ホーム > クイックウィン > 未使用および意図しない外部アクセス権限の削除

未使用および意図しない外部アクセス権限の削除

AWS IAM Access Analyzer またはクラウドインフラストラクチャ権限管理 (CIEM) ソリューションを使用して、未使用および意図しない外部アクセス権限を削除してください。

IAM Access Analyzer を使用して、アカウントまたは Organizations 外で共有されているリ AWS ソースの検出

(無料機能) すべてのロールを確認し、必要最小限の権限のみが付与されていることを確認することをお勧めします。セキュリティ侵害時の脅威の範囲 (影響範囲) を制限できます。

IAM Access Analyzer で未使用のリソースを検出

(有料機能)

使用されていないロール、アクセスキー、アクセス許可を削除することをお勧めします。セキュリティ侵害時の影響を軽減できます。

IAM Access Analyzer デモ

(日本語字幕あり) IAM Access Analyzer simplifies inspecting unused access (IAM Access Analyzer による未使用のアクセスの検査の簡素化)

IAM Access Analyzer の代替として、クラウドインフラストラクチャ権限管理 (CIEM) ソリューション

AWS パートナーのソリューションを使用して、未使用および意図しないアクセス権限の削除ができます。これらのソリューションはクラウドインフラストラクチャ権限管理 (CIEM) と呼ばれ、Sonrai、Ermetic (Tenable) 、Palo Alto Prisma、Wiz などがあります。これらの機能は、場合によってはクラウドネイティブアプリケーション保護プラットフォーム (CNAPP) に統合されています。

Well-Architected Framework の推奨事項マッピング

SEC03-BP04 アクセス許可を継続的に削減する

主なリスクと軽減

[認証情報の取得 (Credential Access)] - 退職した従業員が永続的な認証情報へのアクセス権限を保持しているリスクを軽減できます
[永続化されたアカウント作成 (Persistence - Create Account)] - アカウントを侵害した不正ユーザーが、踏み台を維持するために永続的な認証情報を作成するリスクを軽減できます

IAM Access Analyzer はこれらのリスクを特定するのに役立ちます

評価のガイダンス

IAM Access Analyzer の"外部アクセスアナライザー"を組織で作成・利用していますか？
IAM Access Analyzer の"未使用のアクセスアナライザー"を利用して、未使用の権限、IAM ユーザー、アクセスキーを特定してますか？
組織内で誰かが検出結果の調査と修正に取り組んでいますか？
クラウドインフラストラクチャ権限管理 (CIEM) ソリューションを使用していますか？どのような機能を実装していますか？

料金

AWS IAM Access Analyzer の料金
- IAM Access Analyzer の外部アクセスアナライザーは無料で利用できます
- IAM Access Analyzer の未使用のアクセスアナライザーは有料です。詳細は料金ページを参照してください

AWS BlackBelt Online Seminar

PDF / 動画