IAM Last accessed information(1/2) 最後にアクセスされた情報をもとに不要なアクセス許可の特定を支援 IAM Access Analyzer を利用した最小権限への旅 最大400日間の アクセス情報を追跡 追跡期間中は アクセスされていない 不要なサービス許可 権限の修正
IAM Access Analyzer を利用した最小権限への旅 権限の設定 権限の確認 権限の修正 IAM Access Analyzer でできること IAM Access Analyzer は 権限管理ライフサイクルのあらゆるステージを支える各種機能を提供 再掲 ✓ IAM Access Analyzer policy validation ✓ IAM Access Analyzer external access findings ✓ IAM Last Accessed information ✓ IAM Access Analyzer policy generation
IAM Access Analyzer を利用した最小権限への旅 権限の設定 権限の確認 権限の修正 IAM Access Analyzer でできること IAM Access Analyzer は 権限管理ライフサイクルのあらゆるステージを支える各種機能を提供 再掲 ✓ IAM Access Analyzer policy validation ✓ IAM Access Analyzer external access findings ✓ IAM Last Accessed information ✓ IAM Access Analyzer policy generation 銀の弾丸というわけにはいかなかった
3. 既知のIDプロバイダーのフィルター IAM Access Analyzer を利用した最小権限への旅 IAM Access Analyzer は IAM Identity Center 等のIdPをプリンシパルとして許 可する信頼ポリシーを持つロールを検知してしまう Control Tower を 展開した時の検知例 アカウントが増えるごとに 検出結果も増えていく
IAM Access Analyzer を利用した最小権限への旅 IAM Access Analyzer は IAM Identity Center 等のIdPをプリンシパルとして許 可する信頼ポリシーを持つロールを検知してしまう Control Tower を 展開した時の検知例 アカウントが増えるごとに 検出結果も増えていく IAM Identity Center の予約パスを使用して アーカイブルールを作成する 3. 既知のIDプロバイダーのフィルター
IAM Access Analyzer を利用した最小権限への旅 IAM Identity Center によって作成されたロールは、以下の予約パスを利用する 「arn:aws:iam:: :role/aws-reserved/sso.amazonaws.com/」 Federated User を saml-provider/AWSSSO Resource を aws-reserved/sso.amazonaws.com 3. 既知のIDプロバイダーのフィルター
IAM Access Analyzer とセキュリティ成熟度モデル IAM Access Analyzer の段階的活用にあたって、 セキュリティ成熟度モデルを一つの拠り所にすることができる IAM Access Analyzer を利用した最小権限への旅 https://maturitymodel.security.aws.dev/en/
IAM Access Analyzer とセキュリティ成熟度モデル IAM Access Analyzer の段階的活用にあたって、 セキュリティ成熟度モデルを一つの拠り所にすることができる IAM Access Analyzer を利用した最小権限への旅 https://maturitymodel.security.aws.dev/en/ 4段階の成熟度レベル