[アップデート] IAM Access Analyzer の未使用のアクセス分析でアカウント/タグを除外指定して検出範囲をカスタマイズ出来るようになりました

[アップデート] IAM Access Analyzer の未使用のアクセス分析でアカウント/タグを除外指定して検出範囲をカスタマイズ出来るようになりました

#IAM Access Analyzer
#AWS
いわさ

いわさ

facebook logohatena logotwitter logo
Clock Icon2024.11.18

いわさです。

IAM Access Analyzer を使うと IAM リソースの様々な分析を行うことが出来ます。
機能のひとつに未使用の IAM ユーザーやロールを検出する機能があります。

https://dev.classmethod.jp/articles/introduction-2024-aws-iam-access-analyzer/

未使用の IAM リソースの存在に気がつくことが出来て良いのですが、こちらは追加料金の発生する有償オプションとなっており、有効化にあたっては少し注意が必要です。
リソースあたり 0.20 USD/月 が発生します。例えば、AWS Organizations 導入環境など大量の IAM リソースが存在する環境に対して有効化した場合、次のように地味に無視出来ない料金になってきたりします。

4B895FB6-1748-4134-8DE0-8D326C9DFEA4.png

https://aws.amazon.com/iam/access-analyzer/pricing/

必要な範囲だけ検出対象に出来るように

コストをどうにかする場合、従来は一部のメンバーアカウントでのみ個別有効化するなどくらいしか出来なかったのですが、先日のアップデートで分析範囲をカスタマイズ出来るようになりました。具体的には AWS アカウント、あるいはタグを指定することで「検出対象から除外する条件」を追加で指定出来るようになりました。

https://aws.amazon.com/about-aws/whats-new/2024/11/customize-scope-iam-access-analyzer-unused-access-analysis/

こちらを設定して実際に検出結果を確認してみましたので紹介します。

アナライザーの作成あるいは管理設定から

今回の除外条件の設定はアナライザーの新規作成時にも設定出来ますし、あるいは既存アナライザーに対しての変更もいつでも可能です。
アナライザーには無料の外部アクセス分析と、有料の未使用のアクセス分析がありますが、前者の外部アクセス分析については今回のアップデートの範囲外となってます。

FB4A2317-43E9-4296-BA52-A6A083C4BF32.png

今回のアップデートで次の 2 つの設定エリアが追加されています。
「分析から AWS アカウントを除外」と「タグを持つIAM ユーザーとロールを除外」です。

2C675CA8-8E2E-4CE2-A88C-9FC036FB1DE6.png

なお、組織対象のアナライザーの場合はアカウントとタグの除外が指定出来ますが、対象アカウント用のアナライザーの場合でもタグ除外機能は使うことが出来ます。これは良いですね。

458DD6F1-DD4C-4BA1-A963-C32A444F29DF.png

組織からアカウントを除外

従来は組織を対象にして有効化した場合は管理アカウントを含む全 AWS アカウントが対象となっていました。
今回のアップデートで除外する AWS アカウントを個別に指定出来るようになっています。

指定方法は 2 つあり、ひとつは個別に AWS アカウント ID を入力する方法です。

D78BB8CC-19F6-4675-BEAD-861BB48C122B.png

もうひとつはアカウントを除外選択する方法です。

F4813C41-B19B-4AEA-97C1-86F798297793.png

どちらの場合でも今後組織に追加された新しいアカウントは除外対象となっていないので、必要に応じて追加の除外設定をしましょう。

タグを持つ IAM ユーザーとロールを除外

従来は対象 AWS アカウント内の全ての IAM ユーザーとロールが検出対象としてカウントされていたのですが、特定のタグキー(オプションで値も指定可能)を持つエンティティを除外出来るようになります。
イメージどおりですが、対象のタグキーと値を複数指定する形です。

41EF6F92-9BB3-4150-A6C4-9D3BD24D9913_4_5005_c.jpeg

普段からタグ運用を意識する必要はありますが、例えばスイッチロール用のアカウントだけを検出対象にしたいとか色々なユースケースに対応出来そうです。

既存アナライザーの設定内容を確認

アナライザーに対する除外設定はアナライザー管理から確認出来ます。

BEA81A16-FB5B-4D3A-B375-C375AEC0302D.png

本日時点だと「Exclusion」というタブの中で AWS アカウント、タグの条件を確認出来ます。

534F42F2-046D-492D-A9AB-CE47562A7A11.png

検出結果の確認

今回 Organizations 導入環境化で、AWS アカウントを除外指定してアナライザーを作成してみました。
メンバーアカウントのうち除外指定されたものは次のように検出されなくなっています。

4959088B-86F2-4347-810C-1DDE348B1A45.png

除外指定されていないアカウントは通常どおり検出されました。良さげ。

F276C2A2-EEFD-48CD-B440-7DC59A5E21B0.png

さいごに

本日は IAM Access Analyzer の未使用のアクセス分析でアカウント/タグを除外指定して検出範囲をカスタマイズ出来るようになったので試してみました。

用途的に分析スコープを絞ることが出来る場合は、IAM Access Analyzer のコスト最適化が出来るのでぜひ試してみてください。

Share this article

facebook logohatena logotwitter logo

関連記事

全メンバーアカウントにおける全リージョンのAWS IAM Access Analyzerを一括削除してみた

全メンバーアカウントにおける全リージョンのAWS IAM Access Analyzerを一括削除してみた

User avatar
平井裕二
2024.10.07
Organizations環境におけるAWS Security Hubコントロール「[IAM.28]IAM Access Analyzer external access analyzer should be enabled」の動作と対応

Organizations環境におけるAWS Security Hubコントロール「[IAM.28]IAM Access Analyzer external access analyzer should be enabled」の動作と対応

User avatar
佐藤雅樹
2024.08.16
AWS IAM Access AnalyzerをSecurity Hubに統合時、各検出結果のタイプごとのSeverity(重要度)を教えてください

AWS IAM Access AnalyzerをSecurity Hubに統合時、各検出結果のタイプごとのSeverity(重要度)を教えてください

User avatar
平井裕二
2024.07.04
[オフライン世界最速?AWS re:Inforce 2024 re:Cap セミナー] 『IAM Access Analyzer のアップデートを語ります』というタイトルで登壇しました。#AWSreInforce

[オフライン世界最速?AWS re:Inforce 2024 re:Cap セミナー] 『IAM Access Analyzer のアップデートを語ります』というタイトルで登壇しました。#AWSreInforce

User avatar
平木佳介
2024.06.19
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.