はじめに
AWSのIAM Access Analyzerを導入することになったので軽ーくまとめてみました!!
今回は特に外部アクセスの機能について書いていきます!
前提
IAM Access Analyzerとは、、、
AWSが提供しているサービスで最小権限を正しく守れているのかガイドを提供してくれるサービスです。
外部アクセスという機能(後述します)は基本的に無料で使用でき、AWSサービス使用者は設定が正しく行われているのか改善の余地の検討ができないのか確認や検討に活用できます。
未使用のアクセスという機能は費用は発生しますが、現在使用していないアカウントなどを検出することができます。これは、削除忘れのアカウントや以前使用していたアクセス方法の削除忘れなどに活用できます。
外部アクセス
IAM Access Analyzerで無料使用することのできるこの機能ですが、基本的にはポリシーなどの設定が正しく行われているかの確認が行えます。
過去に導入した時と設定を変えて現在を使用しているものでも、設定の付け替え忘れなどで誤った設定になっている事を気づくこともできます。
また、アーカイブルールを設定することもでき、意図したアクセスなどは検出されないように設定することも可能です。
非常に便利そうな外部アクセスの機能ですが、注意点があります、、、
IAM Access Analyzerを有効にしているリージョンでしか検出が有効にならない点です。
マルチリージョン対応を行なっている場合などは、それぞれで有効にすることで正しい検出がされるようになります!
有効にするリージョン忘れに気をつけてください、、、
さいごに
今回、IAM Access Analyzerについて調べてみましたが、無料機能でポリシーの確認などが行えるのは非常に便利だと感じました。
Trusted Advisorを有効にしている方は、この機能を有効にしていないと警告が出ているかも知らないので確認してみてください。(使用しているリージョンとデフォルトで有効になっているリージョンで警告が出てると思います)
IAM Access Analyzerを有効にする際、複数のリージョンをまとめて行いたい際はStackSetsの活用なども可能ですので、ぜひそちらも検討してみてください!