AWS IAM Access Analyzer を使用する - AWS Identity and Access Management

AWS IAM Access Analyzer を使用する

AWS IAM Access Analyzer は、外部エンティティと共有されている Amazon S3 バケットや IAM ロールなど、組織とアカウントのリソースを識別するのに役立ちます。これにより、セキュリティ上のリスクであるリソースとデータへの意図しないアクセスを特定できます。Access Analyzer は、論理ベースの推論を使用して AWS 環境内のリソースベースのポリシーを分析することにより、外部プリンシパルと共有されるリソースを識別します。アカウントの外部で共有されているリソースのインスタンスごとに、Access Analyzer は結果を生成します。結果には、アクセスと付与される外部プリンシパルに関する情報が含まれます。結果を確認して、アクセスが意図的で安全なものであるか、またはアクセスが意図しないものであるか、セキュリティ上のリスクであるかを判断できます。

注記

外部エンティティとは、別の AWS アカウント、ルートユーザー、IAM ユーザーまたはロール、フェデレーティッドユーザー、AWS のサービス、匿名ユーザー、その他フィルターの作成に使用できるエンティティです。詳細については、「AWS IAM JSON ポリシーエレメント: Principal」を参照してください。

Access Analyzer を有効にしたら、組織全体またはアカウントのアナライザーを作成します。選択した組織またはアカウントは、アナライザーの信頼ゾーンと呼ばれます。アナライザーは、信頼ゾーン内でサポートされているすべてのリソースをモニタリングします。信頼ゾーン内のプリンシパルによるリソースへのアクセスは、信頼できると見なされます。有効にすると、信頼ゾーン内のすべてのサポートされているリソースに適用されているポリシーが Access Analyzer により分析されます。最初の分析後、Access Analyzer はこれらのポリシーを定期的に分析します。新しいポリシーが追加されるか、既存のポリシーが変更されると、Access Analyzer は約 30 分以内に新しいポリシーまたは更新されたポリシーを分析します。

Access Analyzer は、ポリシーの分析時に、信頼ゾーン外の外部プリンシパルに対してアクセスを許可するポリシーを見つけると、結果を生成します。各結果には、適切なアクションを実行できるように、リソース、リソースにアクセスできる外部エンティティ、および付与されているアクセス許可に関する詳細が含まれています。結果に含まれている詳細を表示して、リソースへのアクセスが意図的であるか、解決すべき潜在的なリスクであるかを判断できます。リソースにポリシーを追加するか、既存のポリシーを更新すると、Access Analyzer はポリシーを分析します。Access Analyzer は定期的にすべてのリソースベースのポリシーも分析します。

特定の条件下でまれに、ポリシーの追加や更新が Access Analyzer に通知されないことがあります。たとえば、S3 バケットに対するアカウントレベルのパブリックアクセスのブロック設定の変更には、最大 12 時間かかることがあります。また、AWS CloudTrail ログ配信で配信の問題がある場合、ポリシーを変更しても、結果でレポートされたリソースの再スキャンはトリガーされません。このような場合、Access Analyzer は、次の定期スキャン時 (24 時間以内) に新しいポリシーまたは更新されたポリシーを分析します。結果でレポートされたアクセスの問題が、ポリシーを変更することで解決されることを確認する場合は、結果の詳細ページの [Rescan (再スキャン)] リンクを使用するか、Access Analyzer API の StartResourceScan オペレーションを使用して、結果でレポートされたリソースを再スキャンできます。詳細については、「結果の解決」を参照してください。

重要

Access Analyzer は、それが有効になっている AWS リージョンでのみ、リソースに適用されているポリシーを分析します。AWS 環境のすべてのリソースをモニタリングするには、サポートされている AWS リソースを使用している各リージョンでアナライザーを作成して Access Analyzer を有効にする必要があります。

Access Analyzer は、以下のリソースタイプを分析します。