[AWS]insightwatchを使ってIAMの棚卸をしてみた #AWSSummit

インサイトウォッチ

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

コンニチハ、千葉です。

AWS Summitでリリースしたクラスメソッド謹製ツールinsightwatchを使ってみたシリーズです。無料で簡単に利用を開始できますので、ガンガンご利用くださいませ。そして、フィードバックや欲しい機能などごご要望くださいませ。セキュリティチェック以外のコスト見直しとかでもなんでも!

AWSユーザー必携「小さな発見、大きな安心」インサイトウォッチをリリースしました

概要

AWSを長年使っていると不要な認証情報が残って、IAMの棚卸しが必要になるケースがあります。IAMが数が沢山あったり、利用しているのか、してないのか、誰々に聞いたり。本来ですと、棚卸しは運用メニューに入れておいて、定期的な棚卸しするといいですよね。今回は、insightwatchを利用してIAMの棚卸しを行ってみます。

チェック項目は以下です。

  • CIS 1.3 90日以上利用されていない認証情報は無効化されていること
  • CIS 1.4 アクセスキーが90日以内にローテーションされていること
  • CIS 1.23 不要なアクセスキーの発行を避けること

IAMの棚卸しをしてみた

insightwatchでAWSアカウントを連携し、チェックを実行した結果です。また、insightwatchは複数のAWSアカウントを統合的にチェックできるので、複数のAWSアカウントで棚卸しが必要になっても便利です!

90日以上利用されていないIAMユーザーとアクセスキーが存在していました。 マネージメントコンソールにログインして、不要であればIAMユーザーを削除しましょう。

今度は、ローテーションされていないアクセスキーが存在していることがわかりました。

これも、手順に従ってローテーションを実施しましょう

今回の環境では、不要なアクセスキーの発行はありませんでしたのでチェック結果はokでした。不要なアクセスキーとは、間違って発行したアクセスキーで、1度も利用されてないものになります。こういうゴミは積極的に削除しましょう。

最後に

insightwatchを使って棚卸ししました。以前、IAMの棚卸しせいや(アカウント複数)という指令があり、結構苦労したのでこれを利用できればよかったなと思いました。そんな境遇な方は是非是非ご活用ください。

insightwatchを無料ではじめる

参考