はじめに
AWS IAMのアクセスアドバイザーでアクションレベルでの「最終アクセス日時」が確認できるサービス数は、140以上に増えました。
IAMのアクセスアドバイザーとは、IAMエンティティ(ユーザー、ロール、グループなど)が、AWSサービスごとの最終アクセス日時や、アクセス可能なAWSサービスを確認できる機能です。
従来は、IAMやLambda、S3、EC2などの一部のAWSサービス数のみ、アクションレベルで「最終アクセス日時」が確認できていました。
以前も以下の記事のようにアップデートがありました。
今回のアップデートでは、140以上のAWSサービスを対象に、アクションレベルで「最終アクセス日時」が確認できるようになりました。
これによって、IAMロールに指定された権限が実際に必要かどうかを判断し、不必要な権限を削除することで、IAMのベストプラクティスである「最小権限の原則」の実現に役立ちます。
対象の140以上のAWSサービス
今回のアップデートでアクションレベルで、「最終アクセス日時」が確認できるサービスは、下記のドキュメントにまとめられています。
アクションレベルでの「最終アクセス日時」は、対応するAWSサービスがサポートされているすべてのリージョンで利用できます。
よく使われるサービスのうち、アクションレベルで、「最終アクセス日時」が確認できないサービスを一部あげてみます
- Amazon EventBridge
- Amazon SNS
- Amazon EC2 Auto Scaling
- AWS Organizations
- AWS CloudShell
- AWS Step Functions
- AWS Backup
- Amazon Route 53
- AWS Chatbot
- AWS WAF V2、AWS WAF
- Amazon CloudFront
- AWS Control Tower
- Amazon ElastiCache
- AWS IAM Identity Center
- Amazon API Gateway
- Amazon S3 Glacier
上記は、よく利用されるサービスですので、今後のアップデートに期待ですね。
確認してみた
IAMロールから[アクセスアドバイザー]タブに遷移し、Amazon CloudWatch Logsを選択します。
AWSサービスのうち、リンク先がないAmazon CloudWatch Internet Monitorなどのサービスは、今回のアップデート対象外であり、アクションレベルで確認はできません。
アクションレベルで、最終アクセス日時がリージョン別に確認できます。
従来からできていましたが、実行したアクションと実行していないアクションをフィルタリングすることができます。
アクションを実行していない場合、追跡期間中はアクセスされていませんと最終アクセス日時に表示されます。
これらの情報をもとに、IAMポリシーで不要な権限を削除し、最小権限に近づけることができますね。
最後に
今回のアップデートでは、140以上のサービスがアクションレベルで「最終アクセス日時」が確認できるようになりました。
これによって、IAMの最小限の権限原則を適用する上で、アクセスアドバイザーは今まで以上に有用なツールとなったと言えます。
ぜひ利用してみてください。
17
