Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Tokyo_reInforce_2025_recap_iam_access_analyzer

 Tokyo_reInforce_2025_recap_iam_access_analyzer

Avatar for h-ashisan

h-ashisan

July 03, 2025
Tweet

More Decks by h-ashisan

Other Decks in Technology

Transcript

  1. 分析対象リソース1つあたり $9.00 USD / 月 ※IAM Access Analyzer Pricingページ(英語版)を参照 結構お高いのでは...?

    と思った方へ 最後に検証で発生したコストを発表します!お楽しみに 料金 7
  2. ※S3に設定したバケットポリシーはこちら { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowInternalRoleAccess", "Effect":

    "Allow", "Principal": { "AWS": "*" }, "Action": [ "s3:GetObject", "s3:ListBucket", "s3:PutObject", "s3:DeleteObject" ], "Resource": [ "${bucket_arn}", "${bucket_arn}/*" ], "Condition": { "StringLike": { "aws:PrincipalArn": "arn:aws:iam::${account_id}:role/internal-*" } } } ] 事前準備(リソース作成) 12
  3. 設定項目 検出結果のタイプ: Resource analysis - Internal access 名前: internal-access-analyzer 信頼ゾーン:

    現在のアカウント(固定) 分析対象のリソース: internal-access-test-bucket-{AWSアカウントID} 内部アクセス分析の作成 14
  4. 1. 全リソースに対し一律で有効化する機能ではない 最小権限の実現や新規アクセスの通知が不要なリソースには適用しなくて良い 一撃で発生する利用費が高価になりがち(未使用のアクセスと同様) 2. 運用最適化までの難易度は高い リソースベースポリシー、アイデンティティベースポリシーともにかなり制限していないと、 多めに検知してしまう サービスリンクロールがあると大量に検知するので、アーカイブルールとセットで運用 3.

    シングルアカウントよりマルチアカウント環境での活用にメリットがある 詳しく紹介できなかったが、SCP/RCPやPermission Boundayrと併用することでより効率性の 高い 複雑なクロスアカウントアクセスの検知が可能無点がメリット SCP/RCPの影響があるリソースのみを検知してアーカイブすることも可能 検証してわかったこと 22