学習前イメージ
IAMのサービス?権限?
AWS Identity and Access Management Access Analyzer(アクセスアナライザー)とは
- AWSリソースへの外部からのアクセスを分析
- 不適切な公開や不要な権限設定を検出
- 意図しない外部アクセスを通知
- 自動で監視が続くため、セキュリティリスクを早期に特定・修正が可能
AWS Configでも出来たような?
AWS Configでもリソースを監視し、通知することができます。
AWS Configとの違い
表のとおり、アクセスアナライザーは外部からのアクセスを検出するのに対して、AWS Configは単純に設定値を評価するだけ。
| 特徴 | AWS IAM Access Analyzer | AWS Config |
|---|---|---|
| 対象 | 外部からのアクセス可能性の検出(例: S3バケットがパブリックか) | リソース設定全般の評価(例: 暗号化の有無、特定のタグ付け) |
| 使い方の焦点 | IAMポリシーやリソースポリシーの解析を特化 | AWSリソースの設定がベストプラクティスやカスタムルールに準拠しているかを評価 |
| 通知内容 | 外部アクセスの可能性(例: インターネットや他AWSアカウントへの公開を検出) | 設定違反の検出(例: ルールに違反した未暗号化のS3バケットやEBSボリュームなど) |
| モニタリング方法 | 外部アクセス可能性に焦点を当てた分析 | 事前に定義したルールに基づく監視(AWS管理ルールやカスタムルールを作成可能) |
| 運用フロー | 設定変更に応じて「Finding」として検出結果を作成 | リソース設定がコンプライアンスに合っているかを定期的またはリアルタイムで評価 |
どちらを選ぶべきか
IAM Access Analyzer:
- 外部からのアクセスを把握・検知させたい場合
AWS Config:
- AWS全体のリソース構成やコンプライアンスを評価・通知したい場合
学習後イメージ
アクセスアナライザーは外部からのアクセスを評価、AWS Configは設定値を評価!