IAM Access Analyzer でポリシーを検証する - AWS Identity and Access Management

IAM Access Analyzer でポリシーを検証する

AWS Identity and Access Management Access Analyzer ポリシー検証を使用してポリシーを検証できます。IAM コンソールの AWS CLI、AWS API、または JSON ポリシーエディタを使用して、ポリシーを作成または編集できます。IAM Access Analyzer は、IAM ポリシーの文法および AWS ベストプラクティスに照らしてポリシーを検証します。セキュリティ警告、エラー、一般的な警告、ポリシーの提案を含むポリシー検証チェックの結果を表示できます。これらの結果により、機能的でセキュリティのベストプラクティスに準拠したポリシーの作成に役立つ実用的な推奨事項が示されます。IAM Access Analyzer によって実行される基本ポリシーチェックのリストを表示するには、「Access Analyzer ポリシーチェックリファレンス」を参照してください。

IAM (コンソール) でのポリシーの検証

IAM コンソールで管理ポリシーを作成または編集するときに、IAM Access Analyzer ポリシー検証によって生成された検出結果を表示できます。また、インラインユーザーまたはロールポリシーのこれらの結果を表示することもできます。IAM Access Analyzer では、インライングループポリシーのこれらの検出結果は生成されません。

IAM JSON ポリシーのポリシーチェックによって生成された結果を表示するには
  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. 以下のいずれかの方法を使用して、ポリシーの作成または編集を開始します。

    1. 新しい管理ポリシーを作成するには、[ポリシー] ページを開き、新しいポリシーを作成します。詳細については、「JSON エディターを使用したポリシーの作成」を参照してください。

    2. 既存のカスタマー管理ポリシーのポリシーチェックを表示するには、[ポリシー] ページで、ポリシーの名前を選択し、[編集] を選択します。詳細については、「カスタマー管理ポリシーの編集 (コンソール)」を参照してください。

    3. ユーザーまたはロールのインラインポリシーについてのポリシーチェックを表示するには、[ユーザー] または [ロール] ページに移動して、ユーザーまたはロールの名前を選択し、[アクセス許可] タブでポリシーの名前を選択して、[編集] を選択します。詳細については、「インラインポリシーの編集 (コンソール)」を参照してください。

  3. ポリシーエディターで、[JSON] タブを選択します。

  4. ポリシーの下にあるポリシー検証ペインで、次の 1 つ以上のタブを選択します。タブ名は、ポリシーの各結果タイプの番号も示します。

    • [セキュリティ] — アクセスが過剰に許容されているために、AWS がセキュリティリスクを考慮するアクセスをポリシーで許可している場合は、警告を表示します。

    • [Errors] (エラー) - ポリシーにポリシーが機能しない行が含まれている場合は、エラーを表示します。

    • [警告] - ポリシーがベストプラクティスに準拠していないが、セキュリティリスクではない場合は、警告を表示します。

    • [Suggestions] (提案) — AWS がポリシーのアクセス許可に影響しない改善を推奨する場合は、提案を表示します。

  5. IAM Access Analyzer ポリシーチェックによって提供される結果の詳細を確認します。各結果には、報告された問題の場所が示されます。問題の原因とその解決方法の詳細については、結果の横にある [詳細] リンクを選択してください。また、Access Analyzer ポリシーチェックリファレンスページで、各結果に関連付けられているポリシーチェックを検索することもできます。

  6. オプション。既存のポリシーを編集する場合、カスタムポリシーチェックを実行して、更新したポリシーで新しいアクセス権限が付与されるかどうかを、既存のバージョンとの比較で判別できます。ポリシーの下にあるポリシー検証ペインで、[新しいアクセス権限の確認] タブを選択し、[ポリシーの確認] を選択します。変更したアクセス許可によって新しいアクセス権限が付与されると、ポリシー検証ペインでそのステートメントが強調表示されます。新しいアクセス権限を付与する予定がない場合は、ポリシーステートメントを更新し、新しいアクセスが検出されなくなるまで [ポリシーの確認] を選択します。詳細については、「IAM Access Analyzer のカスタムポリシーチェックを使用してポリシーを検証する」を参照してください。

    注記

    料金は、新しいアクセスに対する各チェックに関連付けられます。価格設定の詳細については、「IAM Access Analyzer pricing」を参照してください。

  7. ポリシーを更新して結果を解決します。

    重要

    新しいポリシーや編集したポリシーを本番ワークフローに実装する前に、徹底的にテストします。

  8. 完了したら、[Next] を選択します。Policy validator は、IAM Access Analyzer によって報告されない構文エラーを報告します。

    注記

    いつでも [Visual] タブと [JSON] タブを切り替えることができます。ただし、[Visual] タブで変更を加えるか [次へ] を選択した場合、IAM はポリシーを再構成し、ビジュアルエディタに合わせて最適化することがあります。詳細については、「ポリシーの再構成」を参照してください。

  9. 新しいポリシーの場合、[確認と作成] ページで、作成するポリシーの [ポリシー名][説明] (オプション) を入力します。[このポリシーで定義されている許可] を確認して、ポリシーによって付与されるアクセス許可を確認します。次に、[Create policy] (ポリシーの作成) を選択して作業を保存します。

    既存のポリシーの場合、[確認と保存] ページで [このポリシーで定義されている許可] を確認して、ポリシーによって付与されるアクセス許可を確認します。[この新しいバージョンをデフォルトとして設定する] チェックボックスをオンにして、更新したバージョンをポリシーのデフォルトバージョンとして保存します。次に、[変更の保存] を選択して作業を保存します。

IAM Access Analyzer (AWS CLI または AWS API) を使用したポリシーの検証

AWS Command Line Interface (AWS CLI) から、IAM Access Analyzer ポリシー検証によって生成された検出結果を表示できます。

IAM Access Analyzer ポリシー検証 (AWS CLI または AWS API) によって生成された検出結果を表示する方法

以下のいずれかを使用します。