IAM Access Analyzer の設定 - AWS Identity and Access Management
IAM Access Analyzer の代理管理者アナライザーの削除

IAM Access Analyzer の設定

AWS Organizations 管理アカウントで AWS Identity and Access Management Access Analyzer を設定している場合は、組織の IAM Access Analyzer を管理するための代理管理者として組織内のメンバーアカウントを追加できます。代理管理者には、組織内でアナライザーを作成および管理するためのアクセス許可があります。管理アカウントのみが代理管理者を追加できます。

IAM Access Analyzer の代理管理者

IAM Access Analyzer の代理管理者は、組織全体のアクセスを分析するアナライザーを作成および管理するためのアクセス許可を持つ、組織内のメンバーアカウントです。代理管理者を追加、削除、または変更できるのは、管理アカウントのみです。

代理管理者を追加した場合は、後で代理管理者のアカウントを別のものに変更できます。これを行うと、以前の代理管理者アカウントは、組織全体のアクセスを分析するためにそのアカウントを使用して作成されたすべてのアナライザーに対するアクセス許可を失います。これらのアナライザーは、無効状態に移行し、新しい結果を生成したり、既存の結果を更新したりしなくなります。これらのアナライザーの既存の調果にもアクセスできなくなります。後で、このアカウントを代理管理者として設定することで、アナライザーと結果に再度アクセスできます。同じアカウントを代理管理者として使用しないことがわかっている場合は、代理管理者を変更する前にアナライザーを削除することもできます。これにより、すべての生成された結果が削除されます。新しい代理管理者で新しいアナライザーを作成すると、同じ結果の新しいインスタンスが生成されます。結果は、失われることなく、別のアカウントの新しいアナライザー用に生成されます。また、組織の管理アカウントには管理者権限もあるため、このアカウントを使用して組織の結果に引き続きアクセスできます。新しい代理管理者は、組織内のリソースのモニタリングを開始するために、IAM Access Analyzer の新しいアナライザーを作成する必要があります。

代理管理者が AWS 組織から離れると、代理管理権限はアカウントから削除されます。信頼ゾーンとして組織を持つアカウント内のすべてのアナライザーは、無効状態に移行します。これらのアナライザーの既存の調果にもアクセスできなくなります。

管理アカウントで初めてアナライザーを設定する場合は、IAM Access Analyzer コンソールの [アナライザー設定] ページで [代理管理者を追加] を選択できます。

注記

IAM Access Analyzer では、1 か月あたりにアナライザーごとに分析された IAM ロールとユーザーの数に基づいて、未使用のアクセスアナライザーに対する料金が発生します。管理アカウントと代理管理者アカウントで未使用のアクセスアナライザーを作成すると、両方の未使用のアクセスアナライザーに対する料金が発生します。価格設定の詳細については、「IAM Access Analyzer pricing」を参照してください。

コンソールを使用して代理管理者を追加するには

  1. 組織のマスターアカウントを使用して AWS コンソールにログインします。

  2. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  3. [アクセスアナライザー] で、[アナライザー設定] を選択します。

  4. [Add delegated administrator (代理管理者の追加)] を選択します。

  5. [代理管理者] フィールドに、代理管理者にする組織のメンバーアカウントの AWS アカウント番号を入力します。

    アカウントは、組織のメンバーである必要があります。

  6. [Save changes] (変更の保存) をクリックします。

AWS CLI または AWS SDK を使用して代理管理者を追加するには

AWS CLI、AWS API (AWS SDK を使用)、または AWS CloudFormation を使用して、代理管理者アカウントで組織全体のアクセスを分析するためのアナライザーを作成する場合、AWS Organizations API を使用して IAM Access Analyzer のサービスアクセスを有効にし、メンバーアカウントを代理管理者として登録する必要があります。

  1. AWS Organizations で IAM Access Analyzer の信頼されたサービスアクセスを有効にします。『AWS Organizations ユーザーガイド』の「信頼されたアクセスを有効または無効にする方法」を参照してください。

  2. AWS AWS Organizations API オペレーションまたは RegisterDelegatedAdministrator register-delegated-administrator コマンドを使用して、AWS CLI 組織の有効なメンバーアカウントを代理管理者として登録します。

代理管理者を変更した場合、新しい管理者は組織内のリソースへのアクセスをモニタリングするために、まずアナライザーを作成する必要があります。

アナライザーの削除

[アナライザー設定] ページから、既存の外部アクセスアナライザーや未使用のアクセスアナライザーを削除できます。アナライザーを削除すると、そのアナライザーで指定されているリソースはモニタリングされなくなり、新しい結果は生成されなくなります。アナライザーによって生成された結果はすべて削除されます。

結果を生成したアナライザーが削除されたために結果が削除された場合は、アナライザーが削除されてから 2 日以内に EventBridge にイベントが送信されます。アナライザーが削除されてから Security Hub の結果が削除されるまでには、最大 90 日かかることがあります。

アナライザーを削除する方法

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. [アクセスアナライザー] で、[アナライザー設定] を選択します。

  3. 削除するアナライザーを選択し、[削除] を選択します。

  4. 確認のテキストボックスで「delete」と入力し、[削除] を選択します。