はじめに
IAM Access Analyzerは自アカウント以外からアクセス可能になっているリソースがないかチェックするサービスで、S3バケットやIAMロールが対象になります。今回はじめてこの機能を知ったので、設定方法などをまとめておきます。
参考:クラウド破産を回避するAWS実践ガイド - KOS-MOS - BOOTH
💡:IAM Access Analyzerは、アクセスログではなくアクセスポリシーに基づいて判断するため、「実際に意図せぬ第三者がアクセスしたか」ではなく「意図せぬ第三者のアクセスがありうるか」をチェックできる。
IAM Access Analyzerの設定
IAMダッシュボードの左ペインのメニューから [IAM Access Analyzer] を選択し、[アナライザーを作成] ボタンをクリックする。
設定変更の必要はないので、そのまま [アナライザーの作成] ボタンをクリックする。
しばらくすると [リソースのスキャンが完了しました] と表示される。
何も表示されなければ問題なし。
💡:公開状態のリソースがあった場合は何かしら表示されるので、[意図したアクセス] か [意図していないアクセス] を選択して対処する。必ずどちらかを選択して(場合によっては是正して)IAM Access Analyzerの結果に何も表示されない状態を維持するようにする。
以上