IAM Access Analyzerを用いてCloudTrail証跡からIAMポリシーを作成してみる
2025.01.30はじめに
かつまたです。
リソースを操作する中で大きすぎる権限を用いて楽に操作を実行してしまうことはありませんか?
ちょっと待って!その権限、ベストプラクティス君がみたらどう思うでしょうか。
そんな状況を改善する方法の1つとして、IAM Access AnalyzerではCloudTrail証跡に基づいてポリシーを作成する機能が提供されています。
今回は、上記の機能をオプション機能含めて試してみましたので、手順をご紹介します。
IAM Access Analyzerとは
IAM Access AnalyzerはIAMのサービスの1つであり、外部エンティティと共有されているAmazon S3 バケットや IAM ロールを分析し、セキュリティ上のリスクであるリソースやデータへの意図しないアクセスを特定することができます。
今回はそんなIAM Access Analyzerの機能の1つであるCloudTrail証跡からIAMポリシーの生成を実施してみました。
やってみた
1.「IAM」→「ロール」から実際に用いている大きな権限ポリシーが付与されているロールを選択します。詳細画面から「CloudTrailイベントに基づいてポリシーを生成」の「ポリシーを生成」を選択します。
2.ポリシーに落とし込みたいCloudTrailイベントを含むと考えられる期間と対象リージョン、CloudTrail証跡を選択します。
3.選択条件に沿ったCloudTrailイベントから付与するポリシーが表示されます。
4.またオプションで、生成されたポリシーに表示されていないポリシーを選択して付与することが可能です。生成されたポリシーを確認し、実施したい操作に不足が考えられた場合、柔軟に追加することができます。
追加例
5.ポリシー生成後、生成元のロールにポリシーが追加されます。生成したポリシーに変更をして、運用に支障がないか適宜確認することが推奨されます。
おわりに
この操作を実施したいが最小権限に基づいたポリシーがわかりにくい、といった際に活用できる機能であると感じました。セキュリティ改善として既存IAMロールの最小権限化を実行されたい際はぜひご利用ください。ご覧いただきありがとうございました。
アノテーション株式会社について
アノテーション株式会社はクラスメソッドグループのオペレーション専門特化企業です。サポート・運用・開発保守・情シス・バックオフィスの専門チームが、最新 IT テクノロジー、高い技術力、蓄積されたノウハウをフル活用し、お客様の課題解決を行っています。当社は様々な職種でメンバーを募集しています。「オペレーション・エクセレンス」と「らしく働く、らしく生きる」を共に実現するカルチャー・しくみ・働き方にご興味がある方は、アノテーション株式会社 採用サイトをぜひご覧ください。
