カテゴリー
Access Analyzer AWS IAM Organizations

AWS IAM Access AnalyzerをOrganizationsで使用する

今回のゴール

OrganizetionsでIAM Access Analyzerを有効にしてAWS共有リソースの検出を有効にします。

IAM アクセスアナライザーとは

外部エンティティと共有されているリソースを検出します。
これによりセキュリティ上のリスクであるリソースとデータへの意図しないアクセスを特定できます。

下記のリソースについて分析できます。

  • S3バケット
  • IAMロール
  • KMSキー
  • Lambdaの関数とレイヤー
  • SQSキュー
  • Secret Managerのシークレット

IAMアクセスアナライザーは現在の設定状況から調査するものであり、実際にアクセスを元に調査されているわけではありません。

実際にアクセスを元に調査するにはCloudTrailを使用します。

設定

Organizationsのルートアカウントにログインします。

[IAM]-[アクセスレポート]-[Access Analyzer]で「アナライザーを作成」ボタンをクリックします。

※今回は割愛しますが、ルートアカウントは非常に強い権限をもっておりますので、ルートアカウントではなく、子アカウントに代理管理者の設定を行い、その子アカウントでアナライザーを作成して使用する運用が推奨されております。

[名前]:ConsoleAnalyzer-organizations(任意)
[信頼ゾーン]:現在の組織

確認

Organizationsの子アカウントの情報が取得できるか確認していきます。

子アカウントのS3バケットを作成して、パブリックアクセス状態に設定します。

暫くすると、アクセスアナライザーの画面でS3がパブリックアクセスになっていることが確認できました。

この動作が意図した正常なものであれば、チェックを付けて[アクション]-[アーカイブ]を選択して、[アーカイブ済み]とします。