AWS Identity and Access Management Access Analyzer を使用する

AWS Identity and Access Management Access Analyzer には、次の機能が用意されています。

• IAM Access Analyzer の外部アクセスアナライザーは、外部エンティティと共有されている組織およびアカウントのリソースを特定するのに役立ちます。

• IAM Access Analyzer の未使用のアクセスアナライザーは、組織およびアカウント内の使用されていないアクセス権限を特定するのに役立ちます。

• IAM Access Analyzer は、ポリシーの文法および AWS ベストプラクティスに照らして IAM ポリシーを検証します。

• IAM Access Analyzer のカスタムポリシーチェックは、指定したセキュリティ基準に照らして IAM ポリシーを検証するのに役立ちます。

• IAM Access Analyzer は、AWS CloudTrail ログでのアクセスアクティビティに基づいた IAM ポリシーを生成します。

外部エンティティと共有されているリソースを識別する

IAM Access Analyzer の機能は、外部エンティティと共有されている Amazon S3 バケットや IAM ロールなど、組織とアカウントのリソースを識別するのに役立ちます。これにより、セキュリティ上のリスクであるリソースやデータへの意図しないアクセスを特定できます。IAM Access Analyzer は、ロジックベースの推論を使用して AWS 環境のリソースベースのポリシーを分析することにより、外部プリンシパルと共有されているリソースを識別します。アカウントの外部で共有されているリソースのインスタンスごとに、IAM Access Analyzer は結果を生成します。結果には、アクセスと付与される外部プリンシパルに関する情報が含まれます。結果を確認して、アクセスが意図的で安全なものであるか、またはアクセスが意図しないものでセキュリティ上のリスクがあるかを判断できます。IAM Access Analyzer の結果を使用すると、外部エンティティと共有されているリソースを識別できるだけでなく、リソースのアクセス許可を展開する前に、ポリシーがリソースへのパブリックアクセスおよびクロスアカウントアクセスにどのように影響するかをプレビューできます。検出結果は視覚的な概要ダッシュボードにまとめられます。ダッシュボードでは、パブリックアクセスとクロスアカウントアクセスの検出結果が分割して強調表示され、それぞれの検出結果がリソースタイプごとに分類されます。ダッシュボードの詳細については、「IAM Access Analyzer の検出結果ダッシュボードの表示」を参照してください。

注記

外部エンティティとは、別の AWS アカウント、ルートユーザー、IAM ユーザーまたはロール、フェデレーティッドユーザー、AWS のサービス、匿名ユーザー、その他フィルターの作成に使用できるエンティティです。詳細については、「AWS IAM JSON ポリシーエレメント: Principal」を参照してください。

IAM Access Analyzer を有効にしたら、組織全体またはアカウントのアナライザーを作成します。選択した組織またはアカウントは、アナライザーの信頼ゾーンと呼ばれます。アナライザーは、信頼ゾーン内でサポートされているすべてのリソースをモニタリングします。信頼ゾーン内のプリンシパルによるリソースへのアクセスは、信頼できると見なされます。有効にすると、IAM Access Analyzer は信頼ゾーン内のすべてのサポートされているリソースに適用されているポリシーを分析します。最初の分析後、IAM Access Analyzer はこれらのポリシーを定期的に分析します。新しいポリシーが追加されるか、既存のポリシーが変更されると、IAM Access Analyzer は約 30 分以内に新しいポリシーまたは更新されたポリシーを分析します。

IAM Access Analyzer は、ポリシーの分析時に、信頼ゾーン外の外部プリンシパルに対してアクセスを許可するポリシーを見つけると、結果を生成します。各結果には、適切なアクションを実行できるように、リソース、リソースにアクセスできる外部エンティティ、および付与されているアクセス許可に関する詳細が含まれています。結果に含まれている詳細を表示して、リソースへのアクセスが意図的であるか、解決すべき潜在的なリスクであるかを判断できます。リソースにポリシーを追加するか、既存のポリシーを更新すると、IAM Access Analyzer はポリシーを分析します。また、IAM Access Analyzer は、すべてのリソースベースのポリシーを定期的に分析します。

特定の条件下でまれに、IAM Access Analyzer がポリシーの追加や更新の通知を受信しないことがあり、これにより、生成された検出結果に遅延が発生する可能性があります。Amazon S3 バケットに関連付けられたマルチリージョンアクセスポイントを作成または削除する場合、またはマルチリージョンアクセスポイントのポリシーを更新する場合、IAM Access Analyzer で検出結果を生成または解決するのに最大 6 時間かかる場合があります。また、AWS CloudTrail ログ配信で配信の問題がある場合、ポリシーを変更しても、検出結果でレポートされたリソースの再スキャンはトリガーされません。このような場合、IAM Access Analyzer は、次の定期スキャン時 (24 時間以内) に新しいポリシーまたは更新されたポリシーを分析します。結果でレポートされたアクセスの問題が、ポリシーを変更することで解決されることを確認する場合は、結果の詳細ページの [Rescan] (再スキャン) リンクを使用するか、IAM Access Analyzer API の StartResourceScan オペレーションを使用して、結果でレポートされたリソースを再スキャンできます。詳細については、「結果の解決」を参照してください。

重要

IAM Access Analyzer は、それが有効になっている AWS リージョンでのみ、リソースに適用されているポリシーを分析します。AWS 環境のすべてのリソースをモニタリングするには、サポートされている AWS リソースを使用している各リージョンでアナライザーを作成して IAM Access Analyzer を有効にする必要があります。

IAM Access Analyzer は、以下のリソースタイプを分析します。

• Amazon Simple Storage Service バケット

• Amazon Simple Storage Service ディレクトリバケット

• AWS Identity and Access Management ロール

• AWS Key Management Service キー

• AWS Lambda の関数とレイヤー

• Amazon Simple Queue Service キュー

• AWS Secrets Manager シークレット

• Amazon Simple Notification Service トピック

• Amazon Elastic Block Store ボリュームスナップショット

• Amazon Relational Database Service DB スナップショット

• Amazon Relational Database Service DB クラスタースナップショット

• Amazon Elastic Container Registry リポジトリ

• Amazon Elastic File System ファイルシステム

• Amazon DynamoDB Streams

• Amazon DynamoDB テーブル

IAM ユーザーおよびロールに付与された未使用のアクセスを特定する

IAM Access Analyzer は、AWS 組織およびアカウント内の使用されていないアクセス権限を特定して確認するのに役立ちます。IAM Access Analyzer は、AWS 組織およびアカウント内のすべての IAM ロールとユーザーを継続的にモニタリングし、未使用のアクセスに関する検出結果を生成します。検出結果では、未使用のロール、IAM ユーザーの未使用のアクセスキー、IAM ユーザーの未使用のパスワードが強調表示されます。これらの検出結果では、アクティブな IAM ロールとユーザーで未使用のサービスとアクションが表示されます。

外部のアクセスアナライザーと未使用のアクセスアナライザーの両方の検出結果が、視覚的な概要ダッシュボードにまとめられます。ダッシュボードでは、検出結果が最も多い AWS アカウントが強調表示され、その結果がタイプごとに分類されます。ダッシュボードのページの詳細については、「IAM Access Analyzer の検出結果ダッシュボードの表示」を参照してください。

IAM Access Analyzer では、AWS 組織およびアカウント内のすべてのロールについて、最終アクセス時間情報を確認することができ、使用されていないアクセス権限を特定するのに役立ちます。IAM アクションの最終アクセス時間情報は、AWS アカウント内のロールで使用されていないアクションを特定するのに役立ちます。詳細については、「最終アクセス情報を使用した AWS のアクセス許可の調整」を参照してください。

AWS ベストプラクティスに照らしてポリシーを検証する

IAM Access Analyzer のポリシー検証で提供される基本的なポリシーチェックを使用して、IAM ポリシーの文法や AWS ベストプラクティスに照らしてポリシーを検証できます。IAM コンソールの AWS CLI、AWS API、または JSON ポリシーエディタを使用して、ポリシーを作成または編集できます。セキュリティ警告、エラー、一般的な警告、ポリシーの提案を含むポリシー検証チェックの結果を表示できます。これらの検出結果から、機能的で AWS ベストプラクティスに準拠したポリシーの作成に役立つ実用的な推奨事項が示されます。ポリシー検証を使用したポリシーの検証の詳細については、「IAM Access Analyzer ポリシーの検証」を参照してください。

指定したセキュリティ標準に照らしてポリシーを検証する

IAM Access Analyzer カスタムポリシーチェックを使用して、指定したセキュリティ標準に照らしてポリシーを検証できます。IAM コンソールの AWS CLI、AWS API、または JSON ポリシーエディタを使用して、ポリシーを作成または編集できます。コンソールでは、更新したポリシーで新しいアクセス権限が付与されるかどうかを、既存のバージョンとの比較で確認できます。AWS CLI および AWS API を使用して、重要と考える特定の IAM アクションがポリシーによって許可されていないことを確認することもできます。これらのチェックでは、新しいアクセスを許可するポリシーステートメントが強調表示されます。ポリシーステートメントを更新し、ポリシーがセキュリティ標準に準拠するまでチェックを再実行できます。カスタムポリシーチェックを使用したポリシーの検証の詳細については、「IAM Access Analyzer カスタムポリシーチェック」を参照してください。

ポリシーの生成

IAM Access Analyzer は AWS CloudTrail ログを分析して、IAM エンティティ (ユーザーまたはロール) が使用しているアクションとサービスを特定します。次に、そのアクセスアクティビティに基づく IAM ポリシーを生成します。生成されたポリシーを使用して、エンティティのアクセス許可を IAM ユーザーまたはロールにアタッチすることで、そのエンティティのアクセス許可を絞り込むことができます。IAM Access Analyzer を使用したポリシーの生成の詳細については、「IAM Access Analyzer ポリシーの生成」を参照してください。

IAM Access Analyzer の価格設定

IAM Access Analyzer では、1 か月あたりにアナライザーごとに分析された IAM ロールとユーザーの数に基づいて、未使用のアクセス分析に対する料金が発生します。

• 作成した未使用のアクセスアナライザーに対して料金が発生します。

• 複数のリージョンにまたがる未使用のアクセスアナライザーを作成すると、アナライザーごとに料金が発生します。

• サービスにリンクされたロールは、未使用のアクセスアクティビティについては分析されず、分析される IAM ロールの総数には含まれません。

IAM Access Analyzer では、新しいアクセスをチェックするために IAM Access Analyzer に対して行った API リクエストの数に基づいて、カスタムポリシーチェックに対する料金が発生します。

IAM Access Analyzer の料金および価格設定の完全なリストについては、「IAM Access Analyzer pricing」を参照してください。

請求を表示するには、AWS Billing and Cost Management コンソールで請求およびコスト管理ダッシュボードに移動します。請求書には、料金の明細が記載された使用状況レポートへのリンクが記載されています。AWS アカウントの請求の詳細については、「AWS Billing ユーザーガイド」を参照してください。

AWSの請求、アカウント、イベントについてのご質問は、AWS Supportにお問い合わせください。