こんにちは! AWS 事業本部コンサルティング部のたかくに(@takakuni_)です。
フィラデルフィアで開催されている AWS re:Inforce 2024 に参加しています。
Keynote にて、 IAM Access Analyzer が未使用の IAM プリンシパルに対する推奨事項を表示するアップデートが発表されました。
プレビューでのリリースのため、 GA の際に仕様変更が伴う可能性がございます。
概要
以前から IAM Access Analyzer では、未使用の IAM のリストアップができていました。
IAM Access Analyzer now simplifies inspecting unused access to guide you toward least privilege
今回はこの機能に加えて、使っていない IAM をどうすればいいのかについて推奨事項を示すようなことができるようになりました。
やってみる
簡単にですが画面を眺めてみましょう。
IAM Access Analyzer の画面に行くと、未使用の IAM がリストアップされています。ここまではいつも通りです。(80 個もあるのは気にしないでください。)
検出結果のタイプが未使用のロールと未使用の許可で分かれていますね。
未使用のロール
まずは、未使用のロールを見てみましよう。推奨事項が表示されていますね。Step2 で消すのが推奨だそうです。まあそうですよね。
未使用の許可
続いて未使用の許可を見てみましょう。代替となるポリシーが表示されていますね。使ってないポリシーを絞る手段として、結構便利そうですね。
また、必要に応じてアーカイブができる点も便利ですね。
まとめ
以上、簡単にですが 「未使用の IAM プリンシパルに対する推奨事項を表示するようになりました」でした。
特に使っていない許可の代替となるマネージドポリシーを提案してくれる点は、積極的に取り入れたいですね。
この記事がどなたかの参考になれば幸いです。AWS 事業本部コンサルティング部のたかくに(@takakuni_)でした!
参考
今回の Unused 意外にも IAM Access Analyzer 色々できるようになってきていますね。(後ほど試して見たいです)
1
