Link
Embed
Share
Beginning
This slide
Copy link URL
Copy link URL
Copy iframe embed code
Copy iframe embed code
Copy javascript embed code
Copy javascript embed code
Share
Tweet
Share
Tweet
Slide 1
Slide 1 text
小寺 加奈子 2024年7月12日 JAWSUG福岡×クラウド女子会 コラボ会 IAM Access Analyzer アップデート
Slide 2
Slide 2 text
自己紹介 【仕事】 AWSパートナーでアライアンスリード 【好きなAWSサービス】 Cost Exploler 【趣味】 お琴
Slide 3
Slide 3 text
アジェンダ IAM Access Analyzerとは re:Inforceでのアップデート内容 推奨事項を使った運用について考える
Slide 4
Slide 4 text
・最小限の権限の原則を実現するサービス ・AWSアカウント全体で「意図せぬ公開設定 がされていないか」検出および可視化 ・IAMポリシーが IAM のベストプラクティス に沿っているかレビュー IAM Access Analyzerってどんなサービス?
Slide 5
Slide 5 text
No content
Slide 6
Slide 6 text
・IAM Access Analyzerの「未使用アクセス」にて、 どのように修正するべきか?の推奨事項が表示される ようになりました UPDATE内容(1)
Slide 7
Slide 7 text
どのような推奨事項が表示されるの? 推奨事項は2つに分かれます。 ・未使⽤のロール、アクセスキー、パスワードの場合 ⇒ IAM Access Analyzer のコンソールで、削除に役⽴つ クイックリンクが表⽰されます。 ・未使⽤の許可の場合 IAM Access Analyzer が既存のポリシーを確認して、 アクセスアクティビティに合わせた⽅法をレコメンドしてく れます。
Slide 8
Slide 8 text
推奨事項を確認してみる 「アクセスアナライザー」より「未使用のアクセス」を 確認できます
Slide 9
Slide 9 text
例)IAMユーザの表示を確認してみる
Slide 10
Slide 10 text
表示された推奨事項!! 1.リソースの詳細を確認するリンクが表示 2. 「意図しないアクセスがないか」 →判断を行った上で「アーカイブ」の対応を行う必要がある
Slide 11
Slide 11 text
対応してみる レコメンドされた結果が意図したものではなく、IAMユーザ が必要だと判断した場合は「アーカイブ」する。 [アクティブな検出結果] から削除される。
Slide 12
Slide 12 text
UPDATE内容(2) IAM Access Analyzerのカスタムポリシーチェック ポリシーが拡張されました
Slide 13
Slide 13 text
カスタムポリシーチェックとは? re:Invent 2023にて発表された機能 IAMユーザやロール等のリソースベースポリシーを チェックすることができる CheckNoNewAccess 新旧比較から新しいアクセスの許可を確認 CheckAccessNotGranted 与えたくないアクセスを与えていないか確認
Slide 14
Slide 14 text
今回のアップデートできるようになったこと CheckNoPublicAccess パブリックアクセスが含まれていないかチェックできます。 リソースベースポリシーに適用しています。
Slide 15
Slide 15 text
どの様にチェックできるか? 結果:FAIL 結果:PASS
Slide 16
Slide 16 text
今回のアップデートできるようになったこと CheckAccessNotGrantedのリソースアクセスの確認 特定リソースに対するアクセス権限の確認が できるようになりました。
Slide 17
Slide 17 text
どの様にチェックできるか? 結果:FAIL 結果:PASS
Slide 18
Slide 18 text
・未使用のアクセスを活用して、何をすべきかがより分かり やすくなった ・定期的な棚卸作業に活用ができそう ※注意※ 1つのIAMロール・ユーザ毎に課金が発生します!!! CostのAbnomally Detectionで気づきました・・ まとめと運用を考える
Slide 19
Slide 19 text
・事前のポリシーチェックを行うことで、意図しないパブリ ックアクセスを絞込みできる ・CI/CDに組み込みして、自動チェックしたうえでデプロイ する運用を まとめと運用を考える
Slide 20
Slide 20 text
ご清聴 ご清聴 ありがとうございました ありがとうございました