外部アクセスの特定 - Resource Access Management - Alibaba Cloud ドキュメントセンター

このトピックでは、外部アクセスアナライザを使用して、リソースディレクトリまたは現在のアカウント内のリソースに対する許可された外部アクセスを特定する方法について説明します。

概要

外部アクセスアナライザとは？

外部アクセスアナライザは、現在のアカウントまたはリソースディレクトリ内で外部アカウントと共有されているリソースを特定するためのツールです。Object Storage Service (OSS) バケットや Resource Access Management (RAM) ロールなど、複数の Alibaba Cloud リソースでは、外部の ID にアタッチされるリソースベースのポリシーがサポートされています。外部アクセスアナライザは、リソースディレクトリまたは現在のアカウント内の共有リソースを継続的にモニターし、該当するリソースに対して検出結果（finding）を生成します。これにより、予期しないリソース共有を早期に特定し、企業のセキュリティリスクを低減できます。各検出結果には、共有リソースにアクセスする外部 ID および付与された操作権限に関する情報が含まれます。

信頼ゾーン

アナライザを作成する際、アナライザのスコープを 現在のアカウント または リソースディレクトリ のいずれかに設定できます。指定したスコープは、そのアナライザの 信頼ゾーン となります。アナライザは、信頼ゾーン内で分析可能なリソースをモニターします。信頼ゾーン内のリソースへ内部 ID がアクセスする場合、アナライザはそのアクセスを「信頼済み」と判断します。たとえば、信頼ゾーンが 現在のアカウント の場合、現在のアカウント内の ID は信頼済みと見なされます。他のアカウント内の ID は信頼されていないと見なされます。また、信頼ゾーンが リソースディレクトリ の場合、現在のアカウントが属するリソースディレクトリ内の ID が信頼済みと見なされ、リソースディレクトリ外の ID は信頼されていないと見なされます。

外部アクセスアナライザに対応するリソースの種類

OSS バケット
外部アクセスアナライザは、OSS バケットのアクセス制御リスト（ACL）およびバケットポリシーを分析し、パラメーター「公開アクセス禁止」の値に基づいて検出結果を生成します。信頼ゾーン内のバケットが、匿名ユーザーなどの信頼ゾーン外のエンティティからのアクセスを許可している場合、アナライザはそのバケットに対してアクティブな検出結果を生成します。
RAM ロール
外部アクセスアナライザは、RAM ロールの信頼ポリシーを分析します。信頼ポリシーは、RAM ロールを作成する際に指定するリソースベースのポリシーです。このポリシーでは、RAM ロールを引き受けることができる信頼済みエンティティを指定できます。信頼ゾーン外のエンティティが信頼ゾーン内の RAM ロールを引き受けることができる場合、アナライザはその RAM ロールに対してアクティブな検出結果を生成します。

外部アクセスアナライザの作成

RAM コンソールに、管理権限を持つ RAM ユーザーとしてログインします。
左側のナビゲーションウィンドウで、アクセス分析 > アナライザ を選択します。
上部のナビゲーションバーからリージョンを選択します。
説明
外部アクセスアナライザは、アナライザが配置されているリージョン内のリソースのみを分析します。他のリージョンのリソースを分析するには、対象のリージョンにそれぞれアナライザを作成する必要があります。RAM ロールなど、中央リージョンに展開されているリソースは、任意のリージョンのアナライザでモニターおよび分析可能です。
アナライザページで、アナライザの作成 をクリックします。アナライザの作成ページで、アナライザ名を入力し、アナライザタイプを 外部アクセス に設定し、アナライザのスコープを選択します。その後、アナライザの作成 をクリックします。
説明
リソースディレクトリの管理アカウントのみが、アナライザスコープを リソースディレクトリ に設定できます。

アナライザを作成すると、アナライザはそのスコープ内のリソースに対する外部アクセスを検出します。検出結果の生成には一定の時間がかかります。

外部アクセスの検出結果の表示と対応

検出結果の表示

検出結果は、アナライザ ページまたは 検出結果 ページで確認できます。

以下の図は、アナライザページを示しています。

以下の図は、検出結果ページを示しています。

検出結果のフィルター

リソース、リソースタイプ、リソース所有者、ステータスなどのフィルター条件に基づいて、特定の検出結果を検索できます。

説明

コンソール上のフィルター条件が優先されます。

たとえば、以下のような条件を設定して、公開アクセスの有無を確認できます。

検出結果の詳細表示

検出結果一覧から対象の検出結果を見つけ、検出結果 ID 列の ID をクリックします。

検出結果に応じて、以下のいずれかの操作を行います。

リソース共有が想定内である場合、アーカイブ をクリックして検出結果をアーカイブします。
リソース共有が想定外である場合、ガバナンスへ移動 または リソース URL のコピー をクリックして、対応するページでガバナンス操作を実行します。対象リソースが現在のアカウントに属する場合は、「ガバナンスへ移動」をクリックします。それ以外の場合は、「リソース URL のコピー」をクリックします。

検出結果の自動アーカイブ

単一の検出結果を手動でアーカイブするほか、ガバナンス不要な検出結果を自動的にアーカイブするためのアーカイブルールを作成することもできます。

検出結果 ページでフィルター条件を設定し、「アーカイブルールとして保存」をクリックしてアーカイブルールを作成します。アーカイブルールを作成後、新規の検出結果は自動的にアーカイブされます。

アーカイブルール作成前に生成された検出結果は自動的にアーカイブされません。これらの検出結果をアーカイブするには、以下の操作を行ってください： アナライザ ページに移動し、アナライザ名列の名前をクリックし、「アーカイブルール」タブをクリックして必要なアーカイブルールを見つけ、[操作] 列の アーカイブルールの適用 をクリックします。