AWS re:Inforce 2025が開催され、セキュリティサービスのアップデートがたくさん発表されました。
今回は、IAM Access AnalyzerにInternal Access Findingsが追加されたので、検証してみました。
アップデート概要
従来のIAM Access Analyzerは、外部アクセスと未使用アクセスを分析することが可能だった
サポート対象のリソースは、Amazon S3、Amazon DynamoDB、Amazon RDS
Amazon RDS スナップショット
Amazon DynamoDB ストリーム
Amazon DynamoDB テーブル
参考ドキュメント
アナライザーの作成
IAMの画面で「アクセスアナライザー」→「Resource analysis」から、「アナライザーを作成」をクリックします。
「Resource analysis - Internal access」を選択します。
今回は単一アカウントなので信頼ゾーンは自アカウントのみですが、Organization環境だと組織全体を信頼ゾーンに設定できます。
続いて、分析対象を選択します。
個別のリソースタイプを選択したり、ARNを指定したり、複数リソースの場合はCSVをアップロードすることで指定することも可能です。
今回はサポートされているすべてのリソースタイプを選択しました。
アナライザーの作成完了です。
内部アクセスの分析結果を確認
こちらが分析結果です。
検出結果として、各リソースに対して、誰がどのような権限でアクセスできるかが列挙されています。
同一リソースであっても、異なるプリンシパルごとに検出結果として出るみたいです。
検出結果の1つを選択し、詳細画面を見てみます。
左から、①どのリソースに、②誰が、③RCPやSCPがどのような適用状況で、④どんな操作ができる、かを表しています。
前の画面ではアクセスレベルとして、Write、Permissons、Tagging、Read、List、が表示されてました。
次の画面でも操作権限ごとに、アクセスレベルがグルーピングされており、わかりやすくまとまっています。
監視不要な検知の場合、アーカイブルールを作成すると便利です。
「アナライザーの設定」からアーカイブルールを作成できます。
「アーカイブルール」タブで、「アーカイブルールを作成」をクリックします。
Filter keyによってさまざまな項目でアーカイブルールを作成できます。
まとめ
リソースを起点にした内部アクセスの分析はこれまでできず、1つ1つの権限を見ていくしかなかったのですが、今回のアップデートによって簡単に確認できるようになりました。
いわゆる、CIEM (Cloud Infrastructure Entitlement Management) と呼ばれる機能であり、ネイティブ機能で内部アクセスの分析ができるようになったことは嬉しいですね。
今後、対象リソースの拡大やグラフDBのような可視化ができると、よりユーザビリティも向上すると思います。
ぜひ活用してみてください。
