AWS Identity and Access Management Access Analyzer の使用
AWS Identity and Access Management Access Analyzer には、次の機能が用意されています。
-
IAM Access Analyzer の外部アクセスアナライザーは、外部エンティティと共有されている組織およびアカウントのリソースを特定するのに役立ちます。
-
IAM Access Analyzer の未使用のアクセスアナライザーは、組織およびアカウント内の使用されていないアクセス権限を特定するのに役立ちます。
-
IAM Access Analyzer は、ポリシーの文法および AWS ベストプラクティスに照らして IAM ポリシーを検証します。
-
IAM Access Analyzer のカスタムポリシーチェックは、指定したセキュリティ基準に照らして IAM ポリシーを検証するのに役立ちます。
-
IAM Access Analyzer は、AWS CloudTrail ログでのアクセスアクティビティに基づいた IAM ポリシーを生成します。
外部エンティティと共有されているリソースを識別する
IAM Access Analyzer の機能は、外部エンティティと共有されている Amazon S3 バケットや IAM ロールなど、組織とアカウントのリソースを識別するのに役立ちます。これにより、セキュリティ上のリスクであるリソースやデータへの意図しないアクセスを特定できます。IAM Access Analyzer は、ロジックベースの推論を使用して AWS 環境のリソースベースのポリシーを分析することにより、外部プリンシパルと共有されているリソースを識別します。アカウントの外部で共有されているリソースのインスタンスごとに、IAM Access Analyzer は結果を生成します。結果には、アクセスと付与される外部プリンシパルに関する情報が含まれます。結果を確認して、アクセスが意図的で安全なものであるか、またはアクセスが意図しないものでセキュリティ上のリスクがあるかを判断できます。IAM Access Analyzer の結果を使用すると、外部エンティティと共有されているリソースを識別できるだけでなく、リソースのアクセス許可を展開する前に、ポリシーがリソースへのパブリックアクセスおよびクロスアカウントアクセスにどのように影響するかをプレビューできます。検出結果は視覚的な概要ダッシュボードにまとめられます。ダッシュボードでは、パブリックアクセスとクロスアカウントアクセスの検出結果が分割して強調表示され、それぞれの検出結果がリソースタイプごとに分類されます。ダッシュボードの詳細については、「IAM Access Analyzer の検出結果ダッシュボードを表示する」を参照してください。
注記
外部エンティティは、フィルターの作成に使用できる別の AWS アカウント、ルートユーザー、IAM ユーザーまたはロール、フェデレーションユーザー、匿名ユーザー、または別のエンティティです。詳細については、「AWS IAM JSON ポリシーエレメント: Principal」を参照してください。
IAM Access Analyzer を有効にしたら、組織全体またはアカウントのアナライザーを作成します。選択した組織またはアカウントは、アナライザーの信頼ゾーンと呼ばれます。アナライザーは、信頼ゾーン内でサポートされているすべてのリソースをモニタリングします。信頼ゾーン内のプリンシパルによるリソースへのアクセスは、信頼できると見なされます。有効にすると、IAM Access Analyzer は信頼ゾーン内のすべてのサポートされているリソースに適用されているポリシーを分析します。最初の分析後、IAM Access Analyzer はこれらのポリシーを定期的に分析します。新しいポリシーが追加されるか、既存のポリシーが変更されると、IAM Access Analyzer は約 30 分以内に新しいポリシーまたは更新されたポリシーを分析します。
IAM Access Analyzer は、ポリシーの分析時に、信頼ゾーン外の外部プリンシパルに対してアクセスを許可するポリシーを見つけると、結果を生成します。各結果には、適切なアクションを実行できるように、リソース、リソースにアクセスできる外部エンティティ、および付与されているアクセス許可に関する詳細が含まれています。結果に含まれている詳細を表示して、リソースへのアクセスが意図的であるか、解決すべき潜在的なリスクであるかを判断できます。リソースにポリシーを追加するか、既存のポリシーを更新すると、IAM Access Analyzer はポリシーを分析します。また、IAM Access Analyzer は、すべてのリソースベースのポリシーを定期的に分析します。
特定の条件下でまれに、IAM Access Analyzer がポリシーの追加や更新の通知を受信しないことがあり、これにより、生成された検出結果に遅延が発生する可能性があります。Amazon S3 バケットに関連付けられたマルチリージョンアクセスポイントを作成または削除する場合、またはマルチリージョンアクセスポイントのポリシーを更新する場合、IAM Access Analyzer で検出結果を生成または解決するのに最大 6 時間かかる場合があります。また、AWS CloudTrail ログ配信で配信の問題がある場合、ポリシーを変更しても、検出結果でレポートされたリソースの再スキャンはトリガーされません。このような場合、IAM Access Analyzer は、次の定期スキャン時 (24 時間以内) に新しいポリシーまたは更新されたポリシーを分析します。結果でレポートされたアクセスの問題が、ポリシーを変更することで解決されることを確認する場合は、結果の詳細ページの [Rescan] (再スキャン) リンクを使用するか、IAM Access Analyzer API の StartResourceScan
オペレーションを使用して、結果でレポートされたリソースを再スキャンできます。詳細については、「IAM Access Analyzer の検出結果を解決する」を参照してください。
重要
IAM Access Analyzer は、それが有効になっている AWS リージョンでのみ、リソースに適用されているポリシーを分析します。AWS 環境のすべてのリソースをモニタリングするには、サポートされている AWS リソースを使用している各リージョンでアナライザーを作成して IAM Access Analyzer を有効にする必要があります。
IAM Access Analyzer は、以下のリソースタイプを分析します。
IAM ユーザーおよびロールに付与された未使用のアクセスを特定する
IAM Access Analyzer は、AWS 組織およびアカウント内の使用されていないアクセス権限を特定して確認するのに役立ちます。IAM Access Analyzer は、AWS 組織およびアカウント内のすべての IAM ロールとユーザーを継続的にモニタリングし、未使用のアクセスに関する検出結果を生成します。検出結果では、未使用のロール、IAM ユーザーの未使用のアクセスキー、IAM ユーザーの未使用のパスワードが強調表示されます。これらの検出結果では、アクティブな IAM ロールとユーザーで未使用のサービスとアクションが表示されます。
外部のアクセスアナライザーと未使用のアクセスアナライザーの両方の検出結果が、視覚的な概要ダッシュボードにまとめられます。ダッシュボードでは、検出結果が最も多い AWS アカウントが強調表示され、その結果がタイプごとに分類されます。ダッシュボードのページの詳細については、「IAM Access Analyzer の検出結果ダッシュボードを表示する」を参照してください。
IAM Access Analyzer では、AWS 組織およびアカウント内のすべてのロールについて、最終アクセス時間情報を確認することができ、使用されていないアクセス権限を特定するのに役立ちます。IAM アクションの最終アクセス時間情報は、AWS アカウント内のロールで使用されていないアクションを特定するのに役立ちます。詳細については、「最終アクセス情報を使用して AWS のアクセス許可を調整する」を参照してください。
AWS ベストプラクティスに照らしてポリシーを検証する
IAM Access Analyzer のポリシー検証で提供される基本的なポリシーチェックを使用して、IAM ポリシーの文法や AWS ベストプラクティスに照らしてポリシーを検証できます。IAM コンソールの AWS CLI、AWS API、または JSON ポリシーエディタを使用して、ポリシーを作成または編集できます。セキュリティ警告、エラー、一般的な警告、ポリシーの提案を含むポリシー検証チェックの結果を表示できます。これらの検出結果から、機能的で AWS ベストプラクティスに準拠したポリシーの作成に役立つ実用的な推奨事項が示されます。ポリシー検証を使用したポリシーの検証の詳細については、「IAM Access Analyzer でポリシーを検証する」を参照してください。
指定したセキュリティ標準に照らしてポリシーを検証する
IAM Access Analyzer カスタムポリシーチェックを使用して、指定したセキュリティ標準に照らしてポリシーを検証できます。IAM コンソールの AWS CLI、AWS API、または JSON ポリシーエディタを使用して、ポリシーを作成または編集できます。コンソールでは、更新したポリシーで新しいアクセス権限が付与されるかどうかを、既存のバージョンとの比較で確認できます。AWS CLI および AWS API を使用して、重要と考える特定の IAM アクションがポリシーによって許可されていないことを確認することもできます。これらのチェックでは、新しいアクセスを許可するポリシーステートメントが強調表示されます。ポリシーステートメントを更新し、ポリシーがセキュリティ標準に準拠するまでチェックを再実行できます。カスタムポリシーチェックを使用したポリシーの検証の詳細については、「IAM Access Analyzer のカスタムポリシーチェックを使用してポリシーを検証する」を参照してください。
ポリシーの生成
IAM Access Analyzer は AWS CloudTrail ログを分析して、IAM エンティティ (ユーザーまたはロール) が使用しているアクションとサービスを特定します。次に、そのアクセスアクティビティに基づく IAM ポリシーを生成します。生成されたポリシーを使用して、エンティティのアクセス許可を IAM ユーザーまたはロールにアタッチすることで、そのエンティティのアクセス許可を絞り込むことができます。IAM Access Analyzer を使用したポリシーの生成の詳細については、「IAM Access Analyzer ポリシーの生成」を参照してください。
IAM Access Analyzer の価格設定
IAM Access Analyzer では、1 か月あたりにアナライザーごとに分析された IAM ロールとユーザーの数に基づいて、未使用のアクセス分析に対する料金が発生します。
-
作成した未使用のアクセスアナライザーに対して料金が発生します。
-
複数のリージョンにまたがる未使用のアクセスアナライザーを作成すると、アナライザーごとに料金が発生します。
-
サービスにリンクされたロールは、未使用のアクセスアクティビティについては分析されず、分析される IAM ロールの総数には含まれません。
IAM Access Analyzer では、新しいアクセスをチェックするために IAM Access Analyzer に対して行った API リクエストの数に基づいて、カスタムポリシーチェックに対する料金が発生します。
IAM Access Analyzer の料金および価格設定の完全なリストについては、「IAM Access Analyzer pricing
請求を表示するには、AWS Billing and Cost Management コンソール
AWSの請求、アカウント、イベントについてのご質問は、AWS Supportにお問い合わせください