AWS Identity and Access Management (IAM) は、コンピューティングインスタンスやストレージバケットといったAWS のサービスとリソースに対するアクセスとアクセス許可を制御するのに役立ちます。例えば、IAMを使用することにより、ユーザーはリソースポリシーを使って特定のリソースにアクセスできるユーザーとその使用方法を詳細に制御できます。

クラウドを使用することにより、迅速にリソースを増やすことができ、数千ものサーバーをわずか数分でデプロイできます。そのため、リソースポリシー全体をすばやく確認して、不正なパブリックアクセスまたはクロスアカウントアクセスされるリソースを特定できることが特に重要になります。IAM Access Analyzer は、AWS アカウントの外部からアクセスできるリソースを特定する総合的な解析結果を生成します。IAM Access Analyzer は、数学的なロジックや推論を使用してリソースポリシーを評価し、ポリシーで許可されているアクセスパスを特定することでこれを行います。IAM Access Analyzer は、新規または更新されたポリシーを継続的に監視し、Amazon S3 バケット、AWS KMS キー、Amazon SQS キュー、AWS IAM ロール、および AWS Lambda 関数のポリシーを使用することで、付与されたアクセス許可を分析します。

セキュリティのベストプラクティスとして、時間の経過と共に、アクセス許可が実際にどのように使用されているかを確認することも重要です。そのため、最小限のアクセス許可の原則に従って、不要なアクセス許可を削除できます。IAM は、「最後にアクセスされたサービス」のデータを提供します。これは、ユーザーやロールなどの IAM ポリシーまたはエンティティが、最後にサービスを使用したときのタイムスタンプです。これで、ユーザー、グループ、またはロールが特定のタスクを実行するために不要なアクセス許可を削除することにより、未使用のアクセス許可を簡単に識別し、セキュリティ状態を改善できます。AWS Organizations マスターアカウントからも、サービスが最後にアクセスされた時刻を、組織のルート、組織単位 (OU) と共に確認できます。「最後にアクセスされたサービス」データを使用して IAM または Organizations のエンティティに付与するアクセス許可について決定する方法の詳細については、サービスの最終アクセス時間データを使用するためのシナリオ例を参照してください。

利点

パブリックやクロスアカウントのアクセシビリティに関するリソースポリシーを分析する時間の節約

IAM Access Analyzer は、数学的なロジックと推論を使用します。これにより、数日または数週間かかる場合のあるヒューリスティックやパターンマッチング手法と比較して、AWS アカウントの外部からアクセスできるリソースに関する総合的な解析結果を生成する時間を大幅に短縮します。IAM Access Analyzer は、Amazon S3 バケット、AWS KMS キー、Amazon SQS キュー、AWS IAM ロール、および AWS Lambda 関数のポリシーを使用して、付与されたアクセス許可を評価します。IAM Access Analyzer は、AWS IAM、Amazon S3、および AWS Security Hub コンソール、それの API を使って、詳細な解析結果を提供します。

継続的に監視し、アクセス許可を調整するのに役立ちます。

IAM Access Analyzerは、新規または更新されたリソースポリシーを継続的に監視および分析するので、潜在的なセキュリティへの影響を把握するのに役立ちます。例えば、Amazon S3 バケットポリシーが変更されると、IAM は、ユーザーがアカウントの外部からバケットにアクセスできることを警告します。

IAM Access Analyzer に加えて、IAM は、IAM ポリシーまたはエンティティが最後にサービスを使用したときの「最後にアクセスされたサービス」タイムスタンプデータも提供するため、未使用のアクセス許可を簡単に特定および削除して、特定のタスクを実行するときに必要なアクセス許可のみを付与することで、セキュリティ状態を改善できます。

最高レベルのセキュリティ保証の提供

IAM Access Analyzer は、自動推論 (数学的なロジックと推論の形式) を使用し、リソースポリシーで許可されたすべてのアクセスパスを特定します。これらの分析結果を証明可能なセキュリティと呼びます。これは、クラウドそのものやクラウド内のデータのセキュリティに対するより高いレベルの保証です。

一部のツールで特定のアクセスシナリオをテストすることもできますが、IAM Access Analyzer では、数学的な手法を使用して考えうるすべてのアクセスリクエストを分析することができ、目的のアクセスのみがポリシーで有効になるという確信が高まります。

仕組み

IAM Access Analyzer の仕組み

ポリシー分析の自動推論

自動推論とは、数学と形式論理学に関連する推論のさまざまな側面を自動化する認知科学の分野です。AWS Automated Reasoning Group は、アルゴリズムを設計し、クラウドリソース、設定、インフラストラクチャについて推論できるコードを構築して、それらの挙動の特徴に関する保証を迅速に提供します。リソースポリシーの場合、AWS はそれらを正確な論理式に変換し、自動推論を使用して、どのリソースがパブリックアクセスまたはクロスアカウントアクセスを許可するかを総合的に集約します。「AWS における形式推論」を読んで、アマゾン ウェブ サービス内の自動化された推論ツールおよびメソッドが、クラウドに対してどのようにより高いレベルのセキュリティ保証を提供しているかを学びます。

AWS IAM の機能についてより詳細に学ぶ

特徴のページにアクセスする
構築を始めましょう。
AWS IAM の使用を開始する
ご不明な点がおありですか?
お問い合わせ