AWS Identity and Access Management Access Analyzer の開始方法 - AWS Identity and Access Management
IAM Access Analyzer を使用するために必要なアクセス許可IAM Access Analyzer のステータス

AWS Identity and Access Management Access Analyzer の開始方法

このトピックでは、AWS Identity and Access Management Access Analyzer を使用および管理するために必要な条件について説明します。

IAM Access Analyzer を使用するために必要なアクセス許可

IAM Access Analyzer を正常に設定して使用するには、お使いのアカウントに対して必要なアクセス許可が付与されている必要があります。

IAM Access Analyzer の AWS 管理ポリシー

AWS Identity and Access Management Access Analyzer で提供される AWS 管理ポリシーを使用して、すぐに作業を開始できます。

  • IAMAccessAnalyzerFullAccess - 管理者に IAM Access Analyzer へのフルアクセスを許可します。また、このポリシーによって、IAM Access Analyzer がアカウント内または AWS 組織のリソースを分析できるようにするために必要なサービスリンクされたロールを作成することもできます。

  • IAMAccessAnalyzerReadOnlyAccess - IAM Access Analyzer への読み取り専用アクセスを許可します。IAM ID (ユーザー、ユーザーのグループ、またはロール) にポリシーを追加して、それらが表示できるようにする必要があります。

IAM Access Analyzer で定義したリソース

IAM Access Analyzer によって定義されるリソースを表示するには、「サービス認可リファレンス」の「IAM Access Analyzer で定義されるリソースタイプ」を参照してください。

必要な IAM Access Analyzer サービスの許可

IAM Access Analyzer は、AWSServiceRoleForAccessAnalyzer という名前の IAM サービスリンクロール (SLR) を使用します。この SLR は、リソースベースのポリシーを使用して AWS リソースを分析し、ユーザーに代わって未使用のアクセスを分析するための読み取り専用アクセスをサービスに付与します。以下のシナリオで、サービスによってアカウント内のロールが作成されます。

  • 自分のアカウントを信頼ゾーンとして持つ外部アクセスアナライザーを作成します。

  • 自分のアカウントを選択アカウントとして持つ未使用のアクセスアナライザーを作成します。

詳細については、「AWS Identity and Access Management Access Analyzer のサービスにリンクされたロールの使用」を参照してください。

注記

IAM Access Analyzer はリージョンに基づきます。外部アクセスの場合、IAM Access Analyzer は、各リージョンで個別に有効にする必要があります。

未使用のアクセスの場合、アナライザーの検出結果はリージョンによって変わりません。リソースがある各リージョンにアナライザーを作成する必要はありません。

場合によっては、IAM Access Analyzer で外部アクセスアナライザーまたは未使用のアクセスアナライザーを作成した後に、[結果] ページまたはダッシュボードを読み込んでも検出結果や概要が表示されないことがあります。これは、コンソールで結果の反映が遅延しているためと考えられます。必要に応じてブラウザを手動で更新するか、後で検出結果や概要が表示されるか確認してください。それでも外部アクセスアナライザーの検出結果が表示されない場合は、外部エンティティからアクセスできるサポート対象のリソースがアカウント内にないことが原因です。外部エンティティにアクセスを許可するポリシーをリソースに適用すると、IAM Access Analyzer で結果が生成されます。

注記

外部アクセスアナライザーの場合、ポリシーが変更されてから、IAM Access Analyzer がリソースを分析して、新しい外部アクセスの結果を生成したり、リソースへのアクセスに関する既存の結果を更新したりするまでに、最大で 30 分かかる場合があります。外部アクセスアナライザーと未使用のアクセスアナライザーのどちらの場合も、検出結果の更新がすぐにダッシュボードに反映されないことがあります。

検出結果ダッシュボードを表示するために必要な IAM Access Analyzer アクセス許可

IAM Access Analyzer の検出結果ダッシュボードを表示するには、使用するアカウントに対して、以下の必要なアクションを実行するためのアクセス許可が付与されている必要があります。

IAM Access Analyzer によって定義されるすべてのアクションを表示するには、「サービス認可リファレンス」の「IAM Access Analyzer で定義されるアクション」を参照してください。

IAM Access Analyzer のステータス

アナライザーのステータスを表示するには、[アナライザー] を選択します。組織またはアカウント用に作成されたアナライザーは、次のステータスを持つことができます。

ステータス 説明

[アクティブ]

外部アクセスアナライザーの場合、アナライザーは、信頼ゾーン内のリソースをアクティブにモニタリングします。アナライザーは、新しい結果をアクティブに生成し、既存の結果を更新します。

未使用のアクセスアナライザーの場合、アナライザーは、指定された追跡期間における選択した組織または AWS アカウント内で使用されていないアクセス権限をアクティブにモニタリングします。アナライザーは、新しい結果をアクティブに生成し、既存の結果を更新します。

作成中

アナライザーの作成はまだ進行中です。作成が完了すると、アナライザーがアクティブになります。

無効

AWS Organizations 管理者が実行したアクションにより、アナライザーは無効になっています。たとえば、IAM Access Analyzer の代理管理者としてアナライザーのアカウントが削除されています。アナライザーが無効化された状態の場合、新しい検出結果の生成も、既存の結果の更新も行われません。

[失敗]

設定の問題により、アナライザーの作成に失敗しました。アナライザーにより結果が生成されません。アナライザーを削除し、新しいアナライザーを作成します。