メインコンテンツに移動

概要

IAM Access Analyzer は、アクセス権を設定、検証、調整するツールを提供することで、最小特権を実現するためのガイドを提供します。IAM Access Analyzer は、包括的なアクセス許可分析およびポリシー検証ツールとして、アクセスの検出結果、ポリシーチェック、ポリシー生成を行います。

IAM Access Analyzer は、証明可能セキュリティを使用して、外部アクセス、内部アクセス、未使用アクセスに関する包括的な検出結果を提供し、カスタムポリシーチェックを行います。 自動推論技術に依存する証明可能セキュリティは、AWS アクセス許可を始めとするお客様のインフラストラクチャに関する重要な質問に答えるための数学的論理の応用です。AWS の自動推論のツールと方法がどのようにしてクラウドのセキュリティをより高いレベルで保証しているかについては、「自動推論とは何ですか?」を参照するか、ホワイトペーパー「Amazon Web Services のセキュリティに関する正式な推論」をダウンロードしてください。

ページトピック

細かな許可の設定

すべて開く

IAM アクセスアナライザーは、AWS CloudTrail ログにキャプチャされたアクセスアクティビティに基づいてきめ細かなポリシーを生成します。つまり、アプリケーションをビルドして実行した後は、アプリケーションの操作に必要な権限のみを付与する IAM ポリシーを生成できます。

IAM Access Analyzer を使用すると、IAM のベストプラクティスに基づいて安全で機能的なポリシーを作成し、検証できます。たとえば、ポリシーのリソース要素にアスタリスクが付いた iam: PassRole アクセス権限が含まれている場合、IAM Access Analyzer はこれをセキュリティ警告としてフラグ付けします。IAM Access Analyzer のポリシー検証の結果には、セキュリティ警告、エラー、一般警告、ポリシーに対する IAM ベストプラクティスの提案など、4 つのタイプがあります。検出結果は、機能的で AWS のベストプラクティスやセキュリティ基準に準拠したポリシーの作成に役立つ実用的な推奨事項を提供します。

誰が何にアクセスできるかを確認する

すべて開く

IAM Access Analyzer は、既存の外部アクセスが意図したとおりであることを確認するように指示します。IAM Access Analyzer は自動推論ツールを使用して、証明可能なセキュリティ保証を実現し、AWS リソースへのすべての外部アクセスを分析します。IAM Access Analyzer をオンにすると、新規または更新されたリソースのアクセス許可を継続的にモニタリングして、パブリックアクセスおよびクロスアカウントアクセスを許可するアクセス許可を特定することができます。たとえば、 Amazon S3 バケットポリシーが変更された場合、IAM Access Analyzer は、アカウント外のユーザーがバケットにアクセスできるようになったことを警告します。これと同じ分析を使用して、IAM Access Analyzer では、権限の変更をデプロイする前に、パブリックアクセスとクロスアカウントアクセスを簡単に確認および検証できます。

IAM Access Analyzer は、AWS 組織内で重要な AWS リソースにアクセスできるユーザーを識別します。自動推論を使用して複数のポリシーを総合的に評価し、ユーザーまたはロールが S3、DynamoDB、または RDS リソースにアクセスできる場合に検出結果を生成します。検出結果は統一されたダッシュボードに集約され、アクセスの確認と管理が簡素化されます。Amazon EventBridge を使用すると、開発チームに新たな検出結果を自動的に通知し、意図しないアクセスを排除できます。内部アクセスに関する検出結果は、セキュリティチームに対して重要なリソースへのアクセス制御を強化するための可視性を提供し、コンプライアンスチームがアクセス制御に関する監査要件を証明するのに役立ちます。

IAM Access Analyzer は、デプロイ前に IAM ポリシーがお客様のセキュリティ標準に準拠していることを検証します。カスタムポリシーチェックは、自動推論の力を利用して、ポリシーに準拠しない更新をセキュリティチームが事前に検出できるようにします。たとえば、以前のバージョンよりも許容度が高い IAM ポリシーの変更などには、追加レビューのフラグが付けられます。セキュリティチームはこれらのチェックを使用してレビューを効率化し、セキュリティ基準に準拠するポリシーを自動的に承認し、準拠していない場合はより詳細に調査することができます。セキュリティチームと開発チームは、カスタムポリシーチェックを、開発者がポリシーを作成するツールや環境 (CI/CD パイプラインなど) に統合することで、ポリシーレビューを大規模に自動化できます。

アクセスを絞り込む

すべて開く

IAM Access Analyzer を使用すると、未使用アクセスの検査が簡単になり、最小特権になるように導かれます。セキュリティチームは IAM Access Analyzer を使用して、AWS 組織全体の未使用アクセスを可視化し、権限の適切なサイズを自動化できます。IAM Access Analyzer は、アカウントを継続的に分析して未使用アクセスを特定し、未使用アクセスの修正に役立つ実用的なガイダンスを用いた推奨事項を提供します。検出結果は一元化されたダッシュボードで集約されるので、セキュリティチームが検出結果を確認し、その量に基づいてアカウントに優先順位を付けるのに役立ちます。検出結果では、未使用のロール、IAM ユーザーの未使用のアクセスキー、IAM ユーザーの未使用のパスワードが明らかになっています。アクティブな IAM ロールとユーザーについては、検出結果から未使用のサービスとアクションを可視化できます。セキュリティチームは通知ワークフローを自動化して、開発チームが未使用のアクセスを特定して削除できるようにします。

IAM Access Analyzer は、特定の AWS サービスの AWS サービスとアクションが IAM ポリシーを通じてロールまたはユーザーによって最後に使用された日時に関する最終アクセス情報を提供します。これにより、権限を絞り込む機会を特定できます。この情報を使用して、ロールまたはユーザーに付与された権限が最後にアクセスされたときにそれらの権限を比較して、未使用のアクセスを削除したり、権限をさらに絞り込んだりできます。

統合

すべて開く

IAM Access Analyzer を AWS Security Hub クラウドセキュリティポスチャ管理 (CSPM) と統合すると、外部および未使用のアクセス結果を CSPM に送信し、セキュリティ業界の標準やベストプラクティスと照合することができます。これにより、セキュリティパターンをさらに分析し、最優先のセキュリティ問題を特定できます。Security Hub は、セキュリティ体制の分析に IAM Access Analyzer からの検出結果を含めることができます。

IAM Access Analyzer を Amazon EventBridge と統合することで、AWS アカウント内の過剰なアクセス権限を確認して削除するようチームに警告することで、権限の調整を自動化および拡張できます。IAM アクセスアナライザーは、結果が生成、削除、またはステータスが変化したときに、イベントを EventBridge に送信します。検出結果と検出結果に関する通知を受け取るには、EventBridge でイベントルールを有効にして作成する必要があります。