おれさまラボの実験ノート

実際に手を動かして理解を深めるブログ。

AWS IAM Access Analyzerを使ってAWSアカウントに意図していないアクセスがないかチェックする方法

はじめに

IAM Access Analyzerは自アカウント以外からアクセス可能になっているリソースがないかチェックするサービスで、S3バケットやIAMロールが対象になります。今回はじめてこの機能を知ったので、設定方法などをまとめておきます。

参考:クラウド破産を回避するAWS実践ガイド - KOS-MOS - BOOTH

💡:IAM Access Analyzerは、アクセスログではなくアクセスポリシーに基づいて判断するため、「実際に意図せぬ第三者がアクセスしたか」ではなく「意図せぬ第三者のアクセスがありうるか」をチェックできる。

IAM Access Analyzerの設定

IAMダッシュボードの左ペインのメニューから [IAM Access Analyzer] を選択し、[アナライザーを作成] ボタンをクリックする。

設定変更の必要はないので、そのまま [アナライザーの作成] ボタンをクリックする。

しばらくすると [リソースのスキャンが完了しました] と表示される。

何も表示されなければ問題なし。

💡:公開状態のリソースがあった場合は何かしら表示されるので、[意図したアクセス] か [意図していないアクセス] を選択して対処する。必ずどちらかを選択して(場合によっては是正して)IAM Access Analyzerの結果に何も表示されない状態を維持するようにする。

以上