投稿日: Mar 16, 2021
AWS Identity and Access Management (IAM) Access Analyzer は、リソースポリシーを分析して証明可能なセキュリティを提供することで最小特権のアクセス権限を簡単に実装できるようにするとともに、意図しないパブリックアクセスまたはクロスアカウントアクセスを特定するのに役立ちます。最近の更新により、アクセス権限の変更をデプロイする前に、パブリックアクセスとクロスアカウントアクセスを検証できます。今般、100 を超えるポリシーチェックを追加し、実用的な推奨事項を提供するようにすることで、IAM Access Analyzer のポリシー検証を拡張しました。これらのチェックでは、静的分析を使用して、ポリシーの作成中にアクセス権限ポリシーを事前に検証し、安全で機能的なアクセス権限を設定します。チェックは、デベロッパーがリンターに期待するような機能検証を含むにとどまらず、アクセス権を付与する際のベストプラクティスを評価します。これらのチェックはポリシーを分析し、セキュリティの警告、エラー、一般的な警告、およびそれらの影響に基づいた提案をレポートします。これらは、安全で機能的なアクセス権限を設定するための実用的な推奨事項を提供します。例えば、IAM Access Analyzer は、ポリシーが任意のサービスに任意のロールを渡すためのアクセス権を付与する際、これは過度に許容するものであることから、セキュリティ警告をレポートします。セキュリティ警告は、それに代えて、アクセス権限の範囲を特定のロールを渡すためのものに限定することを推奨します。
お気に入りのワードプロセッサの文法チェックと同様に、IAM Access Analyzer は、IAM コンソールで JSON ポリシーエディタを使用して ID ポリシーを作成するときに、これらのポリシーチェックを自動的に実行します。Access Analyzer ValidatePolicy API を使用して、サービスコントロールポリシーやリソースポリシーなどの追加のポリシーをプログラムで検証することもできます。