みなさん、こんにちは。サニービュー事業部の小寺です。
IAMアクセスアドバイザーを利用していますか?

今日は、IAMアクセスアドバイザーで最終アクセス日時の確認対象サービスが
追加になったので、お知らせです。
IAMアクセスアドバイザーとは何か?活用方法も合わせてお伝えします。
https://aws.amazon.com/jp/about-aws/whats-new/2021/04/review-last-accessed-information-identify-unused-ec2-iam-lambda-permissions-tighten-access-iam-roles/

■IAMアクセスアドバイザーとは

各IAMエンティティ(ユーザー、ロール、グループなど)単位で、AWSサービスごとの最終アクセス時間が見ることができます。
IAMアクセスアドバイザーを利用して、 最終アクセス時間を確認し、未使用の権限を特定し削除することが可能です。

■どうやって最終アクセス時間を確認するの?

IAM コンソールの [アクセスアドバイザー] タブで、IAM の最終アクセス時間情報を表示できます。
まずは、IAM コンソール(https://console.aws.amazon.com/iam/)を開いてみましょう。

ナビゲーションペインで、[グループ]、[ユーザー]、[ロール]、または [ポリシー] を選択します。赤枠から選ぶことができます。

任意のユーザー、グループ、ロール、またはポリシーの名前をクリックして、その[概要] ページを開き、[アクセスアドバイザー] タブを選択します。選択したリソースに基づき、次の情報を表示します。

・グループ – グループメンバー (ユーザー) がアクセスできるサービスのリストを表示します。また、メンバーが最後にサービスにアクセスした日時、使用したグループポリシー、リクエストを行ったグループメンバーも表示できます。ポリシーの名前を選択して、ポリシーが管理ポリシーかインライングループポリシーかを確認します。グループメンバーの名前を選択して、グループのすべてのメンバーと、サービスへの最終アクセス時間を選択します。

・ユーザー – ユーザーがアクセスできるサービスのリストを表示します。また、最後にサービスにアクセスした日時と使用したポリシーも表示できます。ポリシーの名前を選択して、そのポリシーが管理ポリシー、インラインユーザーポリシー、グループのインラインポリシーのいずれであるかを確認します。

・ロール – ロールでアクセスできるサービス、サービスへのロールの最終アクセス時間、および使用したポリシーのリストを表示します。ポリシーの名前を選択して、ポリシーが管理ポリシーかインラインロールポリシーかを確認します。

・ポリシー – ポリシーで許可されたアクションを含むサービスのリストを表示します。また、サービスにアクセスするために最後にポリシーが使用された日時と、ポリシーを使用したエンティティ (ユーザーまたはロール) も表示できます。エンティティの名前を選択して、このポリシーがアタッチされているエンティティや、サービスへの最終アクセス時間を確認します。

2)ここでは、「ロール」を選びます。
[最後のアクティビティ] 列が表示されます。

・「XX日前」と表示されている場合
サービスまたはアクションが使用されてから経過した日数が表示されます。
サービスの追跡期間は、過去 400 日間です。

・「なし」と表示されている場合
サービスまたはアクションが、使用されていません。

3)「ロール」をクリックして、詳細を確認してみましょう。

「最終アクセス時間」をみてみましょう。
「追跡期間中のアクセスはありません」と表示されています。
いかにも、使っていなかったので、期待通りの結果でした・・。こちらは利用されていれば、最終アクセス時間を確認することができます。

■今回のアップデートは

以前は、最終アクセス時間の情報はS3だけ対応していました。
今回のアップデートでIAM は、最終アクセス時間の範囲を Amazon EC2、AWS IAM、および AWS Lambda アクションまで拡張することで、アクセス履歴の可視化がより進み、便利になりました。

IAMアクセスアドバイザーを活用して、IAMエンティティの棚卸やアクセス権を絞りこむことができます。
アカウント管理以外にロール、ポリシーも不要なものを、自信を持って削除できそうですよね。

■まとめ

いかがでしたでしょうか。
本日は、IAMアクセスアドバイザーの確認方法とアップデート内容についてお届けしました!

SunnyCloudでは、AWSにおけるセキュリティ診断や関連サービス導入などセキュリティ最適化のサービスもご提供しております。

▼「無料相談」受付中です
https://www.sunnycloud.jp/contact-us/