結果の解決 - AWS Identity and Access Management
外部アクセスの検出結果未使用のアクセスに関する検出結果

結果の解決

外部アクセスの検出結果

許可していないアクセスから生成された外部アクセスの検出結果を解決するには、ポリシーステートメントを変更して、該当するリソースへのアクセスを許可するアクセス許可を削除します。例えば、Amazon S3 バケットに関する検出結果の場合、Amazon S3 コンソールを使用してバケットに対するアクセス許可を設定します。IAM ロールの場合、IAM コンソールを使用して、リストされた IAM ロールの信頼ポリシーを変更します。その他のサポートされているリソースの場合は、コンソールを使用して、結果を生成したポリシーステートメントを変更します。

IAM ロールに適用されているポリシーを変更するなど、外部アクセスの結果を解決するための変更を行うと、IAM Access Analyzer はリソースを再度スキャンします。リソースが信頼ゾーン外で共有されなくなると、結果のステータスは [Resoved (解決済み)] に変更されます。検出結果はアクティブな結果のリストに表示されなくなり、代わりに解決済みの結果のリストに表示されます。

注記

これは、[エラー] の検出結果には適用されません。IAM Access Analyzer がリソースを解析できないときは、エラー検出が生成されます。IAM Access Analyzer がリソースを解析できない問題を解決すると、解決済みの検出結果に変更されるのではなく、エラーの検出結果が完全に削除されます。

変更に伴って、プリンシパルやアクセス許可が異なるなど、異なる方法でリソースが信頼ゾーン外で共有されるようになった場合、IAM Access Analyzer は新しいアクティブな結果を生成します。

注記

ポリシーが変更されてから IAM Access Analyzer がリソースを再度分析して結果を更新するまでに、最大で 30 分かかる場合があります。解決済みの結果は、検出結果のステータスの最終更新から 90 日後に削除されます。

未使用のアクセスに関する検出結果

未使用のアクセスアナライザーに関する検出結果に対し、IAM Access Analyzer は検出結果のタイプに基づいて、その検出結果を解決するための推奨手順を提供します。

未使用のアクセスの結果を解決するための変更を行うと、次に未使用のアクセスアナライザーを実行したときに、結果のステータスが [解決済み] に変わります。検出結果はアクティブな検出結果のリストに表示されなくなり、代わりに解決済みの検出結果のリストに表示されます。未使用のアクセスの結果の一部のみに対処する変更を行った場合、既存の結果は [解決済み] に変わりますが、新しい結果が生成されます。例えば、結果から未使用のアクセス許可の一部だけを削除し、すべてを削除しない場合などです。

IAM Access Analyzer では、1 か月あたりに分析された IAM ロールとユーザーの数に基づいて、未使用のアクセス分析に対する料金が発生します。価格設定の詳細については、「IAM Access Analyzer pricing」を参照してください。

未使用のアクセス許可に関する検出結果の解決

未使用のアクセス許可に関する検出結果に対し、IAM Access Analyzer は IAM ユーザーまたはロールから削除するポリシーを推奨し、既存のアクセス許可ポリシーを置き換える新しいポリシーを提供します。ポリシーの推奨は、以下のシナリオではサポートされていません。

  • 未使用のアクセス許可に関する検出結果は、ユーザーグループに属する IAM ユーザーに対するものです。

  • 未使用のアクセス許可に関する検出結果は、IAM Identity Center の IAM ロールに対するものです。

  • 未使用のアクセス許可に関する検出結果には、notAction 要素を含む既存のアクセス許可ポリシーがあります。

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. [未使用のアクセス] を選択します。

  3. [検出結果タイプ][未使用のアクセス許可] の検出結果を選択します。

  4. [推奨事項] セクションで、[推奨ポリシー] 列にポリシーが表示されている場合は、[ポリシーのプレビュー] を選択して、既存のポリシーを置き換える推奨ポリシーとともに既存のポリシーを表示します。推奨ポリシーが複数ある場合は、[次のポリシー][前のポリシー] を選択すると、既存のポリシーと推奨ポリシーをそれぞれ表示できます。

  5. [JSON をダウンロード] を選択して、すべての推奨ポリシーの JSON ファイルを含む .zip ファイルをダウンロードします。

  6. 推奨ポリシーを作成して IAM ユーザーまたはロールにアタッチします。詳細については、「ユーザーのアクセス許可の変更 (コンソール)」および「ロールのアクセス許可ポリシーの変更 (コンソール)」を参照してください。

  7. [既存のアクセス許可ポリシー] 列に表示されているポリシーを IAM ユーザーまたはロールから削除します。詳細については、「ユーザーからのアクセス許可の削除 (コンソール)」および「ロールアクセス許可ポリシーの変更 (コンソール)」を参照してください。

未使用のロールに関する検出結果の解決

未使用のロールに関する検出結果に対し、IAM Access Analyzer は未使用の IAM ロールを削除することを推奨します。

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. [未使用のアクセス] を選択します。

  3. [検出結果タイプ][未使用のロール] の検出結果を選択します。

  4. [推奨事項] セクションで、IAM ロールの詳細を確認します。

  5. IAM ロールを削除します。詳細については、「IAM ロールの削除 (コンソール)」を参照してください。

未使用のアクセスキーに関する検出結果の解決

未使用のアクセスキーに関する検出結果に対し、IAM Access Analyzer は未使用のアクセスキーを非アクティブ化または削除することを推奨します。

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. [未使用のアクセス] を選択します。

  3. [検出結果タイプ][未使用のアクセスキー] の検出結果を選択します。

  4. [推奨事項] セクションで、アクセスキーの詳細を確認します。

  5. アクセスキーを非アクティブ化または削除します。詳細については、「アクセスキーの管理 (コンソール)」を参照してください。

未使用のパスワードに関する検出結果の解決

未使用のパスワードに関する検出結果に対し、IAM Access Analyzer は IAM ユーザーの未使用のパスワードを削除することを推奨します。

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. [未使用のアクセス] を選択します。

  3. [検出結果タイプ][未使用のパスワード] の検出結果を選択します。

  4. [推奨事項] セクションで、IAM ユーザーの詳細を確認します。

  5. IAM ユーザーのパスワードを削除します。詳細については、「IAM ユーザーパスワードの作成、変更、削除 (コンソール)」を参照してください。