Amazon Web Services ブログ

Category: AWS IAM Access Analyzer

IAM Access Analyzer を利用して、アクセスアクティビティに基づいて IAM ポリシーを生成し、最小限の権限のアクセス許可を簡単に実装する

2019 年に AWS Identity and Access Management (IAM) Access Analyzer がリリースされ、既存のアクセス許可の設定状況を分析することで、意図しないパブリックおよびクロスアカウントアクセスを削除できるようになりました。2021 年 3 月、IAM Access Analyzer は、ポリシーの作成中にセキュリティで機能的なアクセス許可を設定するのに役立つポリシー検証機能を追加しました。そして、IAM Access Analyzer はさらに一歩進み、ポリシーを生成します。IAM Access Analyzer を使用して、AWS CloudTrail ログのアクセスアクティビティに基づいて、きめ細かなポリシーを生成できるようになりました。ポリシーの生成を要求すると、IAM Access Analyzer が動作して、CloudTrail ログからアクティビティを識別してポリシーを生成します。生成されたポリシーは、ワークロードに必要なアクセス許可のみを付与し、最小権限のアクセス許可を簡単に実装できるようになります。 開発者は、開発環境で構築する場合は、より広範なアクセス許可から始めて、必要な AWS 機能を試して判断します。ワークロードが完成に近づくにつれて、使用されるサービスとアクションにのみアクセス許可を絞り込む必要があります。これにより、開発環境から運用環境にワークロードを移行する際にポリシーがセキュリティのベストプラクティスに従っていることが保証されます。IAM Access Analyzerを使用して、必要なアクセスのみを付与するきめ細かなポリシーをより簡単に生成できるようになりました。この記事では、IAM Access Analyzer を使用したポリシー生成の仕組みの概要を説明し、ポリシーを生成、カスタマイズ、および作成する手順について説明します。 概要 ポリシーを生成するには、IAM コンソールに移動して、ロールに移動します。そこから、CloudTrail 証跡と日付範囲を指定してポリシーをリクエストします。その後、IAM Access Analyzer は CloudTrail ログの分析を実行しポリシーを生成します。IAM Access Analyzer がポリシーを生成したら、ポリシーを取得してカスタマイズできます。一部のサービスでは、IAM Access Analyzer は CloudTrail に記録されたアクションを識別し、アクションレベルのポリシーを生成します。IAM Access […]

Read More

IAM Access Analyzer の更新 – ポリシー検証

AWS Identity and Access Management (IAM) は AWS の重要で基本的な部分です。特定の AWS のサービスやリソースへのアクセスのレベルを定義する IAM ポリシーおよびサービスコントロールポリシー (SCP) を作成して、そうしたポリシーを IAM プリンシパル (ユーザーおよびロール)、ユーザーの グループ、または AWS リソースにアタッチすることができます。IAM で得られるきめ細かなコントロールでは、IAM を適切に使用する責任が発生します。ほとんどの場合、最小権限アクセス確立するのが妥当です。IAM チュートリアルは詳細を学ぶのに役立ち、IAM Access Analyzer は、外部エンティティと共有されているリソースを特定するのに役立ちます。最近、IAM Access Analyzer の更新を開始しました。これにより、アクセス許可の変更をデプロイする前に S3 バケットへのアクセスを検証することができます。 新しいポリシーの検証 本日、IAM Access Analyzer にポリシー検証を追加することを発表いたします。この強力な新機能は、時間をかけてテストされた AWS のベストプラクティスを活用する IAM ポリシーと SCP を構築するのに役立ちます。 デベロッパーおよびセキュリティチームが使用できるように設計されており、IAM プリンシパルにポリシーがアタッチされる前に検証が行われます。セキュリティ体制を改善し、大規模なポリシー管理を簡素化できるように設計された 100 以上のチェックが実行されます。各チェックの結果には、詳細な情報や具体的な推奨事項が含まれます。 検証には、IAM コンソールの JSON ポリシーエディタ、ならびにコマンドライン (AWS Access Analyzer 検証ポリシー) […]

Read More