投稿日: Apr 19, 2021

お客様は、IAM を使用して、アクセスを分析して最小権限を実現できます。チームのために新しいアクセス権限を設定しようとしている場合、IAM Access Analyzer ポリシー生成を使用することで、アクセスアクティビティに基づいてポリシーを作成し、きめ細かいアクセス権限を設定できます。既存のアクセス権限を分析および調整するには、最後にアクセスした情報を使用して、IAM ポリシー内の未使用のアクションを識別し、アクセスを減らすことができます。当社が 2020 年に最後にアクセスされたアクションの提供を開始したとき、重要なビジネスデータへのアクセスを制限するのに役立つ S3 管理アクションから始めました。現在、IAM は、最後にアクセスした情報の範囲を Amazon EC2、AWS IAM、および AWS Lambda 管理アクションまで拡張することで、アクセス履歴の可視性を高めています。これにより、IAM ユーザーまたはロールがアクションにアクセスしたときに最新のタイムスタンプを提供することで、アクセスの分析と EC2、IAM、および Lambda のアクセス権限の削減が容易になります。最後にアクセスした情報を使用して、IAM ポリシーで未使用のアクションを識別し、確信を持ってアクセス権限を絞り込むことができます。 

IAM コンソールを介して、または AWS コマンドラインインターフェイス (AWS CLI) またはプログラマティッククライアントで API を使用することにより、商用リージョンで IAM が最後にアクセスした情報を使用できます。この機能の詳細については、AWS ドキュメントをご覧ください。