すべてのプロダクト
Search

このプロダクト

    Resource Access Management:外部アクセスを特定する

    ドキュメントセンター

    Resource Access Management:外部アクセスを特定する

    最終更新日:Nov 13, 2024

    このトピックでは、外部アクセスアナライザーを使用して、リソースディレクトリまたは現在のアカウント内のリソースへの許可された外部アクセスを識別する方法について説明します。

    概要

    外部アクセスアナライザとは何ですか?

    外部アクセスアナライザーは、現在のアカウントまたはリソースディレクトリ内の外部アカウントと共有されているリソースを識別するのに役立ちます。 OSS (Object Storage Service) バケットやRAM (Resource Access Management) ロールなど、いくつかのAlibaba Cloudリソースは、外部IDにアタッチされたリソースベースのポリシーをサポートしています。 外部アクセスアナライザーは、リソースディレクトリまたは現在のアカウント内の共有リソースを継続的に監視し、リソースの結果を生成します。 これにより、予期しないリソース共有を特定し、企業のセキュリティリスクを軽減できます。 各検索結果には、共有リソースにアクセスする外部IDと許可された操作権限に関する情報が含まれます。

    信頼ゾーン

    アナライザーの作成時に、アナライザーのスコープを [現在のアカウント] または [リソースディレクトリ] に設定できます。 指定するスコープは、アナライザーの信頼ゾーンです。 アナライザーは、信頼ゾーンで分析できるリソースを監視します。 内部IDが信頼ゾーン内のリソースにアクセスする場合、アナライザーはアクセスが信頼されていると見なします。 たとえば、信頼ゾーンが現在のアカウントの場合、現在のアカウントのIDは信頼されていると見なされます。 他のアカウントのIDは信頼できないと見なされます。 信頼ゾーンがリソースディレクトリの場合、現在のアカウントが属するリソースディレクトリ内のIDは信頼されていると見なされます。 リソースディレクトリ外のIDは信頼できないと見なされます。

    外部アクセスアナライザーをサポートするリソースの種類

    • OSSバケット

      外部アクセスアナライザーは、OSSバケットのアクセスコントロールリスト (ACL) とバケットポリシーを分析し、Block Public accessパラメーターの値に基づいて調査結果を生成します。 信頼ゾーン内のバケットが信頼ゾーン外のエンティティ (匿名ユーザーなど) からのアクセスを許可している場合、アナライザーはバケットのアクティブな検出結果を生成します。

    • RAMロール

      外部アクセスアナライザは、RAMロールの信頼ポリシーを分析します。 信頼ポリシーは、RAMロールの作成時に指定されるリソースベースのポリシーです。 信頼ポリシーでは、RAMロールを引き受けることができる信頼できるエンティティを指定できます。 信頼ゾーン外のエンティティが信頼ゾーン内のRAMロールを引き受けることができる場合、アナライザーはRAMロールのアクティブな結果を生成します。

    外部アクセスアナライザーの作成

    1. 管理者権限を持つRAMユーザーとしてRAMコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、アクセス分析 > アナライザーを選択します。

    3. 上部のナビゲーションバーで、リージョンを選択します。

      説明

      外部アクセスアナライザーは、アナライザーが存在するリージョンのリソースのみを分析します。 他のリージョンのリソースを分析するには、そのリージョンにアナライザーを作成する必要があります。 中央リージョンにデプロイされているリソース (RAMロールなど) は、どのリージョンのアナライザーでも監視および分析できます。

    4. [アナライザー] ページで、[アナライザーの作成] をクリックします。 [アナライザーの作成] ページで、アナライザー名を入力し、アナライザータイプを [外部アクセス] に設定し、アナライザースコープを選択します。 次に、[アナライザーの作成] をクリックします。

      説明

      Analyzer Scopeをresource directoryに設定できるのは、リソースディレクトリの管理アカウントだけです。

      image

    アナライザーを作成すると、アナライザーはアナライザースコープ内のリソースへの外部アクセスを検出します。 システムは、所見を生成するために特定の期間を必要とします。

    外部アクセスの結果の表示と処理

    調査結果の表示

    [アナライザー] または [調査結果] ページで調査結果を表示できます。

    次の図は、[アナライザー] ページを示しています。

    image

    次の図は、[調査結果] ページを示しています。

    image

    調査結果のフィルター

    リソース、リソースタイプ、リソース所有者、ステータスなどのフィルター条件に基づいて特定の結果を検索できます。

    説明

    コンソールのフィルター条件が優先されます。

    たとえば、次の条件を設定して、パブリックアクセスが存在するかどうかを確認できます。

    image

    検索結果の詳細を表示

    検索結果リストで、管理する検索結果を見つけ、[検索ID] 列のIDをクリックします。

    image

    検出結果に基づいて、次のいずれかの操作を実行できます。

    • リソースの共有が必要な場合は、[アーカイブ] をクリックして検索結果をアーカイブします。

    • リソースの共有が予期しない場合は、[ガバナンスに移動] または [リソースURLのコピー] をクリックして、対応するページでガバナンス操作を実行します。 関連するリソースが現在のアカウントに属している場合は、[Go for Governance] をクリックします。 それ以外の場合は、[リソースURLのコピー] をクリックします。

    自動的調査結果をアーカイブ

    単一の所見を手動でアーカイブすることとは別に、ガバナンスを必要としない所見を自動的にアーカイブするためのアーカイブルールを作成できます。

    [所見] ページで、フィルター条件を設定し、[アーカイブルールとして保存] をクリックしてアーカイブルールを作成します。 アーカイブルールを作成すると、新しい結果が自動的にアーカイブされます。

    image

    アーカイブルールが作成される前に生成された結果は、自動的にアーカイブされません。 調査結果をアーカイブするには、次の操作を実行します。[アナライザー] ページに移動し、[アナライザー名] 列の名前をクリックし、[アーカイブルール] タブをクリックし、必要なアーカイブルールを見つけて、[操作] 列の [アーカイブルールの適用] をクリックします。

    image