この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
コンニチハ、千葉です。
AWS Summitでリリースしたクラスメソッド謹製ツールinsightwatchを使ってみたシリーズです。無料で簡単に利用を開始できますので、ガンガンご利用くださいませ。そして、フィードバックや欲しい機能などごご要望くださいませ。セキュリティチェック以外のコスト見直しとかでもなんでも!
概要
AWSを長年使っていると不要な認証情報が残って、IAMの棚卸しが必要になるケースがあります。IAMが数が沢山あったり、利用しているのか、してないのか、誰々に聞いたり。本来ですと、棚卸しは運用メニューに入れておいて、定期的な棚卸しするといいですよね。今回は、insightwatchを利用してIAMの棚卸しを行ってみます。
チェック項目は以下です。
- CIS 1.3 90日以上利用されていない認証情報は無効化されていること
- CIS 1.4 アクセスキーが90日以内にローテーションされていること
- CIS 1.23 不要なアクセスキーの発行を避けること
IAMの棚卸しをしてみた
insightwatchでAWSアカウントを連携し、チェックを実行した結果です。また、insightwatchは複数のAWSアカウントを統合的にチェックできるので、複数のAWSアカウントで棚卸しが必要になっても便利です!
90日以上利用されていないIAMユーザーとアクセスキーが存在していました。 マネージメントコンソールにログインして、不要であればIAMユーザーを削除しましょう。
今度は、ローテーションされていないアクセスキーが存在していることがわかりました。
これも、手順に従ってローテーションを実施しましょう
今回の環境では、不要なアクセスキーの発行はありませんでしたのでチェック結果はokでした。不要なアクセスキーとは、間違って発行したアクセスキーで、1度も利用されてないものになります。こういうゴミは積極的に削除しましょう。
最後に
insightwatchを使って棚卸ししました。以前、IAMの棚卸しせいや(アカウント複数)という指令があり、結構苦労したのでこれを利用できればよかったなと思いました。そんな境遇な方は是非是非ご活用ください。
0
