ようこそ

AWS Identity and Access Management Access Analyzer は、一連の機能を提供することで、IAM ポリシーを設定、検証、および絞り込むのに役立ちます。その機能には、外部アクセスと未使用のアクセスの検出結果、ポリシーを検証するための基本ポリシーチェックとカスタムポリシーチェック、きめ細かなポリシーを生成するためのポリシー生成が含まれます。IAM Access Analyzer を使用して外部アクセスまたは未使用のアクセスを特定するには、まずアナライザーを作成する必要があります。

外部アクセスアナライザーは、外部プリンシパルへのアクセスを許可するリソースポリシーを特定できるようにすることで、リソースにアクセスする潜在的なリスクを特定するのに役立ちます。これは、ロジックベースの推論を使用して AWS 環境内のリソースベースのポリシーを分析することで実現します。外部プリンシパルは AWS アカウント、別の 、ルートユーザー、IAM ユーザーまたはロール、フェデレーティッドユーザー、 AWS サービス、または匿名ユーザーです。IAM Access Analyzer を使用して、アクセス許可の変更をデプロイする前に、 リソースへのパブリックアクセスとクロスアカウントアクセスをプレビューすることもできます。

未使用のアクセスアナライザーは、未使用の IAM ロール、未使用のアクセスキー、未使用のコンソールパスワード、および未使用のサービスおよびアクションレベルのアクセス許可を持つ IAM プリンシパルを識別できるようにすることで、潜在的な ID アクセスリスクを特定するのに役立ちます。

検出結果以外にも、IAM Access Analyzer には、アクセス許可の変更をデプロイする前に IAM ポリシーを検証するための基本ポリシーチェックとカスタムポリシーチェックが用意されています。 CloudTrail ログに記録されたアクセスアクティビティを使用して生成されたポリシーをアタッチすることで、ポリシー生成を使用してアクセス許可を絞り込むことができます。

このガイドでは、プログラムで呼び出すことができる IAM Access Analyzer オペレーションについて説明します。IAM Access Analyzer の一般的な情報については、「IAM ユーザーガイドAWS Identity and Access Management Access Analyzer」の「」を参照してください。

このドキュメントは、2024 年 7 月 1 日に最後に公開されました。