Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Tokyo_reInforce_2025_recap_iam_access_analyzer
Search
h-ashisan
July 03, 2025
Technology
490
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
Tokyo_reInforce_2025_recap_iam_access_analyzer
h-ashisan
July 03, 2025
More Decks by h-ashisan
See All by h-ashisan
regrowth_tokyo_2025_securityagent
hiashisan
0
710
OpsJAWS34_CloudTrailLake_for_Organizations
hiashisan
0
940
Classmethod_regrowth_2024_tokyo_security_identity_governance_summary
hiashisan
0
1.7k
2024/11/29_失敗談から学ぶ! エンジニア向けre:Invent攻略アンチパターン集
hiashisan
0
870
20241015 Toranomon Tech Hub#1 Service Catalog使ってみた
hiashisan
0
880
Practical-AWS-Security-measures-you-can-implement-now
hiashisan
0
910
20240724_cm_odyssey_hibiyatech
hiashisan
0
660
[2024最新版]AWS Control Towerを使ったセキュアなマルチアカウント環境の作り方
hiashisan
0
1.6k
クラウド利用者の「責任」をどう果たす?AWSセキュリティ対策のススメ #AWSSummit
hiashisan
0
960
Other Decks in Technology
See All in Technology
フルカイテン株式会社 エンジニア向け採用資料
fullkaiten
0
11k
從觀望到全公司落地:AI Agentic Coding 導入實戰 — 流程整合與安全治理
appleboy
1
730
Claude Code 珍プレー好プレー
shinyasaita
0
130
Agentic AI 時代のテスト手法: Kiro とはじめるプロパティベーステスト (AWS Summit Japan 2026 | DEV212)
ymhiroki
0
200
AI時代における最適なQA組織の作り方
ymty
3
350
最近評価が難しくなった
maroon8021
0
210
なぜ私たちのSREプラクティスはなかなか機能しないのか 〜システムより先に組織を見る〜 / Why our SRE practices aren't really working
vtryo
0
170
知見・人・API・DB・予算 ─ ナイナイ尽くしだった人事データ整備 with dbt、5年間の学び
ken6377
1
150
CSに"SLO"は要らない、経営層に"99.9%"は伝わらない - SREを全社に"翻訳"する3原則
cscengineer
PRO
0
140
金融の未来を考える / Thinking About the Future of Finance
ks91
PRO
0
150
AIDLC_ヤフーショッピングの取り組み
lycorptech_jp
PRO
0
510
Text-to-SQLをAgentCoreで実現し、生成されるSQLの精度を定量的に評価する
yakumo
2
500
Featured
See All Featured
Abbi's Birthday
coloredviolet
3
8.5k
How to optimise 3,500 product descriptions for ecommerce in one day using ChatGPT
katarinadahlin
PRO
1
3.7k
State of Search Keynote: SEO is Dead Long Live SEO
ryanjones
0
220
Raft: Consensus for Rubyists
vanstee
141
7.6k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
141
35k
How to make the Groovebox
asonas
2
2.3k
Measuring & Analyzing Core Web Vitals
bluesmoon
9
880
Designing Experiences People Love
moore
143
24k
技術選定の審美眼(2025年版) / Understanding the Spiral of Technologies 2025 edition
twada
PRO
118
120k
A better future with KSS
kneath
240
18k
The Curse of the Amulet
leimatthew05
2
13k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
32
3k
Transcript
IAM Access Analyzerの新機能 Internal Accessって何? 使ってみました! クラスメソッド株式会社 芦沢広昭
芦沢広昭(あしざわ ひろあき) 所属 クラスメソッド株式会社 クラウド事業本部 コンサルティング部 ロール ソリューションアーキテクト 担当業務 AWSインフラ設計構築、コンサルティング
AWS re:Inforce 参加歴 オンライン(2023)、現地(2024, 2025) その他 2025 Japan All AWS Certifications Engineers 自己紹介 2
IAM Access Analyzer Internal Accessとは? シングルアカウントで試してみた 検証してわかったこと アジェンダ 3
IAM Access Analyzer Internal Accessとは? 4
S3・RDS・DynamoDBなどの リソースへアクセスできるすべてのIAMプリンシパル (IAMユー ザー、ロール) を、同じAWSアカウントや同じOrganizations組織の 範囲内から検出する機能 IAM Access Analyzerは、 「未使用のアクセス
/ 内部アクセス / 外部アクセス」の3つに! 機能概要 5
各アナライザーの違い 6
分析対象リソース1つあたり $9.00 USD / 月 ※IAM Access Analyzer Pricingページ(英語版)を参照 結構お高いのでは...?
と思った方へ 最後に検証で発生したコストを発表します!お楽しみに 料金 7
シングルアカウントで試してみた 8
検証内容(シングルアカウント) 9
1. 事前準備(リソース作成、通知設定) 2. Internal Access作成 3. 結果の確認と分析 検証の流れ 10
1. 以下リソースを作成しました リソースタイプ リソース名 設定内容 S3バケット internal-access-test-bucket-{AWSアカウントID} デフォルト設定 IAMロール internal-role
ReadOnlyAccess権限 事前準備(リソース作成) 11
※S3に設定したバケットポリシーはこちら { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowInternalRoleAccess", "Effect":
"Allow", "Principal": { "AWS": "*" }, "Action": [ "s3:GetObject", "s3:ListBucket", "s3:PutObject", "s3:DeleteObject" ], "Resource": [ "${bucket_arn}", "${bucket_arn}/*" ], "Condition": { "StringLike": { "aws:PrincipalArn": "arn:aws:iam::${account_id}:role/internal-*" } } } ] 事前準備(リソース作成) 12
1. SNSトピックを作成、サブスクリプション設定でメールアドレスを登録した SNSトピックのサブスクライブも忘れずに実施 2. EventBridgeルールを作成、ターゲットはSNSトピックとした イベントパターンは以下を設定 { "source": ["aws.access-analyzer"], "detail-type":
["Internal Access Finding"] } 事前準備(通知設定) 13
設定項目 検出結果のタイプ: Resource analysis - Internal access 名前: internal-access-analyzer 信頼ゾーン:
現在のアカウント(固定) 分析対象のリソース: internal-access-test-bucket-{AWSアカウントID} 内部アクセス分析の作成 14
35件 の検出結果を検知 → 信頼ゾーン があるのに何故こんなに...? 作成後、しばらく待つと... 15
原因の一つは、IAMの評価論理の仕様にあり 同一アカウントの場合、どちらか一方の明示的な許可があればOK アイデンティティベースポリシー(IAMポリシー等) リソースベースポリシー(S3バケットポリシー等) 参考: https://dev.classmethod.jp/articles/devio-2021-iam-evaluation-logic/ 何故こんなに検知したのか?① 16
内部アクセスには、信頼ゾーンの概念はないと想定する 外部アクセス:信頼ゾーンの範囲内の検出は問題なしとする → 内部アクセスは信頼ゾーンの概念がそもそも存在しないのでは...? 想定する実際の仕様 信頼ゾーンとの記載はマネコンの不備と想定できる、実際は「選択されたアカウント」の想定 ※選択されたアカウント = 未使用アクセスと同じ仕様 何故こんなに検知したのか?②
17
S3バケットポリシーを制限して再度チャレンジしたが、権限を絞りすぎてエラーに。 再度ポリシー権限を見直して、再々チャレンジしたところ... 再スキャンが一向に実行されない ドキュメントによると「アナライザーが更新された時は24時間以内に自動再スキャンされ る」 リソース側が更新された場合の動作は...? 手動スキャンはできない(再スキャンのボタンがない) 再チャレンジ 18
別環境にて、Organizations組織の内部アナライザーを作成した環境で検知 どのリソースポリシーで許可されているか、SCP/RCPの影響のあるなし(Applied)、許可され ているアクセス権限(Access Level)がすぐわかる アクセスされるリソースとアクセス元のIAMプリンシパルの情報がまとまっており、クロスア カウントアクセスロールでも状況が一目でわかる 参考: Organizations組織での検出結果の例 19
有効化した初日にコストが発生、分割して従量課金されない仕様 (未使用のアクセスと同じ) ここまでに発生したコスト 20
検証してわかったこと 21
1. 全リソースに対し一律で有効化する機能ではない 最小権限の実現や新規アクセスの通知が不要なリソースには適用しなくて良い 一撃で発生する利用費が高価になりがち(未使用のアクセスと同様) 2. 運用最適化までの難易度は高い リソースベースポリシー、アイデンティティベースポリシーともにかなり制限していないと、 多めに検知してしまう サービスリンクロールがあると大量に検知するので、アーカイブルールとセットで運用 3.
シングルアカウントよりマルチアカウント環境での活用にメリットがある 詳しく紹介できなかったが、SCP/RCPやPermission Boundayrと併用することでより効率性の 高い 複雑なクロスアカウントアクセスの検知が可能無点がメリット SCP/RCPの影響があるリソースのみを検知してアーカイブすることも可能 検証してわかったこと 22
料金が高額($9/リソース/月、従量課金ではない) 全リージョン、全アカウントで有効化するのはコスト観点で危険 手動スキャン不可、再スキャンタイミングが不明瞭 トライアンドエラーしづらい 信頼ゾーンは誤植だと思われる おそらく内部アクセスは未使用のアクセスと同じ仕様 注意点 23
質問・ご意見は Ask the Speaker でお待ちしております ご清聴ありがとうございました! 24