AWS Identity and Access Management (IAM) Access Advisor を使用して AWS サービスとリソースのアクセス情報を確認したいと考えています。さらに、IAM Access Analyzer を使用して IAM ポリシーを検証、生成したいと考えています。
IAM Access Advisor を使用すると、IAM グループ、ユーザー、ロール、またはポリシーがアクセスできる AWS サービスと、それらのサービスへの最終アクセス時間を確認できます。IAM コンソールの [Access Advisor] タブで IAM の最終アクセス情報を確認する方法については、「IAM の最終アクセス情報を確認する」を参照してください。
IAM アクションの最終アクセス情報に関する AWS サービスのリストについては、「IAM アクションの最終アクセス情報サービスとアクション」を参照してください。
詳細については、「特定の IAM ユーザー、ロール、AWS アクセスキーのアカウントアクティビティを監視する方法を教えてください」を参照してください。
IAM Access Analyzer を使用すると、AWS リソースへのアクセスを許可する IAM ポリシーを簡単に確認できます。たとえば、別の AWS アカウントから S3 リソースを付与している Amazon Simple Storage Service (Amazon S3) バケットポリシーを確認できます。詳細については、「IAM Access Analyzer を使用する」を参照してください。
IAM Access Analyzer を使用して AWS CloudTrail イベントを分析し、そのアクティビティに基づいて IAM ポリシーを生成することもできます。詳細については、「IAM Access Analyzer によるポリシー生成」を参照してください。
IAM Access Analyzer を有効にする方法については、「IAM Access Analyzer を有効にする」を参照してください。
注: 1 ヶ月あたりに作成した未使用のアクセス分析に対して、料金が発生します。詳細については、「IAM Access Analyzer の料金表」を参照してください。
IAM Access Analyzer のアクセス許可をトラブルシューティングするには、「IAM Access Analyzer から生成されたポリシーに関するアクセス許可の問題を解決する方法を教えてください」を参照してください。
AWS IAM AWS IAM Access Analyzer を使用して AWS Organization アカウントの AWS リソースを監視する方法を教えてください
IAM Access Analyzer を使用して、アクセスアクティビティに基づく IAM ポリシーの生成による最小特権の実装を簡素化する