今回のゴール
OrganizetionsでIAM Access Analyzerを有効にしてAWS共有リソースの検出を有効にします。
IAM アクセスアナライザーとは
外部エンティティと共有されているリソースを検出します。
これによりセキュリティ上のリスクであるリソースとデータへの意図しないアクセスを特定できます。
下記のリソースについて分析できます。
- S3バケット
- IAMロール
- KMSキー
- Lambdaの関数とレイヤー
- SQSキュー
- Secret Managerのシークレット
IAMアクセスアナライザーは現在の設定状況から調査するものであり、実際にアクセスを元に調査されているわけではありません。
実際にアクセスを元に調査するにはCloudTrailを使用します。
設定
Organizationsのルートアカウントにログインします。
[IAM]-[アクセスレポート]-[Access Analyzer]で「アナライザーを作成」ボタンをクリックします。
※今回は割愛しますが、ルートアカウントは非常に強い権限をもっておりますので、ルートアカウントではなく、子アカウントに代理管理者の設定を行い、その子アカウントでアナライザーを作成して使用する運用が推奨されております。
![](https://www.it-ouji.com/wp-content/uploads/2021/07/1-1-1024x261.png)
[名前]:ConsoleAnalyzer-organizations(任意)
[信頼ゾーン]:現在の組織
![](https://www.it-ouji.com/wp-content/uploads/2021/07/2-1.png)
確認
Organizationsの子アカウントの情報が取得できるか確認していきます。
子アカウントのS3バケットを作成して、パブリックアクセス状態に設定します。
暫くすると、アクセスアナライザーの画面でS3がパブリックアクセスになっていることが確認できました。
![](https://www.it-ouji.com/wp-content/uploads/2021/08/1-1-1024x332.png)
この動作が意図した正常なものであれば、チェックを付けて[アクション]-[アーカイブ]を選択して、[アーカイブ済み]とします。