PR

AWS IAM Access Analyzer:アクセス管理を簡単に最適化

access-analyzer クラウド

クラウドに限らず、強固なセキュリティ確保のためには「最小権限」を守ることが大切。「みんな管理者でいいや・・・」という悪魔の囁きと戦いながら、日々ユーザ管理をされていると思います。

でも、ユーザ数が増えてくると「誰がどんなアクセス権を持っているか」を管理するのって大変じゃないですか?また、一度設定したアクセス権も、ビジネスの変化によりアップデートをする必要もありますよね。

IAM Access Analyzerは、そんな悩みを解決してくれる、非常に便利なツールです。

今回は、そんな頼もしい味方である、AWS IAM Access Analyzerについて、分かりやすく解説していきます。

AWS Identity and Access Management Access Analyzer - Amazon Web Services
IAM Access Analyzer は、アクセス権を設定、検証、調整するツールを提供することで、最小特権を実現するためのガイドを提供します。IAM Access Analyzer は、アクセス分析、ポリシーチェック、ポリシー生成を行いま...
aws.amazon.com

AWS IAM Access Analyzerとは

AWS IAM Access Analyzerは、アクセス許可分析・ポリシー検証を行い最小権限を守る手助けをしてくれます。AWSリソースへのアクセス権を分析することにより、外部からのアクセスや未使用のアクセス権を特定することで、セキュリティリスクを低減することができるでしょう。

AWS IAM Access Analyzerの主な機能

  1. 外部アクセス分析
    リソースのパブリックアクセスとクロスアカウントアクセスを検出
  2. 未使用アクセス分析
    未使用のアクセス権を特定
  3. ポリシー検証
    IAMのベストプラクティスに基づき、安全なポリシー作成と検証を支援
  4. カスタムポリシーチェック
    ユーザが作成したカスタムポリシーが、セキュリティ標準に準拠しているか検証
  5. ポリシー生成
    ログに記録されたアクティビティに基づき、ポリシーを自動生成

AWS IAM Access Analyzerのユースケース

AWS IAM Access Analyzerの活用サンプルをご紹介します。

  1. セキュリティ監査
    定期的なセキュリティ監査の一部として、外部アクセスのリスクを特定
  2. コンプライアンス対応
    コンプライアンス要件に準拠したアクセス管理を実現
  3. 権限の最適化
    未使用のアクセス権を特定し、最小権限の原則に基づきIAMポリシーを最適化
  4. ポリシー管理の効率化
    自動生成されたポリシーやポリシーの検証機能を活用し、効率的でセキュアなポリシー管理を提供
  5. マルチアカウント環境の管理
    AWS Organizationsを使用している場合は、複数アカウントのアクセス権を一元管理

AWS IAM Access Analyzerのコスト

AWS IAM Access Analyzerの料金体系を見ていきましょう。

  1. 外部アクセスアナライザー
    リソースのパブリックアクセスとクロスアカウントアクセスの検出結果を提供します。
    この機能は追加料金なしで利用可能です。
  2. 未使用アクセスアナライザー
    文字通り未使用のアクセス権を洗い出してくれる機能です。この機能は有料です。
    • 料金: 0.20 USD / 分析されたIAMロールまたはユーザー / 月
      例えば、50のIAMロールとユーザーを分析する場合、月額10 USDです。
  3. ポリシー検証
    IAM のベストプラクティスに基づく、ポリシーの作成と検証を提供します。
    この機能は追加料金なしで利用可能です。
  4. カスタムポリシーチェック
    ユーザが作成したカスタムポリシーの検証機能です。この機能は有料です。
    • 料金: 0.0020 USD / API呼び出し
      例えば、月に1,000回のAPI呼び出しであれば、月額 2 USDとなります。
  5. ポリシー生成
    ログに基づきポリシーを生成してくれる機能です。この機能は無料で利用可能です。

AWS IAM Access Analyzerの設定方法

AWS IAM Access AnalyzerをOrganizationsを使用していない環境で設定する、基本的な手順をご紹介します。

  1. AWS マネジメントコンソールにログインし、IAMを開きます。
  2. アクセスレポートの下にある、[Access Analyzer] の中の、[アナライザー設定] をクリック。
    analyzer_1
  3. [アナライザーの作成] をクリック。
    analyzer_2
  4. アナライザーの詳細を設定してきます。
    • [分析] セクションで [外部アクセス分析] を選択
    • [アナライザーの詳細] セクションで、リージョンが正しいことを確認し、アナライザーの名前を入力
    • アナライザーの信頼ゾーンとして [現在の AWS アカウント] を選択
    • 必要に応じてタグの設定などを行い
  5. 最後に[アナライザーを作成]をクリックし、設定完了です

まとめ

AWS IAM Access Analyzerは、AWSリソースのアクセス管理を簡単に、そして最適化してくれる魅力的な機能です。外部アクセスのリスク検出、未使用アクセス権の特定、ポリシーの検証と生成など、多岐にわたる機能を提供しします。

また、基本的な機能は無料で利用可能であり、追加機能も比較的低コストで利用可能です。お試しで利用するハードルも低いですね。

セキュリティは永遠のテーマです。AWS IAM Access Analyzerを導入し、簡単にそして安全にアクセス管理を行っていきましょう。