AWS IAM Access Analyzer を使用する - AWS Identity and Access Management

AWS IAM Access Analyzer を使用する

AWS IAM Access Analyzer は、外部エンティティと共有されている Amazon S3 バケットや IAM ロールなど、組織とアカウントのリソースを識別するのに役立ちます。これにより、セキュリティ上のリスクであるリソースとデータへの意図しないアクセスを特定できます。Access Analyzer は、論理ベースの推論を使用して AWS 環境内のリソースベースのポリシーを分析することにより、外部プリンシパルと共有されるリソースを識別します。アカウントの外部で共有されているリソースのインスタンスごとに、Access Analyzer は結果を生成します。結果には、アクセスと付与される外部プリンシパルに関する情報が含まれます。結果を確認して、アクセスが意図的で安全なものであるか、またはアクセスが意図しないものであるか、セキュリティ上のリスクであるかを判断できます。外部エンティティと共有されているリソースを特定するのに役立つだけでなく、Access Analyzer の検出結果を使用して、リソースに対するアクセス許可をデプロイする前に、ポリシーがリソースへのパブリックアクセスとクロスアカウントアクセスにどのような影響を与えるかをプレビューできます。

注記

外部エンティティとは、別の AWS アカウント、ルートユーザー、IAM ユーザーまたはロール、フェデレーティッドユーザー、AWS のサービス、匿名ユーザー、その他フィルターの作成に使用できるエンティティです。詳細については、「AWS IAM JSON ポリシーエレメント: Principal」を参照してください。

Access Analyzer を有効にしたら、組織全体またはアカウントのアナライザーを作成します。選択した組織またはアカウントは、アナライザーの信頼ゾーンと呼ばれます。アナライザーは、信頼ゾーン内でサポートされているすべてのリソースをモニタリングします。信頼ゾーン内のプリンシパルによるリソースへのアクセスは、信頼できると見なされます。有効にすると、信頼ゾーン内のすべてのサポートされているリソースに適用されているポリシーが Access Analyzer により分析されます。最初の分析後、Access Analyzer はこれらのポリシーを定期的に分析します。新しいポリシーを追加したり、既存のポリシーを変更したりすると、Access Analyzer は約 30 分以内に新しいポリシーまたは更新されたポリシーを分析します。

Access Analyzer は、ポリシーの分析時に、信頼ゾーン外の外部プリンシパルに対してアクセスを許可するポリシーを見つけると、結果を生成します。各結果には、適切なアクションを実行できるように、リソース、リソースにアクセスできる外部エンティティ、および付与されているアクセス許可に関する詳細が含まれています。結果に含まれている詳細を表示して、リソースへのアクセスが意図的であるか、解決すべき潜在的なリスクであるかを判断できます。リソースにポリシーを追加するか、既存のポリシーを更新すると、Access Analyzer はポリシーを分析します。Access Analyzer は定期的にすべてのリソースベースのポリシーも分析します。

まれに、特定の条件下で、Access Analyzer は追加または更新されたポリシーの通知を受け取らない場合があります。S3 バケットに関連付けられたマルチリージョンアクセスポイントを作成または削除した場合、またはマルチリージョンアクセスポイントのポリシーを更新した場合、Access Analyzer は、検出結果の生成または解決に最大 6 時間かかる可能性があります。また、AWS CloudTrail ログ配信で配信の問題がある場合、ポリシーを変更しても、検出結果でレポートされたリソースの再スキャンはトリガーされません。このような場合、Access Analyzer は、次の定期スキャン時 (24 時間以内) に新しいポリシーまたは更新されたポリシーを分析します。結果でレポートされたアクセスの問題が、ポリシーを変更することで解決されることを確認する場合は、検出結果の詳細ページの [Rescan (再スキャン)] リンクを使用するか、Access Analyzer API の StartResourceScan オペレーションを使用して、結果でレポートされたリソースを再スキャンできます。詳細については、「結果の解決」を参照してください。

重要

Access Analyzer は、それが有効になっている同じ AWS リージョンのリソースに適用されたポリシーのみを分析します。AWS 環境のすべてのリソースをモニタリングするには、サポートされている AWS リソースを使用している各リージョンでアナライザーを作成して Access Analyzer を有効にする必要があります。

Access Analyzer は、以下のリソースタイプを分析します。

ポリシーの検証

Access Analyzer ポリシーチェックで検証できます。IAM コンソールで、AWS CLI、AWS API、または JSON ポリシーエディタを使用して、ポリシーを作成または編集できます。Access Analyzer は、IAM ポリシーの文法ベストプラクティスに対してポリシーを検証します。セキュリティ警告、エラー、一般的な警告、およびポリシーの提案を含むポリシー検証チェックの結果を表示できます。これらの結果から、機能的でセキュリティのベストプラクティスに準拠したポリシーの作成に役立つ実用的な推奨事項が得られます。Access Analyzer を使用したポリシーの検証の詳細については、Access Analyzer ポリシーの検証 を参照してください。

ポリシーの生成

Access Analyzer は、AWS CloudTrail ログを分析して、指定した日付範囲内の IAM エンティティ (ユーザーまたはロール) によって使用されたアクションとサービスを識別します。その後、そのアクセスアクティビティに基づく IAM ポリシーを生成します。生成されたポリシーを使用して、エンティティを IAM ユーザーまたはロールにアタッチすることで、エンティティの許可を絞り込むことができます。Access Analyzer を使用したポリシーの生成の詳細については、IAM Access Analyzer ポリシー生成 を参照してください。