[速報] AWS Identity and Access Management Access Analyzerがリリースされました! #reinvent

こんにちは。サービスグループの武田です。

現在re:Invent 2019に参加していますが、キーノートを前にして新機能のリリースが止まりません!今回新しく、AWS Identity and Access Management Access Analyzer(以下、IAM Access Analyzer)がリリースされましたのでお届けします。

Introducing AWS Identity and Access Management (IAM) Access Analyzer

IAM Access Analyzerとは

IAM Access Analyzerはサポートしているリソースが、意図したどおりのアクセスのみを提供しているかを継続的にチェックできるサービスです。リリース時点でサポートしているリソースは次のとおりです。

  • Amazon S3バケット
  • AWS KMSキー
  • Amazon SQSキュー
  • AWS IAMロール
  • AWS Lambda関数

一度有効化すると、IAM Access Analyzerは継続的にリソースを監視します。Amazon EventBridgeと連携することで通知を受け取ることも可能です。

追加費用なし!全リージョンで使用可能です!

有効化する際の注意点です。IAM Access Analyzerは 有効化したリージョンのリソースのみを監視 します。IAMロールだけはグローバルリソースですので、いずれかのリージョンで有効化すれば大丈夫です。一方でその他のリソースを監視するためには、 利用しているリージョンそれぞれで有効化が必要 です。追加費用はかからないため、とりあえず全リージョンで有効化してしまうのもありでしょう。

有効化してみた

さっそく有効化してみます。今回はバージニア北部で有効にしてみました。

まずはIAMのページにアクセスします。左ペインにある「Access Analyzer」をクリックします。

[アナライザーを作成]ボタンを押下します。

名前や信頼ゾーン(対象アカウント)が表示されるため確認します。

タグの設定もできますが、今回はそのままにして[アナライザーを作成]ボタンを押下。

画面が切り替わり、少し待つとスキャン結果が表示されます。IAMのページではIAMロールの結果が確認できていますね。他のリソースについても少し確認してみましたが、今のところS3バケットのみが確認できました。

【速報】新機能!S3 Access Analyzerがリリースされました!【導入5分 / ノーコスト】 #reinvent

個別の結果がリンクになっており、それを選択してみると詳細画面に切り替わります。個別にアーカイブしたり、意図していないアクセスだった場合は直接そのリソースのページにジャンプして修正することも可能です。

まとめ

意図していない公開範囲設定によって情報漏洩してしまうという事故は後を絶ちません。新しいサービスを利用して、そういった事故が減らせると素敵ですね。まずは有効化するところから始めましょう!