投稿日: Dec 2, 2019
AWS Identity and Access Management (IAM) Access Analyzer は新しい機能で、セキュリティチームと管理者が、リソースへの意図したアクセスのみがポリシーで提供されているかを簡単に確認できるようにします。リソースポリシーにより、お客様は特定のリソースにアクセスできるユーザーと、クラウド環境全体でそのリソースを使用する方法を細かく制御できます。IAM コンソール を 1 回クリックするだけで、お客様は、アカウント全体で IAM Access Analyzer を有効にすることができます。これにより、Amazon S3 バケット、AWS KMS キー、Amazon SQS キュー、AWS IAM ロール、および AWS Lambda 関数に関連付けられたポリシーを使用して、付与されたアクセス許可を継続的に分析できます。
IAM Access Analyzer は、ポリシーの変更を継続的にモニタリングします。これにより、お客様は、ポリシーの追加または更新時の問題を把握するのに、断続的な手動チェックに頼る必要がなくなります。IAM Access Analyzer を使用すると、お客様はリソース共有に関するセキュリティおよびガバナンスのベストプラクティスに違反するリソースポリシーに積極的に対処し、意図しないアクセスからリソースを保護できます。IAM Access Analyzer は、AWS IAM、Amazon S3、および AWS Security Hub コンソール、それの API を使って、詳細な分析結果を提供します。結果は、監査目的のレポートとしてエクスポートすることもできます。IAM Access Analyzer の結果は、アカウントの外部から AWS リソースへの公開アクセスおよびクロスアカウントアクセス許可を持つユーザーは誰かという問いに対して明確な答えを出します。
IAM Access Analyzer は、自動推論と呼ばれる数学的分析の形式を使用します。これは、ロジックと数学的推論を適用して、リソースポリシーで許可されたすべてのアクセスパスを特定します。つまり、IAM Access Analyzer はお客様の環境全体で数百または数千ものポリシーを数秒で評価し、アカウントの外部からアクセス可能なリソースについて包括的な結果を出すことができます。これを証明可能安全性と呼びます。
このリリースにより、すべての商用 AWS リージョンにおいて、API を介して IAM Access Analyzer を IAM コンソールでご利用いただけます。追加費用はかかりません。IAM Access Analyzer は、AWS GovCloud (米国) の API からもご利用いただけます。
IAM Access Analyzer の詳細については、機能ページをご覧ください。