【はじめてのAWS】AWS IAM Access Analyzer を設定しよう

記事タイトルとURLをコピーする

 

今回は、弊社のYouTubeチャンネル「サーバーワークス チャンネル」にて先日公開した以下動画についてblogでも内容を紹介いたします。

動画内では、実際にAWSマネジメントコンソールを操作しながら設定を行っていくデモがありますのでもし興味があれば是非、動画も参照頂ければと思います。

内容が良かった、為になったと感じたら是非Goodボタンやチャンネル登録頂けると嬉しいです。

対象者

・AWSをこれからはじめたい方
・AWSをもっと活用したい方
・AWS IAM Access Analyzerの概要や設定イメージを把握したい方

AWS IAM Access Analyzerとは

AWS IAM Access Analyzer は、AWSリソースに紐付いているポリシーを検査し、他AWSアカウントや外部のインターネット等からのアクセスを可能とするような設定がされているか否か、つまり管理者として"意図せぬ公開設定がされていないか"を検出および可視化してくれる機能となります。

新規または更新されたポリシーを継続的に監視し、付与されたアクセス許可を数学的なロジックや推論を使用して分析してくれます。アクセス制御状況のインパクトを集約、可視化し、利用されているアカウントの外側からの意図しないアクセスからリソースが保護されていることの確認に活用出来ます。

参考: AWS IAM Access Analyzer とは
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/what-is-access-analyzer.html

参考: AWS Identity and Access Management (IAM) Access Analyzer を使った意図しないリソースアクセスの特定
https://aws.amazon.com/jp/blogs/news/identify-unintended-resource-access-with-aws-identity-and-access-management-iam-access-analyzer/

AWS IAM Access Analyzer の料金

無料(追加料金なし)でご利用頂けます。

 AWS IAM Access Analyzer の注意事項

注意点として以下3点を紹介します。

  1. すべてのリソースタイプがサポートされている訳ではない
    2020年06月30日 現在は以下リソースタイプがサポートされています。
    最新の情報は以下公式の情報を確認してください。
    Amazon Simple Storage Service バケット
    AWS Identity and Access Management ロール
    AWS Key Management Service キー
    AWS Lambda の関数とレイヤー
    Amazon Simple Queue Service キュー
    参考: サポートされているリソースタイプ
    https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/access-analyzer-resources.html
  2. リージョン単位に設定する必要がある
    AWS IAM Access Analyzer は、設定で有効になっている AWSリージョンでのみリソースに適用されているポリシーを分析します。複数リージョンを利用する際には個別に有効の設定が必要となります。

  3. 特定の条件下でまれに、ポリシーの追加や更新が通知されないことがある
    例えば 最大12時間かかる場合がある S3 バケットに対するアカウントレベルのパブリックアクセスのブロック設定の変更や、AWS CloudTrail ログ配信で配信の問題がある場合 等に更新時に再スキャンがトリガーされないケースがあります。その場合、次の定期スキャン(24時間以内)まで通知がされない為、必要に応じて手動で「再スキャン」を実施する必要があります。

AWS IAM Access Analyzer のセットアップ実施のデモ(動画内 01:27〜)

実際にAWSマネジメントコンソールから AWS IAM Access Analyzer の作成を行い、検出結果のリストを確認するといったデモを動画内で紹介しています。
管理者視点で、ざっくりとAWS IAM Access Analyzerの 設定や運用イメージを掴んで頂ける内容となっておりますので、もし興味があれば動画を参照ください。

まとめ

AWS IAM Access Analyzer は、追加費用なしのわずか数クリックで設定が完了し、セキュリティ上のリスクであるリソースとデータへの意図しない外部アクセス設定がされていないか(リソースが保護されているか)の特定に役立てる事ができます。

AWSアカウント管理者として時間の経過と共に、アクセス許可が実際にどのように使用されているか、"最小限のアクセス許可の原則"に従っているかを確認することはとても重要です。
管理者としてAWSアカウントを作成した際には、初期設定項目として実施を検討してみてください。

関連blog

http://blog.serverworks.co.jp/tech/2020/04/30/iam_access_analyzer/

http://blog.serverworks.co.jp/tech/2020/05/12/discover-review-remediate-unintended-access-to-s3-buckets-shared-through-s3-access-points/