IAM Access Analyzer で AWS GovCloud (米国) リージョンにおいて追加の分析の検出結果とチェックをサポート
AWS Identity and Access Manager (IAM) Access Analyzer では、AWS GovCloud (米国東部および米国西部) リージョンにおいて未使用アクセス検出結果、内部アクセス検出結果、およびカスタムポリシーチェックがサポートされるようになり、最小特権を実現するためのガイドが提供されます。
IAM Access Analyzer は継続的にアカウントを分析して未使用のアクセスを特定し、検出結果を表示して未使用のロール、IAM ユーザーの未使用のアクセスキー、IAM ユーザーの未使用のパスワードを特定します。アクティブな IAM ロールとユーザーについては、検出結果から未使用のサービスとアクションを可視化できます。内部アクセス検出結果により、AWS 組織内で Amazon S3、Amazon DynamoDB、または Amazon Relational Database Service (RDS) のリソースにアクセスできるユーザーを特定できます。自動推論を使用してすべての ID ポリシー、リソースポリシー、サービスコントロールポリシー (SCP)、リソースコントロールポリシー (RCP) を評価し、選択した重要なリソースにアクセスできるすべての IAM ユーザーとロールを表示します。IAM コンソールで新しいアナライザーを有効にすると、更新されたダッシュボードでは、検出結果が最も多い AWS アカウントとリソースが強調表示され、検出結果のタイプ別の内訳が表示されます。セキュリティチームは、2 つの方法で新たな検出結果に対応できます。意図しないアクセスを修正するための即時のアクションを実行するか、Amazon EventBridge を通じて自動通知を設定し、開発チームに修正対応を依頼します。
カスタムポリシーチェックでも自動推論の力を利用して、ポリシーに準拠しない更新をセキュリティチームが事前に検出できるようにします。たとえば、以前のバージョンよりも許容度が高い IAM ポリシーの変更などです。セキュリティチームはこれらのチェックを使用してレビューを効率化し、セキュリティ基準に準拠するポリシーを自動的に承認し、準拠していない場合はより詳細に調査することができます。
IAM Access Analyzer の詳細については、以下をご覧ください。