結果を使用する - AWS Identity and Access Management
外部アクセスの検出結果未使用のアクセスに関する検出結果

結果を使用する

外部アクセスの検出結果

外部アクセスの検出結果は、信頼ゾーンの外部で共有されているリソースのインスタンスごとに 1 回だけ生成されます。リソースベースのポリシーが変更されるたびに、IAM Access Analyzer はポリシーを分析します。更新されたポリシーが共有しているリソースが、結果内で識別済みであっても、アクセス許可や条件が異なっている場合は、そのリソース共有のインスタンスに対して新しい結果が生成されます。最初の結果でアクセスが削除されると、その結果のステータスは [解決済み] に更新されます。

すべての検出結果のステータスは、結果をアーカイブするか、結果を生成したアクセスを削除するまでは、[アクティブ] のままです。アクセスを削除すると、結果のステータスは [解決済み] に更新されます。

注記

ポリシーが変更されてから IAM Access Analyzer がリソースを分析して外部アクセスの結果を更新するまで、最大で 30 分かかる場合があります。

未使用のアクセスに関する検出結果

アナライザーの作成時に指定された日数に基づいて、選択したアカウントまたは組織内の IAM エンティティについて、未使用のアクセスに関する検出結果が生成されます。以下のいずれかの条件が満たされている場合、次にアナライザーがエンティティをスキャンしたときに、新しい結果が生成されます。

  • 指定された日数の間、ロールが非アクティブである。

  • 未使用のアクセス許可、未使用のユーザーパスワード、または未使用のユーザーアクセスキーが、指定された日数を超えている。

アカウント内のすべての検出結果を確認して、外部アクセスまたは未使用のアクセスが想定および承認されているかどうかを判断する必要があります。結果で識別された外部アクセスまたは未使用のアクセスが想定されたものである場合は、その結果をアーカイブできます。結果をアーカイブすると、そのステータスは [アーカイブ済み] に変わり、検出結果はアクティブな結果のリストから削除されます。結果は削除されません。アーカイブした結果はいつでも表示できます。アクティブな結果がゼロになるまで、アカウント内のすべての結果を処理してください。検出結果がゼロになると、新しく生成された [アクティブ] な結果は、環境内の最近の変更によるものであることがわかります。

注記

未使用のアクセスの検出結果は、ListFindingsV2 API アクションを使用してのみ利用可能です。