すべてのプロダクト
Search
ドキュメントセンター

Resource Access Management:過剰権限アクセスの特定

最終更新日:Jun 21, 2026

このトピックでは、過剰権限アクセスアナライザーを使用して、リソースディレクトリまたは現在のアカウントで過剰な権限を持つアイデンティティを特定する方法について説明します。

概要

過剰権限アクセスアナライザーとは

過剰権限アクセスアナライザーは、リソースディレクトリまたは現在のアカウントで過剰な権限を持つアイデンティティを特定して表示します。リソースディレクトリまたは現在のアカウント内のすべての RAM アイデンティティ (RAM ユーザーおよび RAM ロール) を継続的に監視し、過剰権限アクセスを持つアイデンティティの検出結果を生成します。検出結果には、スーパー管理者ユーザー/ロール、特権ユーザー/ロール、非アクティブなユーザー/ロール、過剰な権限を持つユーザー/ロールが含まれます。各検出結果では、アイデンティティに付与された権限と、それらの権限に関する最新のアクセスアクティビティの詳細も提供します。

  • スーパー管理者ユーザー/ロール:アカウント内で完全なリソース管理権限を持つ RAM アイデンティティ (RAM ユーザーまたは RAM ロール) です。たとえば、AdministratorAccess ポリシーが付与された RAM ユーザーまたは RAM ロールが該当します。

  • 特権ユーザー/ロール:高リスクの権限を持つ RAM アイデンティティ (RAM ユーザーまたは RAM ロール) です。これらのアイデンティティは、自身または他の RAM アイデンティティの権限を昇格させて、より高いアクセス権限を取得できる場合があります。現在サポートされている権限のリストについては、「権限リスト」をご参照ください。

  • 非アクティブなユーザー/ロール: 指定された 未使用アクセス期間 の間、権限関連のアクティビティがなかった RAM ID (RAM ユーザーまたは RAM ロール) です。

  • 権限が過剰なユーザー/ロール: 指定された 未使用アクセス期間 内で使用されていない、サービスレベルまたはアクションレベルの権限を持つ RAM ID (RAM ユーザーまたは RAM ロール)。

過剰権限アクセスアナライザーがサポートする範囲

過剰権限アクセスアナライザーは、リソースディレクトリまたは現在のアカウント内のすべての RAM アイデンティティ (サービスリンクロールを除く) の権限監査データを確認し、このデータを使用して検出結果を生成します。権限監査機能は、各 RAM アイデンティティに付与された権限と、それらの権限が最後に使用された日時に関する情報を提供します。したがって、過剰権限アクセスアナライザーでサポートされるポリシータイプ、Alibaba Cloud サービス、監査の粒度は、権限監査機能でサポートされるものと一致します。詳細については、「権限監査の概要」をご参照ください。

過剰権限アクセスアナライザーの作成

  1. RAM 管理者として Resource Access Management (RAM) コンソール にログインします。

  2. 左側のナビゲーションペインで、Access Analyzing > Analyzersを選択します。

  3. Create Analyzer をクリックし、分析タイプを 過剰な委任 に設定し、アナライザー名を入力して未使用のアクセス期間と分析範囲を設定してから、[アナライザーの作成] をクリックします。

    未使用アクセス期間 は、未使用の権限を判断するための期間です。有効な値は 1 日から 180 日の範囲です。デフォルト値は 90 日です。たとえば、未使用アクセス期間 を 90 に設定した場合、90 日を超えて使用されていない権限は非アクティブと見なされます。

    説明

    分析範囲が リソースディレクトリ のアナライザーは、リソースディレクトリの管理アカウントでのみ作成できます。

    アナライザーの作成時に [リージョン] を選択します (検出結果はリージョンの影響を受けません) 。作成後、システムは自動的にサービスリンクロール AliyunServiceRoleForAccessAnalyzer を作成します。

アナライザーを作成すると、RAM アイデンティティとその権限のスキャンを開始します。検出結果を表示する前に、しばらくお待ちください。

過剰権限アクセスの検出結果の表示と管理

検出結果の表示

Analyzers または Findings ページで検出結果を表示できます。

アナライザーの詳細ページでは、[基本情報] セクションにアナライザー名、ステータス、分析タイプ (過剰権限など) 、分析範囲 (現在のアカウントなど) 、作成時刻、ARN、最終分析時刻、未使用アクセス期間 (90 日など) が表示されます。このセクションの下には、[検出結果][アーカイブ ルール] の 2 つのタブがあります。[検出結果] タブで、[検出結果のステータス] (保留中など) でフィルタリングすると、検出結果 ID、リソース、リソース所有者、アクセス/付与されたサービス、検出結果のステータス、更新時刻、操作を一覧表示するテーブルが表示されます。各行は検出結果のタイプ (非アクティブなロールや特権ユーザーなど) を示します。

検出結果ページ:

  • グラフィカルビュー

    [データ概要] タブには、[保留中の検出結果] の統計が表示されます。これには、スーパー管理者ユーザー、スーパー管理者ロール、特権ユーザー、特権ロール、非アクティブなユーザー、非アクティブなロール、過剰な権限を持つユーザー、過剰な権限を持つロールなどのカテゴリの数と割合が含まれています。ドーナツグラフは、これらのカテゴリ間の分布を視覚化します。

    リソースディレクトリの場合:リソースディレクトリ内で保留中の検出結果が最も多い上位 5 つのメンバーアカウントも表示されます。

  • リストスタイル

    [アクセス分析] > [検出結果] ページで、左側でターゲットのアナライザー (タイプが [過剰権限][Test-1] など) を選択し、右側で [検出結果リスト] タブに切り替えます。[検出結果のステータス][保留中] と等しいなどの条件を使用して結果をフィルタリングします。検出結果のテーブルには、[検出結果 ID][リソース][リソース所有者][アクセス/付与されたサービス][検出結果のステータス][更新時刻][操作] の列が含まれています。アクセスされたサービスと付与されたサービスの数とともに、非アクティブなロールの検出結果が表示されます。どの結果に対しても [検出結果をアーカイブ] 操作を実行できます。

検出結果のフィルタリング

リソース、リソースタイプ、リソース所有者、検出結果のステータス、検出結果タイプなどの複数の条件で検出結果をフィルタリングして、関連する結果をすばやく見つけることができます。

説明

利用可能なフィルターオプションは、コンソールに表示される内容によって異なります。

たとえば、RAM ユーザーの過剰権限アクセスの検出結果をすばやく表示するには、次の手順を実行します。

[フィルターキー][リソースタイプ] に、[照合方法][次と等しい] に、[フィルター値][Resource Access Management - User] に設定します。別の条件として「[検出結果のステータス][保留中] と等しい」を追加し、検索ボタンをクリックしてフィルターを適用します。

クエリ結果には、スーパー管理者ユーザー特権ユーザー非アクティブなユーザー、および 過剰な特権を持つユーザー が含まれる場合があります。結果をさらに絞り込むには、別のフィルター条件 ([フィルターキー][検出結果タイプ] に、[一致方法][次と等しい] に設定) を追加して、過剰な特権を持つユーザー タイプの検出結果のみを表示します。

検出結果の詳細の表示

検出結果リストで Finding ID をクリックすると、その詳細が表示されます。

検出結果の詳細ページには、基本情報と詳細情報の 2 つのセクションがあります。基本情報セクションには、[検出結果タイプ][検出結果のステータス][リソースタイプ][アナライザー名] などのフィールドが表示されます。詳細情報セクションには、アイデンティティの [作成時刻][最終アクセス時刻]、および [アクセス/付与されたサービス] の比率が表示されます。下部には、サービスごとにアクセスされたアクションと付与されたアクションを比較するテーブルがあります。右上隅に [再スキャン] ボタンが表示されます。

各検出結果について、次の操作を実行できます。

  • 権限の動作が想定どおりである場合は、Archive をクリックしてすぐにアーカイブします。

  • 権限の挙動が期待どおりでない場合は、現在のアカウント内のリソースについてはGo for Governanceを、現在のアカウント外のリソースについてはCopy Resource URLをクリックして、修正のために適切なページに移動します。

検出結果の自動アーカイブ

個々の検出結果を手動でアーカイブするだけでなく、アーカイブ ルールを作成して、ガバナンスを必要としない検出結果を自動的にアーカイブすることもできます。

Findings ページでアーカイブ ルールを作成および保存します。ルールの基準に一致する新しい検出結果は自動的にアーカイブされます。

[検出結果リスト] ページで、フィルターキー一致タイプフィルター値 のドロップダウンを使用してフィルター基準を設定し、[アーカイブ ルールとして保存] をクリックします。

このルールは既存の検出結果には適用されません。遡って適用するには、Analyzers の詳細ページに移動し、アーカイブ ルールリストの アーカイブルールの適用 列の [アーカイブ ルールを適用] をクリックします。

権限リスト

高リスク操作の権限を持つ RAM アイデンティティ (RAM ユーザーまたは RAM ロール) は、特権ユーザー/ロールとして識別されます。次の表に、現在サポートされている権限アクションを示します。

クラウド製品

高リスク操作

アクセス制御

ram:AddUserToGroup

ram:AttachPolicyToGroup

ram:AttachPolicyToRole

ram:AttachPolicyToUser

ram:CreateAccessKey

ram:CreatePolicyVersion

ram:DeletePolicy

ram:DeletePolicyVersion

ram:DetachPolicyFromGroup

ram:DetachPolicyFromRole

ram:DetachPolicyFromUser

ram:RemoveUserFromGroup

ram:SetDefaultPolicyVersion

ram:UpdateAccessKey

ram:UpdateRole

ram:CreateLoginProfile

ram:UpdateLoginProfile

ram:SetSecurityPreference

ram:RestoreAccessKeyFromRecycleBin

ram:SetUserSsoSettings

ram:CreateSAMLProvider

ram:UpdateSAMLProvider

ram:UpdateOIDCProvider

ram:AddClientIdToOIDCProvider

ram:AddFingerprintToOIDCProvider

リソース管理

ram:AttachPolicy

ram:DetachPolicy

resourcemanager:EnableResourceDirectory

resourcemanager:CreateResourceAccount

resourcemanager:InviteAccountToResourceDirectory

resourcemanager:UpdateAccount

resourcemanager:DisableControlPolicy

resourcemanager:UpdateControlPolicy

resourcemanager:DeleteControlPolicy

resourcemanager:AttachControlPolicy

resourcemanager:DetachControlPolicy

resourcemanager:RegisterDelegatedAdministrator

CloudSSO

cloudsso:EnableDelegateAccount

cloudsso:UpdateUserStatus

cloudsso:ResetUserPassword

cloudsso:SetLoginPreference

cloudsso:AddUserToGroup

cloudsso:RemoveUserFromGroup

cloudsso:SetExternalSAMLIdentityProvider

cloudsso:AddExternalSAMLIdPCertificate

cloudsso:AddPermissionPolicyToAccessConfiguration

cloudsso:RemovePermissionPolicyFromAccessConfiguration

cloudsso:UpdateInlinePolicyForAccessConfiguration

cloudsso:ProvisionAccessConfiguration

cloudsso:DeprovisionAccessConfiguration

cloudsso:CreateAccessAssignment

cloudsso:DeleteAccessAssignment

cloudsso:CreateSCIMServerCredential

cloudsso:UpdateSCIMServerCredentialStatus

cloudsso:SetSCIMSynchronizationStatus