コンソールにサインインする
AWS Identity and Access Management
ユーザーガイド

AWS ドキュメント » AWS Identity and Access Management » ユーザーガイド » アクセス管理 » IAM ポリシーを管理する » サービスの最終アクセス時間データを使用したアクセス許可の制限

サービスの最終アクセス時間データを使用したアクセス許可の制限

IAM エンティティ (ユーザーまたはロール) がサービスに対して最後にアクセスを試みた時間に関するレポートを表示できます。この情報は、サービスの最終アクセス時間データと呼ばれます。この情報を使用して、エンティティで使用されるサービスへのアクセスのみ許可するようにポリシーを調整することができます。レポートは、IAM のリソースのタイプごとに生成できます。いずれの場合も、レポートは、指定された報告期間に許可されたサービスを対象としています。

  • ユーザー – ユーザーがサービスへのアクセスを最後に試みた時間を表示します。

  • グループ – グループメンバーがサービスへのアクセスを最後に試みた時間に関する情報を表示します。また、このレポートには、アクセスを試みたメンバーの合計数も表示されます。

  • ロール – サービスへのアクセスにおいて、ユーザーが最後にロールを使用した時間を表示します。

  • ポリシー – ユーザーまたはロールがサービスへのアクセスを最後に試みた時間に関する情報を表示します。また、このレポートには、アクセスを試みたエンティティの合計数も表示されます。

サービスの最終アクセス時間データを使用して、関連付けられたポリシーの未使用および最近使用されていないアクセス許可を識別できます。これにより、未使用のサービスに関するアクセス許可の削除や、類似の使用パターンを持つユーザーのグループへの再編成を行うことができます。その結果、アカウントのセキュリティ向上につながります。エンティティによるアクセス許可の使用有無や、最終アクセス時間を把握することによって、不要なアクセス許可の削除や、IAM ポリシーの強化にかかる手間を減らすことができます。

AWS マネジメントコンソール、AWS CLI、または AWS API を使用してサービスの最終アクセス時間データを表示する方法については、「サービスの最終アクセス時間データの表示」を参照してください。

IAM エンティティに付与するアクセス許可に関する意思決定を行うためにサービスの最終アクセス時間を使用するシナリオ例については、「アクセスデータを使用するためのシナリオ例」を参照してください。

主要事項

レポートのサービス最終アクセス時間データを使用してエンティティのアクセス許可を変更する前に、そのデータに関する次の詳細を確認してください。

  • レポート期間 – 最近のアクティビティは通常 4 時間以内に現れます。 IAM は、過去 365 日間のアクティビティを報告しています。対象のリージョンでこの機能のサポートが開始されたのが昨年の場合はこれより少なくなります。詳細については、「データが追跡されるリージョン」を参照してください。

  • 認証されたエンティティ – レポートには、アカウント内の認証されたエンティティ (ユーザーまたはロール) のデータのみが含まれます。このレポートには、認証されていない試行に関するデータは含まれません。また、他のアカウントによる試行に関するデータも含まれていません。

  • ポリシータイプ – レポートには、エンティティのポリシーで許可されているサービスのデータのみ含まれます。以下は、ロールにアタッチされたポリシーか、ユーザーに直接、またはグループ経由でアタッチされたポリシーを示します。他のポリシータイプで許可されているアクセスはレポートに含まれていません。除外されたポリシータイプには、リソースベースのポリシー、アクセスコントロールリスト、AWS Organizations ポリシー、IAM アクセス許可の境界、およびセッションポリシーなどがあります。アクセスを許可または拒否するために各ポリシータイプを評価する方法については、「ポリシーの評価論理」を参照してください。

トピック

必要なアクセス許可

AWS マネジメントコンソール を使用して、サービスの最終アクセスデータを表示するには、以下のアクションを含むポリシーが必要です。

  • iam:GenerateServiceLastAccessedDetails

  • iam:Get*

  • iam:List*

注記

これらのアクセス許可では、ユーザーは、以下を表示することができます。

  • 管理ポリシーにアタッチされているユーザー、グループ、またはロール

  • ユーザーまたはロールがアクセスできるサービス

  • 最後にサービスにアクセスした時間

AWS CLI または AWS API を使用してサービスの最終アクセス時間データを表示するには、使用するオペレーションに一致するアクセス許可も必要です。

  • iam:GenerateServiceLastAccessedDetails

  • iam:GetServiceLastAccessedDetails

  • iam:GetServiceLastAccessedDetailsWithEntities

  • iam:ListPoliciesGrantingServiceAccess

この例では、次のようなポリシーを作成する方法を示します。 では、サービスの最終アクセス時間データの表示と IAM のすべてに対する読み取り専用アクセスを行うことができます。このポリシーでは、このアクションをコンソールで実行するために必要なアクセス権限も付与します。 

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:GenerateServiceLastAccessedDetails",
            "iam:Get*",
            "iam:List*"
        ],
        "Resource": "*"
    }

エンティティアクティビティのトラブルシューティング

AWS マネジメントコンソール のサービスの最終アクセス時間データテーブルが空か、AWS CLI または AWS API リクエストで、空のデータセットまたは無効なフィールドが返る場合は、次の例を確認してください。

  • ユーザーの場合は、直接またはグループメンバーシップで、インラインポリシーまたは管理ポリシーが 1 つ以上アタッチされていることを確認します。

  • グループの場合は、グループにインラインポリシーまたは管理ポリシーが 1 つ以上アタッチされていることを確認します。

  • グループの場合は、サービスにアクセスするためにグループのポリシーを使用したメンバーの最終アクセス時間データのみ、レポートで返ります。メンバーが他のポリシーを使用していたかどうかを確認するには、そのユーザーのサービスの最終アクセス時間を確認します。

  • ロールの場合は、ロールにインラインポリシーまたは管理ポリシーが 1 つ以上アタッチされていることを確認します。

  • エンティティ (ユーザーまたはロール) の場合は、そのエンティティのアクセス許可に影響する可能性のある他のポリシータイプを確認します。このポリシータイプには、リソースベースのポリシー、アクセスコントロールリスト、AWS Organizations ポリシー、IAM アクセス許可の境界、またはセッションポリシーなどがあります。詳細については、「ポリシータイプ」または「単一アカウント内のポリシーを評価する」を参照してください。

  • ポリシーで、指定した管理ポリシーが、1 人以上のユーザー、メンバーを持つグループ、またはロールに関連付けられていることを確認します。

変更したら、アクティビティがレポートに表示されるまで 4 時間以上かかります。AWS CLI または AWS API を使用する場合は、新しいレポートを生成して更新データを表示する必要があります。

データが追跡されるリージョン

AWS は、ほとんどのリージョンでサービスの最終アクセス時間データを収集します。データは、最大 365 日保存されます。AWS でさらにリージョンを追加すると、AWS の各リージョンにおけるデータの追跡開始日とあわせて、これらのリージョンが以下のテーブルに追加されます。

リージョン名 リージョン 追跡開始日
米国東部 (オハイオ) us-east-2 2017 年 10 月 27 日
米国東部(バージニア北部) us-east-1 2015 年 10 月 1 日
米国西部 (北カリフォルニア) us-west-1 2015 年 10 月 1 日
米国西部 (オレゴン) us-west-2 2015 年 10 月 1 日
アジアパシフィック (東京) ap-northeast-1 2015 年 10 月 1 日
アジアパシフィック (ソウル) ap-northeast-2 2016 年 1 月 6 日
アジアパシフィック (シンガポール) ap-southeast-1 2015 年 10 月 1 日
アジアパシフィック (シドニー) ap-southeast-2 2015 年 10 月 1 日
アジアパシフィック (ムンバイ) ap-south-1 2016 年 6 月 27 日
カナダ (中部) ca-central-1 2017 年 10 月 28 日
欧州 (フランクフルト) eu-central-1 2015 年 10 月 1 日
欧州 (アイルランド) eu-west-1 2015 年 10 月 1 日
欧州 (ロンドン) eu-west-2 2017 年 10 月 28 日
EU (パリ) eu-west-3 2017 年 18 月 12 日
南米 (サンパウロ) sa-east-1 2015 年 12 月 11 日

前の表にリージョンが記載されていない場合、そのリージョンは、まだサービスの最終アクセス時間データを提供していません。