最小権限を達成するには、要件の変化に応じて適切なきめ細かい許可を付与する継続的なサイクルが必要です。AWS Identity and Access Management (IAM) Access Analyzer は、このサイクルの各ステップにおける許可の管理の効率化に役立ちます。
最小権限に向けての旅: 設定、検証、改善
細かな許可の設定
意図的な許可の検証
IAM Access Analyzer では、パブリックおよびクロスアカウントの検証結果により、既存のアクセスがお客様の意図に合っているかどうかを確認できます。IAM Access Analyzer は、証明可能なセキュリティを用いてすべてのアクセスパスを分析し、リソースへの外部からのアクセスを包括的に分析します。IAM Access Analyzer をオンにすると、新規または更新されたリソースのアクセス許可を継続的にモニタリングして、パブリックアクセスおよびクロスアカウントアクセスを許可するアクセス許可を特定することができます。例えば、Simple Storage Service (Amazon S3) バケットポリシーが変更されると、IAM Access Analyzer は、ユーザーがアカウントの外部からバケットにアクセスできることを警告します。
この同じ分析を使用して、IAM Access Analyzer で、アクセス許可の変更をデプロイする前のパブリックアクセスとクロスアカウントアクセスのレビュー、および検証がより簡易になります。
未使用のアクセスを削除して許可を改善する
ラストアクセス情報は、AWS のサービスが最後に使用された時期に関するデータを提供し、許可を強化する機会を特定するのに役立ちます。この情報をもとに、付与された許可とそれらの許可が最後にアクセスされた時期を比較することで、未使用のアクセスを削除し、許可をさらに洗練させることができます。
また、IAM ロールやアクセスキーの最終使用タイムスタンプを利用して、不要になった IAM エンティティを削除することもできます。
証明可能なセキュリティによるパブリックおよびクロスアカウントの分析
IAM Access Analyzer は、証明可能なセキュリティを使用して、リソースへのパブリックおよびクロスアカウントのアクセスに関する包括的な結果を提供します。証明可能なセキュリティは、自動化された推論技術に依存しており、AWS の許可を含むお客様のインフラストラクチャに関する重要な質問に答えるための数学的ロジックの応用です。Amazon Web Services のセキュリティにおける形式推論を読んで、自動化された AWS の推論ツールおよびメソッドが、クラウドに対してどのようにより高いレベルのセキュリティ保証を提供しているかを学びます。
IAM Access Analyzer の詳細については、以下のビデオをご覧ください。
IAM の機能について詳細はこちら