyzer] (アナライザーの作成) を選択します。

  5. [分析] セクションで [外部アクセス分析] を選択します。

  6. [アナライザーの詳細] セクションで、表示されているリージョンが、IAM Access Analyzer を有効にするリージョンであることを確認します。

  7. アナライザーの名前を入力します。

  8. アナライザーの信頼ゾーンとして [現在の組織] を選択します。

  9. オプション。アナライザーに適用するタグを追加します。

  10. [送信] を選択します。

組織を信頼ゾーンとして持つ外部アクセスアナライザーを作成すると、AWSServiceRoleForAccessAnalyzer という名前のサービスリンクロールが組織の各アカウントに作成されます。

現在のアカウント用の未使用のアクセスアナライザーを作成する方法

1 つの AWS アカウント用の未使用のアクセスアナライザーを作成するには、次の手順を使用します。未使用のアクセスの場合、アナライザーの検出結果はリージョンによって変わりません。リソースがある各リージョンにアナライザーを作成する必要はありません。

IAM Access Analyzer では、1 か月あたりにアナライザーごとに分析された IAM ロールとユーザーの数に基づいて、未使用のアクセス分析に対する料金が発生します。価格設定の詳細については、「IAM Access Analyzer pricing」を参照してください。

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. [Access analyzer] (アクセスアナライザー) を選択します。

  3. [アナライザー設定] を選択します。

  4. [Create analyzer] (アナライザーの作成) を選択します。

  5. [分析] セクションで [未使用のアクセス分析] を選択します。

  6. アナライザーの名前を入力します。

  7. [追跡期間] に、使用されていないアクセス許可に関する検出結果を生成する対象の日数を入力します。例えば、90 日と入力した場合、アナライザーは、選択したアカウント内の IAM エンティティについて、アナライザーが最後にスキャンしてから 90 日以上使用されていないすべてのアクセス許可に関する検出結果を生成します。1~180 日の値を選択できます。

  8. [選択したアカウント][現在の AWS アカウント] を選択します。

    注記

    アカウントが AWS Organizations 管理アカウントでも代理管理者アカウントでもない場合は、自分のアカウントを選択したアカウントとして持つアナライザーは 1 つだけ作成できます。

  9. オプション。アナライザーに適用するタグを追加します。

  10. [送信] を選択します。

未使用のアクセスアナライザーを作成して IAM Access Analyzer を有効にすると、AWSServiceRoleForAccessAnalyzer という名前のサービスリンクロールがアカウント内に作成されます。

現在の組織で未使用のアクセスアナライザーを作成する方法

組織用の未使用のアクセスアナライザーを作成し、組織内のすべての AWS アカウントを一元的に確認できるようにするには、次の手順を使用します。未使用のアクセス分析の場合、アナライザーの検出結果はリージョンによって変わりません。リソースがある各リージョンにアナライザーを作成する必要はありません。

IAM Access Analyzer では、1 か月あたりにアナライザーごとに分析された IAM ロールとユーザーの数に基づいて、未使用のアクセス分析に対する料金が発生します。価格設定の詳細については、「IAM Access Analyzer pricing」を参照してください。

注記

メンバーアカウントが組織から削除されると、未使用のアクセスアナライザーは、24 時間後にそのアカウントの新しい検出結果の生成と既存の結果の更新を停止します。組織から削除されたメンバーアカウントに関連する検出結果は、90 日後に完全に削除されます。

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. [Access analyzer] (アクセスアナライザー) を選択します。

  3. [アナライザー設定] を選択します。

  4. [Create analyzer] (アナライザーの作成) を選択します。

  5. [分析] セクションで [未使用のアクセス分析] を選択します。

  6. アナライザーの名前を入力します。

  7. [追跡期間] に、使用されていないアクセス許可に関する検出結果を生成する対象の日数を入力します。例えば、90 日と入力した場合、アナライザーは、選択した組織のアカウント内の IAM エンティティについて、アナライザーが最後にスキャンしてから 90 日以上使用されていないすべてのアクセス許可に関する検出結果を生成します。1~180 日の値を選択できます。

  8. [選択したアカウント] で、アナライザーに対して選択したアカウントとして [現在の組織] を選択します。

  9. オプション。アナライザーに適用するタグを追加します。

  10. [送信] を選択します。

未使用のアクセスアナライザーを作成して IAM Access Analyzer を有効にすると、AWSServiceRoleForAccessAnalyzer という名前のサービスリンクロールがアカウント内に作成されます。

IAM Access Analyzer のステータス

アナライザーのステータスを表示するには、[アナライザー] を選択します。組織またはアカウント用に作成されたアナライザーは、次のステータスを持つことができます。

ステータス 説明

[アクティブ]

外部アクセスアナライザーの場合、アナライザーは、信頼ゾーン内のリソースをアクティブにモニタリングします。アナライザーは、新しい結果をアクティブに生成し、既存の結果を更新します。

未使用のアクセスアナライザーの場合、アナライザーは、指定された追跡期間における選択した組織または AWS アカウント内で使用されていないアクセス権限をアクティブにモニタリングします。アナライザーは、新しい結果をアクティブに生成し、既存の結果を更新します。

[作成中]

アナライザーの作成はまだ進行中です。作成が完了すると、アナライザーがアクティブになります。

無効

AWS Organizations 管理者が実行したアクションにより、アナライザーは無効になっています。たとえば、IAM Access Analyzer の代理管理者としてアナライザーのアカウントが削除されています。アナライザーが無効化された状態の場合、新しい検出結果の生成も、既存の結果の更新も行われません。

[失敗]

設定の問題により、アナライザーの作成に失敗しました。アナライザーにより結果が生成されません。アナライザーを削除し、新しいアナライザーを作成します。