IAM Access Analyzer の検出結果
IAM Access Analyzer は、AWS アカウントまたは組織の外部アクセス、内部アクセス、および未使用のアクセスに関する検出結果を生成します。
外部アクセスの場合、IAM Access Analyzer は、信頼ゾーン内にないプリンシパルに対して信頼ゾーン内のリソースへのアクセスを許可する、リソースベースのポリシーの各インスタンスの結果を生成します。外部アクセスアナライザーを作成する際には、分析する組織または AWS アカウントを選択します。アナライザー用に選択した組織またはアカウント内のプリンシパルは、信頼済みと見なされます。同じ組織またはアカウント内のプリンシパルは信頼されるため、組織またはアカウント内のリソースとプリンシパルは、アナライザーの信頼ゾーンを構成します。信頼ゾーン内での共有は安全と見なされるため、IAM Access Analyzer は結果を生成しません。たとえば、アナライザーの信頼ゾーンとして組織を選択した場合、その組織内のすべてのリソースとプリンシパルは信頼ゾーン内にあります。ある組織メンバーアカウント内の Amazon S3 バケットへのアクセス許可を、別の組織メンバーアカウント内のプリンシパルに付与した場合、IAM Access Analyzer は結果を生成しません。ただし、組織のメンバーではないアカウントのプリンシパルにアクセス許可を付与すると、IAM Access Analyzer によって結果が生成されます。
内部アクセスの場合、IAM Access Analyzer は、組織内の IAM ロールまたはユーザーと指定されたリソースとの間にアクセスパスが存在する可能性がある場合に検出結果を生成します。外部アクセス分析と同様に、選択したスコープ (組織またはアカウント) によって、内部と見なされるものが決まります。組織をスコープとして選択すると、IAM Access Analyzer は組織内のプリンシパルとリソース間のアクセスパスの検出結果を生成します。アカウントを選択すると、その特定のアカウント内のアクセスパスの検出結果が生成されます。IAM Access Analyzer は自動推論を使用してすべての IAM ポリシーを評価し、リソースにアクセスできるユーザーをモニタリングします。
外部アクセスと内部アクセスの結果を同じ信頼ゾーンと組み合わせることで、定義された信頼境界内と外部の両方から、特定のリソースへのすべての可能なアクセスを包括的に分析できます。
未使用のアクセスについて、IAM Access Analyzer は、AWS 組織およびアカウントで付与されている未使用のアクセス権限に関する検出結果を生成します。未使用のアクセスアナライザーを作成すると、IAM Access Analyzer は AWS 組織およびアカウント内のすべての IAM ロールとユーザーを継続的にモニタリングし、使用されていないアクセス権限に関する検出結果を生成します。IAM Access Analyzer は、未使用のアクセスについて以下のタイプの検出結果を生成します。
-
未使用のロール – 指定された使用期間内にアクセスアクティビティがないロール。
-
未使用の IAM ユーザーアクセスキーとパスワード – 指定された期間内に、AWS アカウント へのアクセスに使用されていない IAM ユーザーに属する認証情報。
-
未使用のアクセス許可 – 指定された使用期間内にロールによって使用されなかったサービスレベルおよびアクションレベルのアクセス許可。IAM Access Analyzer は、ロールにアタッチされた ID ベースのポリシーを使用して、そのロールがアクセスできるサービスとアクションを決定します。IAM Access Analyzer は、すべてのサービスレベルのアクセス許可について、未使用のアクセス許可のレビューをサポートしています。未使用のアクセスの検出結果でサポートされるアクションレベルのアクセス許可の完全なリストについては、「IAM アクションの最終アクセス情報サービスとアクション」を参照してください。
注記
IAM Access Analyzer は無料で外部アクセスの検出結果を提供します。未使用のアクセス検出結果に対して、アナライザーごとに 1 か月あたりに分析された IAM ロールとユーザーの数に応じて料金が発生します。アナライザーごとに 1 か月あたりにモニタリングされる AWS リソースの数に基づいて、内部アクセスの検出結果にも料金が発生します。価格設定の詳細については、「IAM Access Analyzer pricing
トピック
