IAM Access Analyzer の検出結果を解決する
外部アクセスの検出結果の解決
意図しないアクセスによって生成された外部アクセスの検出結果を解決するには、ポリシーステートメントを変更して、該当するリソースへのアクセスを許可するアクセス許可を削除する必要があります。
Amazon S3 バケットに関連する検出結果の場合、Amazon S3 コンソールを使用してバケットに対するアクセス許可を設定します。
IAM ロールの場合、IAM コンソールを使用して、リストされた IAM ロールの信頼ポリシーを変更します。
その他のサポートされているリソースの場合は、コンソールを使用して、生成された検出結果となったポリシー ステートメントを変更します。
IAM ロールに適用されているポリシーを変更するなど、外部アクセスの検出結果を解決するための変更を行った後、IAM Access Analyzer がリソースを再度スキャンします。リソースが信頼ゾーン外で共有されなくなると、検出結果のステータスは Resolved (解決済み)] に変更されます。その後、検出結果は、アクティブな検出結果リストではなく、解決済みの検出結果リストに表示されます。
注記
これは、[エラー] の検出結果には適用されません。IAM Access Analyzer がリソースを分析できない場合、エラーの検出結果が生成されます。IAM Access Analyzer によるリソースの分析を妨げていた問題を解決すると、エラーの検出結果は解決された検出結果に変更されるのではなく、完全に削除されます。
変更に伴って、プリンシパルやアクセス許可が異なるなど、異なる方法でリソースが信頼ゾーン外で共有されるようになった場合、IAM Access Analyzer は新しいアクティブな検出結果を生成します。
注記
ポリシーが変更されてから IAM Access Analyzer がリソースを再度分析して結果を更新するまでに、最大で 30 分かかる場合があります。解決済みの結果は、検出結果のステータスの最終更新から 90 日後に削除されます。
未使用のアクセスに関する検出結果の解決
IAM Access Analyzer は検出結果のタイプに基づいて、未使用のアクセスアナライザーの検出結果を解決するための推奨手順を提供します。
未使用のアクセスの結果を解決するための変更を行うと、次に未使用のアクセスアナライザーを実行したときに、結果のステータスが [解決済み] に変わります。検出結果はアクティブな検出結果のリストに表示されなくなり、代わりに解決済みの検出結果のリストに表示されます。未使用のアクセスの結果の一部のみに対処する変更を行った場合、既存の結果は [解決済み] に変わりますが、新しい結果が生成されます。例えば、結果から未使用のアクセス許可の一部だけを削除し、すべてを削除しない場合などです。
IAM Access Analyzer では、1 か月あたりに分析された IAM ロールとユーザーの数に基づいて、未使用のアクセス分析に対する料金が発生します。価格設定の詳細については、「IAM Access Analyzer pricing
未使用のアクセス許可に関する検出結果の解決
未使用のアクセス許可に関する検出結果に対し、IAM Access Analyzer は IAM ユーザーまたはロールから削除するポリシーを推奨し、既存のアクセス許可ポリシーを置き換える新しいポリシーを提供します。ポリシーの推奨は、以下のシナリオではサポートされていません。
-
未使用のアクセス許可に関する検出結果は、ユーザーグループに属する IAM ユーザーに対するものです。
-
未使用のアクセス許可に関する検出結果は、IAM Identity Center の IAM ロールに対するものです。
-
未使用のアクセス許可に関する検出結果には、
notAction
要素を含む既存のアクセス許可ポリシーがあります。
-
IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 -
[未使用のアクセス] を選択します。
-
[検出結果タイプ] が [未使用のアクセス許可] の検出結果を選択します。
-
[推奨事項] セクションで、[推奨ポリシー] 列にポリシーが表示されている場合は、[ポリシーのプレビュー] を選択して、既存のポリシーを置き換える推奨ポリシーとともに既存のポリシーを表示します。推奨ポリシーが複数ある場合は、[次のポリシー] と [前のポリシー] を選択すると、既存のポリシーと推奨ポリシーをそれぞれ表示できます。
-
[JSON をダウンロード] を選択して、すべての推奨ポリシーの JSON ファイルを含む .zip ファイルをダウンロードします。
-
推奨ポリシーを作成して IAM ユーザーまたはロールにアタッチします。詳細については、「ユーザーのアクセス許可の変更 (コンソール)」および「ロールのアクセス許可ポリシーの変更 (コンソール)」を参照してください。
-
[既存のアクセス許可ポリシー] 列に表示されているポリシーを IAM ユーザーまたはロールから削除します。詳細については、「ユーザーからのアクセス許可の削除 (コンソール)」および「ロールアクセス許可ポリシーの変更 (コンソール)」を参照してください。
未使用のロールに関する検出結果の解決
未使用のロールに関する検出結果に対し、IAM Access Analyzer は未使用の IAM ロールを削除することを推奨します。
-
IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 -
[未使用のアクセス] を選択します。
-
[検出結果タイプ] が [未使用のロール] の検出結果を選択します。
-
[推奨事項] セクションで、IAM ロールの詳細を確認します。
-
IAM ロールを削除します。詳細については、「IAM ロールの削除 (コンソール)」を参照してください。
未使用のアクセスキーに関する検出結果の解決
未使用のアクセスキーに関する検出結果に対し、IAM Access Analyzer は未使用のアクセスキーを非アクティブ化または削除することを推奨します。
-
IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 -
[未使用のアクセス] を選択します。
-
[検出結果タイプ] が [未使用のアクセスキー] の検出結果を選択します。
-
[推奨事項] セクションで、アクセスキーの詳細を確認します。
-
アクセスキーを非アクティブ化または削除します。詳細については、「アクセスキーの管理 (コンソール)」を参照してください。
未使用のパスワードに関する検出結果の解決
未使用のパスワードに関する検出結果に対し、IAM Access Analyzer は IAM ユーザーの未使用のパスワードを削除することを推奨します。
-
IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 -
[未使用のアクセス] を選択します。
-
[検出結果タイプ] が [未使用のパスワード] の検出結果を選択します。
-
[推奨事項] セクションで、IAM ユーザーの詳細を確認します。
-
IAM ユーザーのパスワードを削除します。詳細については、「IAM ユーザーパスワードの作成、変更、削除 (コンソール)」を参照してください。