Amazon Web Services ブログ

Tag: least privilege

IAM Access Analyzer を利用して、アクセスアクティビティに基づいて IAM ポリシーを生成し、最小限の権限のアクセス許可を簡単に実装する

2019 年に AWS Identity and Access Management (IAM) Access Analyzer がリリースされ、既存のアクセス許可の設定状況を分析することで、意図しないパブリックおよびクロスアカウントアクセスを削除できるようになりました。2021 年 3 月、IAM Access Analyzer は、ポリシーの作成中にセキュリティで機能的なアクセス許可を設定するのに役立つポリシー検証機能を追加しました。そして、IAM Access Analyzer はさらに一歩進み、ポリシーを生成します。IAM Access Analyzer を使用して、AWS CloudTrail ログのアクセスアクティビティに基づいて、きめ細かなポリシーを生成できるようになりました。ポリシーの生成を要求すると、IAM Access Analyzer が動作して、CloudTrail ログからアクティビティを識別してポリシーを生成します。生成されたポリシーは、ワークロードに必要なアクセス許可のみを付与し、最小権限のアクセス許可を簡単に実装できるようになります。 開発者は、開発環境で構築する場合は、より広範なアクセス許可から始めて、必要な AWS 機能を試して判断します。ワークロードが完成に近づくにつれて、使用されるサービスとアクションにのみアクセス許可を絞り込む必要があります。これにより、開発環境から運用環境にワークロードを移行する際にポリシーがセキュリティのベストプラクティスに従っていることが保証されます。IAM Access Analyzerを使用して、必要なアクセスのみを付与するきめ細かなポリシーをより簡単に生成できるようになりました。この記事では、IAM Access Analyzer を使用したポリシー生成の仕組みの概要を説明し、ポリシーを生成、カスタマイズ、および作成する手順について説明します。 概要 ポリシーを生成するには、IAM コンソールに移動して、ロールに移動します。そこから、CloudTrail 証跡と日付範囲を指定してポリシーをリクエストします。その後、IAM Access Analyzer は CloudTrail ログの分析を実行しポリシーを生成します。IAM Access Analyzer がポリシーを生成したら、ポリシーを取得してカスタマイズできます。一部のサービスでは、IAM Access Analyzer は CloudTrail に記録されたアクションを識別し、アクションレベルのポリシーを生成します。IAM Access […]

Read More