Slide 1

Slide 1 text

小寺 加奈子 2024年7月12日 JAWSUG福岡×クラウド女子会 コラボ会 IAM Access Analyzer アップデート

Slide 2

Slide 2 text

自己紹介 【仕事】 AWSパートナーでアライアンスリード 【好きなAWSサービス】 Cost Exploler 【趣味】 お琴

Slide 3

Slide 3 text

アジェンダ IAM Access Analyzerとは re:Inforceでのアップデート内容 推奨事項を使った運用について考える

Slide 4

Slide 4 text

・最小限の権限の原則を実現するサービス ・AWSアカウント全体で「意図せぬ公開設定 がされていないか」検出および可視化 ・IAMポリシーが IAM のベストプラクティス に沿っているかレビュー        IAM Access Analyzerってどんなサービス?

Slide 5

Slide 5 text

No content

Slide 6

Slide 6 text

・IAM Access Analyzerの「未使用アクセス」にて、 どのように修正するべきか?の推奨事項が表示される ようになりました        UPDATE内容(1)

Slide 7

Slide 7 text

どのような推奨事項が表示されるの? 推奨事項は2つに分かれます。 ・未使⽤のロール、アクセスキー、パスワードの場合 ⇒ IAM Access Analyzer のコンソールで、削除に役⽴つ クイックリンクが表⽰されます。 ・未使⽤の許可の場合 IAM Access Analyzer が既存のポリシーを確認して、 アクセスアクティビティに合わせた⽅法をレコメンドしてく れます。

Slide 8

Slide 8 text

推奨事項を確認してみる 「アクセスアナライザー」より「未使用のアクセス」を 確認できます

Slide 9

Slide 9 text

例)IAMユーザの表示を確認してみる

Slide 10

Slide 10 text

表示された推奨事項!! 1.リソースの詳細を確認するリンクが表示 2. 「意図しないアクセスがないか」 →判断を行った上で「アーカイブ」の対応を行う必要がある

Slide 11

Slide 11 text

対応してみる レコメンドされた結果が意図したものではなく、IAMユーザ が必要だと判断した場合は「アーカイブ」する。 [アクティブな検出結果] から削除される。

Slide 12

Slide 12 text

UPDATE内容(2) IAM Access Analyzerのカスタムポリシーチェック ポリシーが拡張されました

Slide 13

Slide 13 text

カスタムポリシーチェックとは? re:Invent 2023にて発表された機能 IAMユーザやロール等のリソースベースポリシーを チェックすることができる CheckNoNewAccess  新旧比較から新しいアクセスの許可を確認 CheckAccessNotGranted  与えたくないアクセスを与えていないか確認

Slide 14

Slide 14 text

今回のアップデートできるようになったこと CheckNoPublicAccess パブリックアクセスが含まれていないかチェックできます。 リソースベースポリシーに適用しています。

Slide 15

Slide 15 text

どの様にチェックできるか? 結果:FAIL 結果:PASS

Slide 16

Slide 16 text

今回のアップデートできるようになったこと CheckAccessNotGrantedのリソースアクセスの確認 特定リソースに対するアクセス権限の確認が できるようになりました。

Slide 17

Slide 17 text

どの様にチェックできるか? 結果:FAIL 結果:PASS

Slide 18

Slide 18 text

・未使用のアクセスを活用して、何をすべきかがより分かり やすくなった ・定期的な棚卸作業に活用ができそう ※注意※ 1つのIAMロール・ユーザ毎に課金が発生します!!! CostのAbnomally Detectionで気づきました・・ まとめと運用を考える

Slide 19

Slide 19 text

・事前のポリシーチェックを行うことで、意図しないパブリ ックアクセスを絞込みできる ・CI/CDに組み込みして、自動チェックしたうえでデプロイ する運用を まとめと運用を考える

Slide 20

Slide 20 text

ご清聴 ご清聴 ありがとうございました ありがとうございました