このトピックでは、過剰特権IDアナライザーを使用して、リソースディレクトリまたは現在のアカウントで過剰特権IDを識別する方法について説明します。
概要
過剰特権IDアナライザーとは
過剰特権IDアナライザーは、リソースディレクトリまたは現在のアカウントで過剰特権IDを識別するのに役立ちます。 過剰特権IDアナライザーは、リソースディレクトリまたは現在のアカウント内のすべてのRAM (Resource Access Management) IDを継続的に監視し、過剰特権IDの結果を生成します。 RAM IDは、RAMユーザーとRAMロールです。 アナライザによって生成された所見は、スーパーユーザ、スーパーロール、特権ユーザ、特権ロール、非アクティブユーザ、非アクティブ役割、過剰特権ユーザ、および過剰特権ロールのタイプに分類される。 各検索結果には、RAM IDに付与された権限と、その権限がRAM IDによって最後に使用された時刻に関する情報が含まれます。
スーパーユーザーとスーパーロール: RAM IDには、アカウント内のすべてのリソースを管理する完全な権限があります。 たとえば、AdministratorAccessポリシーがRAMユーザーまたはRAMロールにアタッチされている場合、RAMユーザーまたはRAMロールには、アカウント内のすべてのリソースを管理するための完全な権限があります。
特権ユーザーおよび特権ロール: RAM IDには、リスクの高い操作を実行する特権があります。 このような権限を持つRAM IDは、自身または他のIDにより多くの権限を付与できます。 詳細については、「特権」をご参照ください。
非アクティブユーザーおよび非アクティブロール: RAM IDは、[未使用アクセス期間] パラメーターで指定された期間内にリソースにアクセスする権限を使用しません。
過剰特権ユーザーおよび過剰特権ロール: RAM IDには、[未使用アクセス期間] パラメーターで指定された期間内に使用されないサービスレベルおよび操作レベルの権限があります。
アナライザースコープ
過剰特権IDアナライザーは、リソースディレクトリまたは現在のアカウント内のすべてのRAM IDに関する権限監査情報をチェックし、その情報に基づいて調査結果を生成します。 アナライザーはサービスにリンクされたロールをチェックしません。 権限監査機能を使用すると、RAM IDに付与されている権限と、その権限がRAM IDによって最後に使用された時刻を確認できます。 過剰特権IDアナライザーと権限監査機能は、同じポリシータイプ、クラウドサービス、および監査の粒度をサポートします。 詳細については、「概要」をご参照ください。
過剰特権IDアナライザーの作成
管理者権限を持つRAMユーザーとしてRAMコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[アナライザー] ページで、[アナライザーの作成] をクリックします。 [アナライザーの作成] ページで、アナライザー名を入力し、アナライザータイプを [特権超過] に設定し、未使用アクセスの期間を設定し、アナライザースコープを選択します。 次に、[アナライザーの作成] をクリックします。
未使用アクセスの期間は、権限がアイドルかどうかを判断するために使用されます。 有効な値: 1 ~ 180 デフォルト値: 90。 単位:日 たとえば、[未使用アクセスの期間] を90に設定した場合、90日を超えて使用されていない権限はアイドルと見なされます。
説明Analyzer Scopeをresource directoryに設定できるのは、リソースディレクトリの管理アカウントだけです。
アナライザーを作成した後、アナライザーはRAMのIDと権限を確認します。 システムは、所見を生成するために特定の期間を必要とします。
調査結果の表示と処理
調査結果の表示
[アナライザー] または [調査結果] ページで調査結果を表示できます。
次の図は、[アナライザー] ページを示しています。
次の図は、さまざまなレイアウトの [調査結果] ページを示しています。
以下の図は、結果をグラフで示す。
次の図は、現在のアカウントの調査結果を示しています。
次の図は、リソースディレクトリの結果を示しています。 リソースディレクトリ内のアクティブな調査結果の数が最も多い上位5つのメンバーが表示されます。
次の図は、リスト内の調査結果を示しています。
調査結果のフィルター
リソース、リソースタイプ、リソース所有者、ステータス、検索タイプなどのフィルター条件に基づいて特定の検索結果を検索できます。
コンソールのフィルター条件が優先されます。
たとえば、次の条件を設定して、RAMユーザーに関する調査結果を表示できます。
RAMユーザーに関する調査結果の種類には、スーパーユーザー、特権ユーザー、非アクティブユーザー、過剰特権ユーザーなどがあります。 さらに、調査結果に基づいて、フィルター条件として調査結果タイプを設定できます。 たとえば、[検索タイプ] を [特権超過ユーザー] に設定して、特権超過ユーザーに関する調査結果を検索できます。
検索結果の詳細を表示
検索結果リストで、管理する検索結果を見つけ、[検索ID] 列のIDをクリックします。
検出結果に基づいて、次のいずれかの操作を実行できます。
付与された権限が必要な場合は、[アーカイブ] をクリックして検索結果をアーカイブします。
付与された権限が不要な場合は、[ガバナンスに移行] または [リソースURLのコピー] をクリックして、対応するページでガバナンス操作を実行します。 関連するリソースが現在のアカウントに属している場合は、[Go for Governance] をクリックします。 それ以外の場合は、[リソースURLのコピー] をクリックします。
自動的に調査結果をアーカイブ
単一の所見を手動でアーカイブすることとは別に、ガバナンスを必要としない所見を自動的にアーカイブするためのアーカイブルールを作成できます。
[所見] ページで、フィルター条件を設定し、[アーカイブルールとして保存] をクリックしてアーカイブルールを作成します。 アーカイブルールを作成すると、新しい結果が自動的にアーカイブされます。
アーカイブルールが作成される前に生成された結果は、自動的にアーカイブされません。 調査結果をアーカイブするには、次の操作を実行します。[アナライザー] ページに移動し、[アナライザー名] 列の名前をクリックし、[アーカイブルール] タブをクリックし、必要なアーカイブルールを見つけて、[操作] 列の [アーカイブルールの適用] をクリックします。
特権
クラウドサービス | ハイリスク操作 |
RAM | ram:AddUserToGroup |
ram:AttachPolicyToGroup | |
ram:AttachPolicyToRole | |
ram:AttachPolicyToUser | |
ram:CreateAccessKey | |
ram:CreatePolicyVersion | |
ram:DeletePolicy | |
ram:DeletePolicyVersion | |
ram:DetachPolicyFromGroup | |
ram:DetachPolicyFromRole | |
ram:DetachPolicyFromUser | |
ram:SetDefaultPolicyVersion | |
ram:UpdateAccessKey | |
ram:UpdateRole | |
ram:RemoveUserFromGroup | |
Resource Management | ram:AttachPolicy |
ram:DetachPolicy |