2019年12月3日に発表されたAWS Identity and Access Management Access Analyzer(以下IAM Access Analyzer)を解説します。
こちらが公式ページとなっております
https://aws.amazon.com/jp/about-aws/whats-new/2019/12/introducing-aws-identity-and-access-management-access-analyzer/
IAM Access Analyzerとは
IAM Access Analyzerはサポートしているリソースへの意図したアクセスのみを提供しているかを継続的に分析出来るサービスです。
現時点(2019年12月3日)でサポートしているリソースは以下の通りです
- Amazon S3バケット
- AWS KMSキー
- Amazon SQSキュー
- AWS IAMロール
- AWS Lambda関数
IAM Access Analyzerは全リージョンで利用可能で、追加費用はかかりません。
IAM Access Analyzerの機能
IAM Access Analyzerを有効にすると分析できる機能は以下の通りです。
- セキュリティチームと管理者のポリシーがリソースへの意図したアクセスのみを提供しているかを簡単に確認できる
- ポリシーの追加または更新時に問題をキャッチするたびに、断続的な手動チェックをする必要がなくなる
- リソース共有に関するセキュリティおよびガバナンスのベストプラクティスに違反するリソースポリシーに積極的に対処し、意図しないアクセスからリソースを保護できる
- サービスの最終アクセスのタイムスタンプデータを利用して、ユーザー、グループ、またはロールが特定のタスクを実行するのに不要なアクセス許可を削除することにより、未使用のアクセス許可を簡単に識別し、セキュリティ状態を改善できる
- 新規または更新されたリソースポリシーを継続的に監視および分析し、潜在的なセキュリティへの影響を理解するのに役立つ
例えば、Amazon S3バケットポリシーが変更されると、IAMは、アカウントの外部からユーザーがバケットにアクセスできることを警告する といった動作をしてくれます。