投稿日: Nov 26, 2023
AWS Identity and Access Manager (IAM) Access Analyzer では、デプロイ前に IAM ポリシーがお客様のセキュリティ基準に準拠していることを確認するためのカスタムポリシーチェックが提供されるようになりました。カスタムポリシーチェックは、自動推論 (数学的証明で裏付けられたセキュリティ保証) の力を利用して、ポリシーに準拠しない更新をセキュリティチームが事前に検出できるようにします。たとえば、以前のバージョンよりも許容度が高い IAM ポリシーの変更などです。セキュリティチームはこれらのチェックを使用してレビューを効率化し、セキュリティ基準に準拠するポリシーを自動的に承認し、準拠していない場合はより詳細に調査することができます。この新しいタイプの検証により、クラウドでのセキュリティ保証が強化されます。
セキュリティチームと開発チームは、ポリシーレビューを自動化して拡張することで、イノベーションを加速できます。チームは、開発者が CI/CD パイプラインなどのポリシーを作成するツールや環境にカスタムポリシーチェックを統合できます。開発者は IAM ポリシーを作成または変更し、それをコードリポジトリにコミットできます。カスタムポリシーチェックにより、ポリシーがセキュリティ基準に準拠していることが確認された場合は、ポリシーレビューの自動化によりデプロイプロセスを続行できます。カスタムポリシーチェックにより、ポリシーがセキュリティ基準に準拠していないと判断された場合、開発者はポリシーを実稼働環境にデプロイする前に確認して更新できます。
IAM Access Analyzer のカスタムポリシーチェックは、IAM が利用可能な AWS リージョンと AWS GovCloud (米国) リージョン (AWS 中国リージョンを除く) で利用できます。