AWSは最近、AWS IAM Access Analyzerツール内で、IAMロールとユーザーに付与された未使用のアクセスを検出するサポートを追加した。新しいIAM Access Analyzerの未使用アクセス検出は、未使用のロール、未使用のIAMユーザーアクセスキーとパスワード、定義された使用ウィンドウ内の未使用パーミッションを特定できる。この分析は、組織内のアカウント全体で実行でき、委任された管理者アカウントから制御できる。
AWS IAM Access Analyzerツールには現在、2種類のアナライザ:外部アクセス発見と未使用アクセス発見がある。この2つのアナライザは別物であり、個別に作成する必要がある。アナライザは、組織レベルまたはアカウントレベルで作成できる。
アナライザは、コンソールまたはAPI経由で作成できる。アナライザは地域レベルで作成されるが、グローバルなIAMコンポーネントを分析していることに注意する。未使用の検出結果アナライザは、検出結果リージョン内にのみ作成することを推奨する。複数のリージョンに複数のアナライザを作成すると、新しい結果は生成されないが、追加コストが発生する。
AWS IAM Access Analyzerは、サービスにリンクされたロールを使用して、組織内のロール、ユーザー・アクセス・キー、ユーザー・パスワードの最終アクセス情報を確認する。IAMサービスとアクションの最終アクセス情報は、IAMロールとユーザーの未使用の権限を特定するために使用される。アナライザは、最終アクセス情報の追跡をサポートするアクションに基づいて、すべてのサービスレベルの権限とアクションレベルの200のサービスについて未使用の権限を検出できることに注意する。
結果はIAM Access Analyzerの調査結果ダッシュボードに表示され、未使用のロール、資格情報、権限ごとに分類される。ダッシュボードには、最もアクティブな調査結果を持つアカウントも表示される。
/filters:no_upscale()/news/2023/12/iam-unused-access-analyzer/en/resources/1IAM-dashboard-1702769988099.png)
調査結果は、アクティブ、解決済み、アーカイブに分類される。アクティブな調査結果は、特定された未使用リソースが削除されると、自動的に解決済みへ移動する。検出結果は、アーカイブすることで手動で抑制できる。アーカイブ・ルールを作成して、その属性に基づいて検出結果を自動的にアーカイブできる。
IAM Access Analyzerは、Amazon EventBridge とAWS Security Hubの両方と統合されている。EventBridgeのルールを使用すると、新しい結果が発見されたときにアカウント所有者に自動的に通知できる。
新しい未使用のアクセスアナライザは、以前にリリースされた外部アクセスアナライザに追加される。外部アクセスアナライザは、定義された「トラストゾーン」の外側から実行されているアクセスに対して発見事項を生成する。トラストゾーンは、定義された組織またはアカウントで構成される。組織内のあるアカウントから同じ組織内の別のアカウントに付与された権限では、結果は生成されない。
外部アクセス・アナライザとは異なり、IAM Access Analyzer未使用アクセス・アナライザは有料機能である。サービス料金は、アナライザごとに月ごとに分析されるIAMロールとユーザーの数に基づいている。新しい未使用アクセス調査アナライザは、AWS GovCloud(US)リージョンとAWS Chinaリージョンを除くすべてのAWSリージョンで利用できる。サービスの詳細については、IAM Access Analyzerのドキュメントで見ることができる。