IAM は、アクセス分析を支援し、最小限の特権に沿って案内します。AWS でビルドするときは、IAM ポリシーを使用してアクセス許可の詳細を設定する必要があります。IAM Access Analyzer は、ポリシーの作成中にポリシーを積極的に検証するための 100 を超えるポリシーチェックを提供します。これらの確認では、ポリシーを分析し、エラー、警告、および提案を、安全で機能的なアクセス許可を設定するための実用的な推奨事項とともに報告します。お気に入りのワードプロセッサの文法チェックと同様に、IAM Access Analyzer は、IAM コンソールでポリシーエディタを使用してポリシーを作成するときに、これらのポリシーチェックを自動的に実行します。Access Analyzer API を使用して、プログラムでポリシーを検証することもできます。また IAM Access Analyzer で、アクセス権限の変更をデプロイする前のリソースへのパブリックアクセスとクロスアカウントアクセスを検証可能にAmazon S3 コンソールまたは IAM Access Analyzer API を使用して、アクセスをプレビューできます。

最小権限の導入を続けると、IAM Access Analyzer は既存のアクセスを確認することができ、外部または未使用の意図しないアクセス許可を識別して削除できるようにします。パブリックアクセスまたはクロスアカウントアクセスでリソースを識別できるようにするために、IAM Access Analyzer は自動推論を使用して、AWS アカウントの外部からアクセスできるリソースの包括的な結果を生成します。この分析では、IAM Access Analyzer は、新規または更新されたリソースポリシーを継続的に監視し、Amazon S3 バケット、AWS KMS キー、Amazon SQS キュー、AWS IAM ロール、AWS Lambda 関数、および AWS Secrets Manager シークレットに付与されたアクセス許可を分析します。未使用のアクセス許可を削除できるように、IAM は、IAM エンティティがサービスまたはアクションを最後に使用した日時を指定するための最終アクセス情報を提供します。これにより、未使用権限を簡単に識別して削除できるため、アクセスを減らすことができます。アクセス許可のガードレール設定を支援するために、組織単位 (OU) やアカウントなどの AWS 組織内のエンティティがサービスに最後にアクセスした時刻を分析することもできます。「最後にアクセスされた」データを使用して IAM または Organizations のエンティティに付与するアクセス許可について決定する方法の詳細については、サービスの最終アクセス時間データを使用するためのシナリオ例を参照してください。IAM Access Analyzer API を介して IAM Access Analyzer の機能を IAM コンソールでご利用いただけます。追加費用はかかりません。

ベネフィット

ガイド付きポリシーの作成

IAM Access Analyzer は、安全で機能的なアクセス許可を設定するためのポリシー確認を実施します。これらの確認は、ポリシーを分析し、エラー、警告、および提案を、ポリシーの検証に役立つ実用的な推奨事項とともに報告します。お気に入りのワードプロセッサの文法チェックと同様に、IAM Access Analyzer は、IAM コンソールで JSON ポリシーエディタを使用して ID ポリシーを作成するときに、これらのチェックを自動的に実行します。IAM Access Analyzer API を使用して、プログラムでポリシーを検証することもできます。

パブリックアクセスとクロスアカウントアクセスの包括的な分析

IAM Access Analyzer ではポリシーを分析して、リソースへの意図しないパブリックアクセスまたはクロスアカウントアクセスを特定して解決することができます。IAM Access Analyzer は、数学的論理と推論を使用して、AWS アカウントの外部からアクセスできるリソースの包括的な結果を生成します。これらの結果は、意図しない可能性のあるパブリックアクセスまたはクロスアカウントアクセスを持つリソースを特定する際に役に立ちます。IAM Access Analyzer は、Amazon S3 バケット、AWS KMS キー、Amazon SQS キュー、AWS IAM ロール、AWS Lambda 関数のポリシーを使用して付与されたアクセス許可を評価し、AWS IAM、Amazon S3、AWS Security Hub コンソール、およびその API を介して詳細な結果を提供します。また IAM Access Analyzer により、検出結果をプレビューし、ポリシーの変更が、意図されているリソースへのアクセス権のみを付与することを検証できます。検出結果をプレビューすることで、アクセス権限をデプロイする前の意図しないアクセスを防ぐことができます。

継続的に監視し、アクセス許可を減らす

IAM Access Analyzer は、新規または更新されたリソースポリシーを継続的に監視および分析して、パブリックアクセスおよびクロスアカウントアクセスを許可するアクセス許可を特定することができます。例えば、Amazon S3 バケットポリシーが変更されると、IAM Access Analyzer は、ユーザーがアカウントの外部からバケットにアクセスできることを警告します。

IAM は、IAM ロールなどの IAM エンティティがサービスまたはアクションを最後に使用した日時に関する最終アクセスタイムスタンプ情報も提供します。これにより、未使用のアクセス許可を削除し、タスクの実行に必要なアクセスのみを許可することで、アクセス許可を減らすことができます。

最高レベルのセキュリティ保証の提供

AWS アカウントの外部からアクセスできるリソースの包括的な調査結果を生成するために、IAM Access Analyzer は、自動推論、数理論理学および推論の形式を使用します。これらの分析結果を証明可能なセキュリティと呼びます。これは、クラウドそのものやクラウド内のデータのセキュリティに対するより高いレベルの保証です。 一部のツールでは特定のアクセスシナリオをテストできますが、IAM Access Analyzer は数学を使用して、考えられるすべてのアクセスリクエストを分析し、外部アクセスの結果を生成します。これにより、外部アクセスの確認を自信を持って行うことができます。

仕組み - リソースへの外部アクセスの監視

IAM Access Analyzer の仕組み

外部アクセス分析のための自動推論

自動推論とは、数学と形式論理学に関連する推論のさまざまな側面を自動化する認知科学の分野です。AWS Automated Reasoning Group は、アルゴリズムを設計し、クラウドリソース、設定、インフラストラクチャについて推論できるコードを構築して、それらの挙動の特徴に関する保証を迅速に提供します。リソースポリシーの場合、AWS はそれらを正確な論理式に変換し、自動推論を使用して、どのリソースがパブリックアクセスまたはクロスアカウントアクセスを許可するかを総合的に集約します。「AWS における形式推論」を読んで、アマゾン ウェブ サービス内の自動化された推論ツールおよびメソッドが、クラウドに対してどのようにより高いレベルのセキュリティ保証を提供しているかを学びます。

AWS IAM の機能についてより詳細に学ぶ

特徴のページにアクセスする
構築を始めましょう。
AWS IAM の使用を開始する
ご不明な点がおありですか?
お問い合わせ