【アップデート】IAMアクセスアドバイザーで未使用の権限を特定（EC2, IAM, Lambda）

みなさん、こんにちは。サニービュー事業部の小寺です。
IAMアクセスアドバイザーを利用していますか？

今日は、IAMアクセスアドバイザーで最終アクセス日時の確認対象サービスが
追加になったので、お知らせです。
IAMアクセスアドバイザーとは何か？活用方法も合わせてお伝えします。
https://aws.amazon.com/jp/about-aws/whats-new/2021/04/review-last-accessed-information-identify-unused-ec2-iam-lambda-permissions-tighten-access-iam-roles/

■IAMアクセスアドバイザーとは

各IAMエンティティ（ユーザー、ロール、グループなど）単位で、AWSサービスごとの最終アクセス時間が見ることができます。
IAMアクセスアドバイザーを利用して、最終アクセス時間を確認し、未使用の権限を特定し削除することが可能です。

■どうやって最終アクセス時間を確認するの？

IAM コンソールの [アクセスアドバイザー] タブで、IAM の最終アクセス時間情報を表示できます。
まずは、IAM コンソール（https://console.aws.amazon.com/iam/）を開いてみましょう。

ナビゲーションペインで、[グループ]、[ユーザー]、[ロール]、または [ポリシー] を選択します。赤枠から選ぶことができます。

任意のユーザー、グループ、ロール、またはポリシーの名前をクリックして、その[概要] ページを開き、[アクセスアドバイザー] タブを選択します。選択したリソースに基づき、次の情報を表示します。

・グループ – グループメンバー (ユーザー) がアクセスできるサービスのリストを表示します。また、メンバーが最後にサービスにアクセスした日時、使用したグループポリシー、リクエストを行ったグループメンバーも表示できます。ポリシーの名前を選択して、ポリシーが管理ポリシーかインライングループポリシーかを確認します。グループメンバーの名前を選択して、グループのすべてのメンバーと、サービスへの最終アクセス時間を選択します。

・ユーザー – ユーザーがアクセスできるサービスのリストを表示します。また、最後にサービスにアクセスした日時と使用したポリシーも表示できます。ポリシーの名前を選択して、そのポリシーが管理ポリシー、インラインユーザーポリシー、グループのインラインポリシーのいずれであるかを確認します。

・ロール – ロールでアクセスできるサービス、サービスへのロールの最終アクセス時間、および使用したポリシーのリストを表示します。ポリシーの名前を選択して、ポリシーが管理ポリシーかインラインロールポリシーかを確認します。

・ポリシー – ポリシーで許可されたアクションを含むサービスのリストを表示します。また、サービスにアクセスするために最後にポリシーが使用された日時と、ポリシーを使用したエンティティ (ユーザーまたはロール) も表示できます。エンティティの名前を選択して、このポリシーがアタッチされているエンティティや、サービスへの最終アクセス時間を確認します。

2)ここでは、「ロール」を選びます。
[最後のアクティビティ] 列が表示されます。