IAM Access Analyzer の内部アクセスアナライザーを作成する

リージョンで内部アクセスアナライザーを有効にするには、そのリージョンでアナライザーを作成する必要があります。内部アクセスアナライザーは、リソースへのアクセスをモニタリングするリージョンごとに作成する必要があります。

IAM Access Analyzer は、アナライザーごとに 1 か月あたりにモニタリングされるリソースの数に基づいて、内部アクセス分析の料金を請求します。価格設定の詳細については、「IAM Access Analyzer pricing」を参照してください。

注記

アナライザーを作成または更新すると、検出結果が利用可能になるまでに時間がかかることがあります。

IAM Access Analyzer は、70,000 を超えるプリンシパル (IAM ユーザーとロールの合計) を含む組織の内部アクセスの検出結果を生成できません。

組織レベルの内部アクセスアナライザーは、AWS 組織内に 1 つのみ作成できます。

AWS アカウント を信頼ゾーンとして持つ内部アクセスアナライザーを作成する

1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

2. [アクセスアナライザー] で、[アナライザー設定] を選択します。

3. [Create analyzer] (アナライザーの作成) を選択します。

4. [分析] セクションで [リソース分析 - 内部アクセス] を選択します。

5. [アナライザーの詳細] セクションで、表示されているリージョンが、IAM Access Analyzer を有効にするリージョンであることを確認します。

6. アナライザーの名前を入力します。

7. アナライザーの信頼ゾーンとして [現在のアカウント] を選択します。

   注記

   アカウントが AWS Organizations 管理アカウントまたは代理管理者アカウントでない場合は、アカウントを信頼ゾーンとして持つアナライザーは 1 つだけ作成できます。

8. [分析するリソース] セクションで、アナライザーがモニタリングするリソースを追加します。

   • アカウントごとにリソースを追加するには、[追加] > [選択したアカウントからリソースを追加] を選択します。

     1. [すべてのサポートされているリソースタイプ] を選択するか、[特定のリソースタイプを定義] を選択し、[リソースタイプ] リストからリソースタイプを選択します。

        内部アクセスアナライザーは、以下のリソースタイプに対応しています。

        • Amazon Simple Storage Service バケット

        • Amazon Simple Storage Service ディレクトリバケット

        • Amazon Relational Database Service DB スナップショット

        • Amazon Relational Database Service DB クラスタースナップショット

        • Amazon DynamoDB Streams

        • Amazon DynamoDB テーブル

     2. [リソースを追加] を選択します。

   • Amazon リソースネーム (ARN) でリソースを追加するには、[追加] > [リソース ARN を貼り付けてリソースを追加] を選択します。

     1. リソース ARN ごとに、アカウント所有者 ID とリソース ARN をカンマで区切って入力します。1 行に 1 つのアカウント所有者 ID とリソース ARN を入力します。

     2. [リソースを追加] を選択します。

   • CSV ファイルでリソースを追加するには、[リソースの追加] > [CSV をアップロードしてリソースを追加] を選択します。

     AWS Resource Explorer を使用してアカウント内のリソースを検索し、CSV ファイルをエクスポートできます。次に、CSV ファイルをアップロードして、アナライザーがモニタリングするリソースを設定できます。

     1. [ファイルを選択] を選択し、ローカルコンピュータからテンプレートファイルを選択します。

     2. [リソースを追加] を選択します。

9. オプション。アナライザーに適用するタグを追加します。

10. [Create analyzer] (アナライザーの作成) を選択します。

内部アクセスアナライザーを作成して IAM Access Analyzer を有効にすると、AWSServiceRoleForAccessAnalyzer という名前のサービスリンクロールがアカウント内に作成されます。

組織を信頼ゾーンとして持つ内部アクセスアナライザーを作成する

1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

2. [アクセスアナライザー] で、[アナライザー設定] を選択します。

3. [Create analyzer] (アナライザーの作成) を選択します。

4. [分析] セクションで [リソース分析 - 内部アクセス] を選択します。

5. [アナライザーの詳細] セクションで、表示されているリージョンが、IAM Access Analyzer を有効にするリージョンであることを確認します。

6. アナライザーの名前を入力します。

7. アナライザーの信頼ゾーンとして [組織全体] を選択します。

8. [分析するリソース] セクションで、アナライザーがモニタリングするリソースを追加します。

   • アカウントのリソースを追加するには、[リソースの追加] > [選択したアカウントからリソースを追加] を選択します。

     1. [すべてのサポートされているリソースタイプ] を選択するか、[特定のリソースタイプを定義] を選択し、[リソースタイプ] リストからリソースタイプを選択します。

        内部アクセスアナライザーは、以下のリソースタイプに対応しています。

        • Amazon Simple Storage Service バケット

        • Amazon Simple Storage Service ディレクトリバケット

        • Amazon Relational Database Service DB スナップショット

        • Amazon Relational Database Service DB クラスタースナップショット

        • Amazon DynamoDB Streams

        • Amazon DynamoDB テーブル

     2. 組織からアカウントを選択するには、[組織から選択]を選択します。[アカウントの選択] セクションで、[階層] を選択して組織構造別にアカウントを選択するか、[リスト] を選択して組織内のすべてのアカウントのリストからアカウントを選択します。

        組織からアカウントを手動で入力するには、[AWS アカウント ID の入力] を選択します。1 つ以上の AWS アカウント ID をカンマで区切って、[AWS アカウント ID] フィールドに入力します。

     3. [リソースを追加] を選択します。

   • Amazon リソースネーム (ARN) でリソースを追加するには、[リソースの追加] > [リソース ARN を貼り付けてリソースを追加] を選択します。

     1. リソース ARN ごとに、アカウント所有者 ID とリソース ARN をカンマで区切って入力します。1 行に 1 つのアカウント所有者 ID とリソース ARN を入力します。

     2. [リソースを追加] を選択します。

   • CSV ファイルでリソースを追加するには、[リソースの追加] > [CSV をアップロードしてリソースを追加] を選択します。

     AWS Resource Explorer を使用してアカウント内のリソースを検索し、CSV ファイルをエクスポートできます。次に、CSV ファイルをアップロードして、アナライザーがモニタリングするリソースを設定できます。

     1. [ファイルを選択] を選択し、ローカルコンピュータからテンプレートファイルを選択します。

     2. [リソースを追加] を選択します。

9. オプション。アナライザーに適用するタグを追加します。

10. [Submit] を選択してください。

組織を信頼ゾーンとして持つ内部アクセスアナライザーを作成すると、AWSServiceRoleForAccessAnalyzer という名前のサービスリンクロールが組織の各アカウントで作成されます。