IAM Access Analyzer とは?過剰アクセスの自動検知
IAM Access Analyzer は 過剰に外部公開されたリソースを自動検出するセキュリティサービス。S3 バケット・IAM ロール・KMS 鍵・Lambda・SQS 等 が、組織外・予期せぬ第三者にアクセス可能になっていないかをチェックする。無料で有効化でき、設定し...
過剰に開かれたリソースアクセスを自動検出。S3 バケット公開・クロスアカウント露出を可視化。
1. 概要(端的に)
IAM Access Analyzer は 過剰に外部公開されたリソースを自動検出するセキュリティサービス。S3 バケット・IAM ロール・KMS 鍵・Lambda・SQS 等 が、組織外・予期せぬ第三者にアクセス可能になっていないかをチェックする。無料で有効化でき、設定し忘れの公開リソースを検出する保険として強力。
2. 何ができるか
- 外部アクセス検知:組織・アカウント外への公開を検出
- 複数リソース対応:S3 / IAM / KMS / Lambda / SQS / Secrets Manager / EFS / Snapshots
- ポリシー検証:IAM ポリシーの過剰権限・誤記をチェック
- 未使用アクセス検知:使われていない権限の特定
- ポリシー生成:CloudTrail から最小権限ポリシーを自動生成
3. 特徴
| 観点 | 特徴 |
|---|---|
| 追加料金 | 外部アクセス検知は 無料 / 一部高度機能は有料 |
| 対象 | 主要な公開可能リソース |
| トリガー | 設定変更時に自動再評価 |
| 継続監視 | リアルタイム |
| マルチアカウント | Organizations 対応 |
4. 仕組み
Access Analyzer は リソースのアクセス制御設定(バケットポリシー・IAM ポリシー等)を解析し、組織境界・アカウント境界を越える許可があれば検出する。
動作
- アナライザー作成(アカウント or 組織スコープ)
- リソース変更時に自動評価
- 違反検知 → Findings として表示
- 設定修正 or 「意図的なアクセス」として承認
検知例
S3 バケット「public-data」のバケットポリシー:
Principal: "*"
Effect: Allow
Action: s3:GetObject
→ 誰でも読み取り可能(外部アクセス検知)→ 意図的(Web 公開)なら承認、意図せずなら修正。
ポリシー検証
- IAM ポリシー作成時に AWS が 100+ のセキュリティチェック を実施
- 過剰権限・タイポ・廃止 API を警告
5. ユースケース
ユースケース 1:S3 バケットの誤公開検知
うっかり Public 化したバケットを即座に発見。
ユースケース 2:監査・コンプライアンス
PCI DSS / HIPAA 等の監査で「外部公開なし」を証明。
ユースケース 3:マルチアカウント管理
Organizations 全体で公開リソースを一元監視。
ユースケース 4:未使用権限の整理
過剰な IAM 権限の最小化。
ユースケース 5:最小権限ポリシー生成
CloudTrail ログから実際使われた API のみ抽出。
6. 関連用語
- IAM / IAM-Policy — Access Analyzer の対象
- S3 — 主要対象(バケット公開検知)
- Organizations — 組織スコープ
- CloudTrail — ポリシー生成のソース
7. 関連サイト
AWS 公式
🎓 試験での出題傾向
| 試験 | 重要度 | 主な出題パターン |
|---|---|---|
| CLF | 低 | 出題稀 |
| SAA | 中 | セキュリティ監査要件 |
| DVA | 低 | 出題ほぼなし |
| SOA | 中 | セキュリティ運用 |