AWS IAM Access Analyzerを使ってAWSアカウントに意図していないアクセスがないかチェックする方法

はじめに

IAM Access Analyzerは自アカウント以外からアクセス可能になっているリソースがないかチェックするサービスで、S3バケットやIAMロールが対象になります。今回はじめてこの機能を知ったので、設定方法などをまとめておきます。

💡：IAM Access Analyzerは、アクセスログではなくアクセスポリシーに基づいて判断するため、「実際に意図せぬ第三者がアクセスしたか」ではなく「意図せぬ第三者のアクセスがありうるか」をチェックできる。

IAMダッシュボードの左ペインのメニューから [IAM Access Analyzer] を選択し、[アナライザーを作成] ボタンをクリックする。

設定変更の必要はないので、そのまま [アナライザーの作成] ボタンをクリックする。

しばらくすると [リソースのスキャンが完了しました] と表示される。

何も表示されなければ問題なし。

💡：公開状態のリソースがあった場合は何かしら表示されるので、[意図したアクセス] か [意図していないアクセス] を選択して対処する。必ずどちらかを選択して（場合によっては是正して）IAM Access Analyzerの結果に何も表示されない状態を維持するようにする。

以上