IAM Access Analyzer の検出結果を確認する - AWS Identity and Access Management
外部および内部アクセスの検出結果未使用のアクセスに関する検出結果

IAM Access Analyzer の検出結果を確認する

IAM Access Analyzer を有効化したら、次のステップとして結果を確認し、結果で識別されたアクセスが意図的なものであるか、意図的なものでないかを判断します。また、検出結果を確認して、意図的なアクセスに対して類似する結果を特定し、その結果を自動的にアーカイブするためのアーカイブルールを作成することもできます。アーカイブ済みの結果と解決済みの結果を確認することもできます。

アカウント内のすべての検出結果を確認して、外部アクセス、内部アクセス、または未使用のアクセスが想定および承認されているかどうかを判断する必要があります。検出結果で識別されたアクセスが想定されたものである場合は、その結果をアーカイブできます。結果をアーカイブすると、そのステータスは [アーカイブ済み] に変わり、検出結果はアクティブな結果のリストから削除されます。結果は削除されません。アーカイブした結果はいつでも表示できます。アクティブな結果がゼロになるまで、アカウント内のすべての結果を処理してください。検出結果がゼロになると、新しく生成された [アクティブ] な結果は、環境内の最近の変更によるものであることがわかります。

すべてのタイプのアクセスアナライザーのアクティブな検出結果を確認するには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. [アクセスアナライザー] を選択します。検出結果のダッシュボードが表示されます。

  3. [アナライザーの選択] を選択します。

  4. [アナライザーの選択] ウィンドウで、[リソースアクセスアナライザー] ドロップダウンから、最大 1 つの外部アクセスアナライザーと最大 1 つの内部アクセスアナライザーを選択します。[未使用のアクセスアナライザー] ドロップダウンから未使用のアクセスアナライザーを選択します。

  5. [Update summary] (概要の更新) を選択します。選択したアクセスアナライザーのアクティブな検出結果の概要がダッシュボードに表示されます。[Resource access findings](リソースアクセスの検出結果) または [未使用のアクセスに関する検出結果] セクションで検出結果タイプを選択すると、選択したタイプのすべてのアクティブな検出結果が表示されます。

    検出結果のダッシュボードの表示について詳しくは、「IAM Access Analyzer の検出結果ダッシュボードを表示する」を参照してください。

注記

結果が表示されるのは、アナライザーの結果を表示するアクセス許可がある場合だけです。

外部および内部アクセスの検出結果

注記

IAM Access Analyzer は、リージョンごとに 1 か月あたりにモニタリングされるリソースの数に基づいて、内部アクセス分析の料金を請求します。価格設定の詳細については、「IAM Access Analyzer pricing」を参照してください。

  1. [Access Analyzer] で、[リソース分析] を選択します。

  2. [アナライザーの選択] を選択します。

  3. [アナライザーの選択] ウィンドウで、[リソースアクセスアナライザー] ドロップダウンから、最大 1 つの外部アクセスアナライザーと最大 1 つの内部アクセスアナライザーを選択します。

  4. [Update summary] (概要の更新) を選択します。

    [リソース分析] ページには、選択したアクセスアナライザーのアクティブな検出結果を持つリソースに関する以下の詳細が表示されます。

名前

アクティブな検出結果を持つリソースの名前。

Type

リソースのタイプ。

所有者アカウント

この列は、1 つ以上の選択されたアナライザーの信頼ゾーンとして組織を使用している場合にのみ表示されます。結果で報告されたリソースを所有する組織内のアカウント。

アクティブな検出結果

リソースのアクティブな検出結果の数とタイプの視覚的表現。フィールドにカーソルを合わせると、リソースの検出結果に関する詳細情報が表示されます。

パブリックアクセス

リソースの検出結果のいずれかがパブリックアクセスを許可するかどうかを示します。

未使用のアクセスに関する検出結果

注記

IAM Access Analyzer では、1 か月あたりに分析された IAM ロールとユーザーの数に基づいて、未使用のアクセス分析に対する料金が発生します。価格設定の詳細については、「IAM Access Analyzer pricing」を参照してください。

  1. [アクセスアナライザー] で、[未使用のアクセス] を選択します。

  2. [アナライザーの選択] を選択します。

  3. [アナライザーの選択] ウィンドウで、[未使用のアクセスアナライザー] ドロップダウンから未使用のアクセスアナライザーを選択します。

  4. [Update summary] (概要の更新) を選択します。

    [検出結果] ページには、選択されたアクセスアナライザーの検出結果を生成した IAM エンティティに関する以下の詳細が表示されます。

検出結果 ID

結果に割り当てられた一意の ID。結果 ID を選択すると、その結果を生成した IAM エンティティに関する追加の詳細が表示されます。

結果タイプ

未使用のアクセスに関する検出結果のタイプは、[未使用のアクセスキー][未使用のパスワード][未使用の権限]、または [未使用のロール] のいずれかです。

IAM エンティティ

検出結果で報告された IAM エンティティ。これは IAM ロールまたはユーザーのいずれかです。

AWS アカウント ID

この列は、組織内のすべての AWS アカウントに対してアナライザーを設定した場合にのみ表示されます。組織内の AWS アカウントのうち、結果で報告された IAM エンティティを所有するアカウント。

最終更新日

検出結果で報告された IAM エンティティが最後に更新された日時、または更新が行われていない場合はエンティティが作成された日時。

ステータス

結果のステータス (アクティブアーカイブ済み解決済みのいずれか)。