最小権限を達成するには、要件の変化に応じて適切なきめ細かい許可を付与する継続的なサイクルが必要です。AWS Identity and Access Management (IAM) Access Analyzer は、このサイクルの各ステップにおける許可の管理の効率化に役立ちます。

設定、検証、改善のイメージ

最小権限に向けての旅: 設定、検証、改善

細かな許可の設定

IAM Access Analyzer によるポリシー生成では、ログに記録されたアクセスアクティビティに基づいて、きめ細かなポリシーが生成されます。つまり、アプリケーションを構築して実行した後に、アプリケーションの操作に必要な許可のみを付与するポリシーを生成することができます。

Access Analyzer によるポリシー検証では、100 種類以上のポリシーチェックにより、安全で機能的なポリシーを作成、検証することができます。これらのチェックは、新しいポリシーの作成時や既存のポリシーの検証に使用できます。

意図的な許可の検証

Access Analyzer では、パブリックおよびクロスアカウントの検証結果により、既存のアクセスがお客様の意図に合っているかどうかを確認できます。Access Analyzer は、証明可能なセキュリティを用いてすべてのアクセスパスを分析し、リソースへの外部からのアクセスを包括的に分析します。Access Analyzer をオンにすると、新規または更新されたリソースのアクセス許可を継続的にモニタリングして、パブリックアクセスおよびクロスアカウントアクセスを許可するアクセス許可を特定することができます。例えば、Amazon S3 バケットポリシーが変更されると、Access Analyzer は、ユーザーがアカウントの外部からバケットにアクセスできることを警告します。

この同じ分析を使用して、Access Analyzer で、アクセス許可の変更をデプロイする前のパブリックアクセスとクロスアカウントアクセスのレビュー、および検証がより簡易になります。

未使用のアクセスを削除して許可を改善する

ラストアクセス情報は、AWS のサービスが最後に使用された時期に関するデータを提供し、許可を強化する機会を特定するのに役立ちます。この情報をもとに、付与された許可とそれらの許可が最後にアクセスされた時期を比較することで、未使用のアクセスを削除し、許可をさらに洗練させることができます。

また、IAM ロールやアクセスキーの最終使用タイムスタンプを利用して、不要になった IAM エンティティを削除することもできます。

証明可能なセキュリティによるパブリックおよびクロスアカウントの分析

Access Analyzer は、証明可能なセキュリティを使用して、リソースへのパブリックおよびクロスアカウントのアクセスに関する包括的な結果を提供します。証明可能なセキュリティは、自動化された推論技術に依存しており、AWS の許可を含むお客様のインフラストラクチャに関する重要な質問に答えるための数学的ロジックの応用です。Amazon Web Services のセキュリティにおける形式推論を読んで、自動化された AWS の推論ツールおよびメソッドが、クラウドに対してどのようにより高いレベルのセキュリティ保証を提供しているかを学びます。

Access Analyzer の詳細については、以下のビデオをご覧ください。

Use Access Analyzer with Amazon S3 buckets (8:06)
Preview access before deploying permissions changes (9:10)
Use Access Analyzer policy validation to set secure and functional policies (2:59)

IAM の機能について詳細はこちら

特徴のページにアクセスする
構築を始めましょう。
IAM の使用を開始する
ご不明な点がおありですか?
お問い合わせ