AWS IAM Access Analyzerを活用した未使用アクセスの特定と管理

始めに

こんにちは、Global Solutions事業部です。今回はクラウドの権限管理に欠かせないIAM Access AnalyzerのUnused Access Analyzerという機能についてご紹介いたします。ぜひ最後までお読みいただき、アクセス権限管理に役立ててください。

IAM Access Analyzerとは

しばらく使用していないものを忘れてしまうのはよくある話ですが、これはクラウド環境での作業においても同じことが言えるでしょう。しかしIAM Access Analyzerの機能であるUnused Access Analyzerが、その問題を解決してくれます。

この機能は指定した期間（デフォルトでは90日）内に使用されていないIAMリソース（ロール、パスワード、アクセスキーなど）をスキャンし、結果をリストアップしてくれます。さらに以下のようにEventBridgeやSNSを組み合わせると、メールの通知も可能です。

Unused Access Analyzerを有効にすると、データを裏側で収集し始めるため、リストやグラフィカルな表示を提供してくれます。一目で理解しやすくなっていますが、グラフィカルの方はさらに時間がかかり、今回表示されるまでに数時間を要することもあります。

早速実際の画面操作を見てみましょう。

環境の規模によっては、見つかる項目が驚くほど多いこともあるかもしれません。私の場合、このブログを書き終えた後に確認必要があるリソースが150近いもあります。

項目を一つ一つ確認するのは結構時間かかりますが、次のスキャンでピックアップされるのを避けたいリソース（削除せずにそこに保留しておくのが安全だとわかっているもの）がある場合は、それらをアーカイブすることができます。

今回の例で言えば、「test」という名前が付いたリソースを保留したいので、testでソートし、必要なものを選択して「アーカイブ」をクリックし、次回のスキャンで拾わせないようにし、対処が必要なものだけを残します。

将来的に同じフィルターをリソースに適用したい場合は、以下のようにアーカイブルールを設定することができます。スキャン後、結果がルールと一致した場合、自動的にアーカイブされます。これは一貫した命名ポリシーの重要性と、リソースをプロビジョニングするためにIaC（Infrastructure as Code）の使用などのメリットを思い出させてくれます。

まずSNSトピックを作成します。メッセージの順番が重要ではないので、FIFOではなくスタンダードのトピックで十分です。

トピックに対するサブスクリプションも作成します。サブスクリプションにはメールを使用します。プロトコルとしてメールを選択した後、メールアドレスを入力します。

Eventbridgeのデフォルトイベントバスで、イベントルールを作成します。

ルールに一致する結果があった場合にはイベントパターンで起動を選択し、特定の時間にルールを実行したい場合はスケジュールを選択します。

AWSサービスを選択し、作成したSNSトピックをターゲットとして選択します。

イベントルールで、イベントパターンの編集をクリックし、AWSサービスに「Access Analyzer 」、イベントタイプに「Unsed Access Finding for IAMentities」を選択し、今回はデフォルトのイベントパターンを使用します。SNSトピックに送信するイベントをさらにフィルタリングする必要がある場合は、フィールドをカスタマイズします。

スキャンが完了した後に大量の通知メールを受けた場合、イベントルールやSNSトピックのサブスクリプションにフィルターを適用することを検討してみてください。

終わりに

今回ご紹介させて頂きましたAWS Unused Access Analyzerの使用にはコストがかかります。この機能の利用による料金の詳細については、以下のリンクから料金計算ツールを参照してください。
https://aws.amazon.com/jp/iam/access-analyzer/pricing/?nc1=h_ls

結論として、AWS Unused Access AnalyzerはIAMリソースの使用状況を効率的に監視し、セキュリティを維持するための強力なツールです。正しく利用すれば、不要なアクセス許可を削除し、最小権限モデルを推進することが可能とる一方で、料金に関しては事前に計算し、予想外のコストが発生しないように注意を払うことが重要です。AWSのセキュリティと効率性を高めるためにも、Unused Access Analyzerを賢く活用しましょう。

アイレット株式会社のGlobal Solutions事業部では、お客様のビジネス変革を実現しながら、最新のデータソリューションの導入を加速できるように設計されたデータ分析ソリューションとデータサービスの幅広いポートフォリオを提供しています。ビジネスの成功こそ、私たちが追求するものです。お困りの際はぜひ一度お気軽にお問い合わせください。

cloudpack サービスページ

参考資料

[1] https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/access-analyzer-findings.html
[2] https://aws.amazon.com/blogs/aws/iam-access-analyzer-updates-find-unused-access-check-policies-before-deployment/
[3] https://aws.amazon.com/jp/blogs/security/iam-access-analyzer-simplifies-inspection-of-unused-access-in-your-organization/

AWS IAM Access Analyzerを活用した未使用アクセスの特定と管理

始めに

IAM Access Analyzerとは

終わりに

参考資料

運命の出会い
〜フルスタックエンジニアへの道〜

アイレットで未来を手のひらに。Google Cloud × 生成AIで加速するビジネス

クラウドの時代に感じた、現像写真の温もり

二次運用から一次運用へ。異動して1年経ったので振り返る

生成AIに画像からHTMLを書いてもらおう！

AWS IAM Access Analyzerを活用した未使用アクセスの特定と管理

始めに

IAM Access Analyzerとは

終わりに

参考資料

関連記事Related Articles

定期的なタスクをAWSに任せる方法

システム内製化の課題と解決法 – 成功のため３つのポイント!

デジタルアシスタントとは？その機能とビジネスへのメリット・デメリットは？

Amazon CloudWatch 集中監視ソリューション ユースケースと検討事項について

プロジェクト・マネージャーに必要なスキルを探る（PMIタレント・トライアングルから）

Amazon CloudWatch 集中監視ソリューションユースケースと検討事項について