すべてのプロダクト
Search
ドキュメントセンター

Resource Access Management:過剰特権IDの特定

最終更新日:Nov 13, 2024

このトピックでは、過剰特権IDアナライザーを使用して、リソースディレクトリまたは現在のアカウントで過剰特権IDを識別する方法について説明します。

概要

過剰特権IDアナライザーとは

過剰特権IDアナライザーは、リソースディレクトリまたは現在のアカウントで過剰特権IDを識別するのに役立ちます。 過剰特権IDアナライザーは、リソースディレクトリまたは現在のアカウント内のすべてのRAM (Resource Access Management) IDを継続的に監視し、過剰特権IDの結果を生成します。 RAM IDは、RAMユーザーとRAMロールです。 アナライザによって生成された所見は、スーパーユーザ、スーパーロール、特権ユーザ、特権ロール、非アクティブユーザ、非アクティブ役割、過剰特権ユーザ、および過剰特権ロールのタイプに分類される。 各検索結果には、RAM IDに付与された権限と、その権限がRAM IDによって最後に使用された時刻に関する情報が含まれます。

  • スーパーユーザーとスーパーロール: RAM IDには、アカウント内のすべてのリソースを管理する完全な権限があります。 たとえば、AdministratorAccessポリシーがRAMユーザーまたはRAMロールにアタッチされている場合、RAMユーザーまたはRAMロールには、アカウント内のすべてのリソースを管理するための完全な権限があります。

  • 特権ユーザーおよび特権ロール: RAM IDには、リスクの高い操作を実行する特権があります。 このような権限を持つRAM IDは、自身または他のIDにより多くの権限を付与できます。 詳細については、「特権」をご参照ください。

  • 非アクティブユーザーおよび非アクティブロール: RAM IDは、[未使用アクセス期間] パラメーターで指定された期間内にリソースにアクセスする権限を使用しません。

  • 過剰特権ユーザーおよび過剰特権ロール: RAM IDには、[未使用アクセス期間] パラメーターで指定された期間内に使用されないサービスレベルおよび操作レベルの権限があります。

アナライザースコープ

過剰特権IDアナライザーは、リソースディレクトリまたは現在のアカウント内のすべてのRAM IDに関する権限監査情報をチェックし、その情報に基づいて調査結果を生成します。 アナライザーはサービスにリンクされたロールをチェックしません。 権限監査機能を使用すると、RAM IDに付与されている権限と、その権限がRAM IDによって最後に使用された時刻を確認できます。 過剰特権IDアナライザーと権限監査機能は、同じポリシータイプ、クラウドサービス、および監査の粒度をサポートします。 詳細については、「概要」をご参照ください。

過剰特権IDアナライザーの作成

  1. 管理者権限を持つRAMユーザーとしてRAMコンソールにログインします。

  2. 左側のナビゲーションウィンドウで、アクセス分析 > アナライザーを選択します。

  3. [アナライザー] ページで、[アナライザーの作成] をクリックします。 [アナライザーの作成] ページで、アナライザー名を入力し、アナライザータイプを [特権超過] に設定し、未使用アクセスの期間を設定し、アナライザースコープを選択します。 次に、[アナライザーの作成] をクリックします。

    未使用アクセスの期間は、権限がアイドルかどうかを判断するために使用されます。 有効な値: 1 ~ 180 デフォルト値: 90。 単位:日 たとえば、[未使用アクセスの期間] を90に設定した場合、90日を超えて使用されていない権限はアイドルと見なされます。

    説明

    Analyzer Scopeをresource directoryに設定できるのは、リソースディレクトリの管理アカウントだけです。

    image

アナライザーを作成した後、アナライザーはRAMのIDと権限を確認します。 システムは、所見を生成するために特定の期間を必要とします。

調査結果の表示と処理

調査結果の表示

[アナライザー] または [調査結果] ページで調査結果を表示できます。

次の図は、[アナライザー] ページを示しています。

image

次の図は、さまざまなレイアウトの [調査結果] ページを示しています。

  • 以下の図は、結果をグラフで示す。

    次の図は、現在のアカウントの調査結果を示しています。

    image

    次の図は、リソースディレクトリの結果を示しています。 リソースディレクトリ内のアクティブな調査結果の数が最も多い上位5つのメンバーが表示されます。

    image

  • 次の図は、リスト内の調査結果を示しています。

    image

調査結果のフィルター

リソース、リソースタイプ、リソース所有者、ステータス、検索タイプなどのフィルター条件に基づいて特定の検索結果を検索できます。

説明

コンソールのフィルター条件が優先されます。

たとえば、次の条件を設定して、RAMユーザーに関する調査結果を表示できます。

image

RAMユーザーに関する調査結果の種類には、スーパーユーザー特権ユーザー非アクティブユーザー過剰特権ユーザーなどがあります。 さらに、調査結果に基づいて、フィルター条件として調査結果タイプを設定できます。 たとえば、[検索タイプ] を [特権超過ユーザー] に設定して、特権超過ユーザーに関する調査結果を検索できます。

image

検索結果の詳細を表示

検索結果リストで、管理する検索結果を見つけ、[検索ID] 列のIDをクリックします。

image

検出結果に基づいて、次のいずれかの操作を実行できます。

  • 付与された権限が必要な場合は、[アーカイブ] をクリックして検索結果をアーカイブします。

  • 付与された権限が不要な場合は、[ガバナンスに移行] または [リソースURLのコピー] をクリックして、対応するページでガバナンス操作を実行します。 関連するリソースが現在のアカウントに属している場合は、[Go for Governance] をクリックします。 それ以外の場合は、[リソースURLのコピー] をクリックします。

自動的調査結果をアーカイブ

単一の所見を手動でアーカイブすることとは別に、ガバナンスを必要としない所見を自動的にアーカイブするためのアーカイブルールを作成できます。

[所見] ページで、フィルター条件を設定し、[アーカイブルールとして保存] をクリックしてアーカイブルールを作成します。 アーカイブルールを作成すると、新しい結果が自動的にアーカイブされます。

image

アーカイブルールが作成される前に生成された結果は、自動的にアーカイブされません。 調査結果をアーカイブするには、次の操作を実行します。[アナライザー] ページに移動し、[アナライザー名] 列の名前をクリックし、[アーカイブルール] タブをクリックし、必要なアーカイブルールを見つけて、[操作] 列の [アーカイブルールの適用] をクリックします。

image

特権

クラウドサービス

ハイリスク操作

RAM

ram:AddUserToGroup

ram:AttachPolicyToGroup

ram:AttachPolicyToRole

ram:AttachPolicyToUser

ram:CreateAccessKey

ram:CreatePolicyVersion

ram:DeletePolicy

ram:DeletePolicyVersion

ram:DetachPolicyFromGroup

ram:DetachPolicyFromRole

ram:DetachPolicyFromUser

ram:SetDefaultPolicyVersion

ram:UpdateAccessKey

ram:UpdateRole

ram:RemoveUserFromGroup

Resource Management

ram:AttachPolicy

ram:DetachPolicy