Access Analyzer は、過剰な権限を持つ RAM アイデンティティを特定し、未使用の権限を適正化してセキュリティリスクを低減するための修復アドバイスを生成します。
この機能はベータ版であり、まだすべてのサービスをサポートしているわけではありません。対象範囲の詳細については、「権限監査機能と連携するサービス」をご参照ください。変更を適用する前に、必ず特定のビジネス要件と照らし合わせてアドバイスを評価してください。
概要
過剰権限アクセスは、RAM アイデンティティ (ユーザーまたはロール) が業務上のニーズを超える権限を持つ場合に発生します。これは、操作ミスや認証情報の漏洩によるセキュリティリスクを増大させ、コンプライアンス監査を複雑にします。手動での権限監査は時間がかかり、維持が困難です。
過剰権限アクセスアナライザーは、2 種類の Access Analyzer のうちの 1 つです。もう 1 つのタイプは「外部アクセスを識別」します。現在のアカウントまたはリソースディレクトリ内のアクセスアクティビティを継続的に分析し、スーパーユーザー、特権アイデンティティ、非アクティブなアイデンティティ、および十分に活用されていない権限を持つアイデンティティを特定します。その後、ワンクリックまたは数ステップで適用できる実用的な修復アドバイスを生成し、権限を適正化してセキュリティリスクを低減します。
基本概念
検出結果
検出結果は、Access Analyzer によって生成されるデータオブジェクトで、以下を含みます。
-
検出結果タイプ:検出結果のカテゴリ。例:
-
スーパーユーザー/ロール
-
特権ユーザー/ロール
-
非アクティブなユーザー/ロール
-
過剰権限ユーザー/ロール
-
-
ステータス:検出結果のステータス。「アクティブ」、「解決済み」、「アーカイブ済み」のいずれかです。
-
リソース情報:ターゲットリソースの名前、タイプ、および所有者。
-
タイムスタンプ:作成日時、分析日時、更新日時。
-
検出結果 ID:検出結果の一意の識別子。
修復アドバイス
修復アドバイスは、Access Analyzer が検出結果に対して生成するソリューションです。
-
権限の置き換え:広範な権限を付与するポリシーを、より制限の厳しいポリシーに置き換えます。たとえば、スーパー管理者権限 (
AdministratorAccess) を システム管理者権限 (PowerUserAccess) に置き換えることができます。 -
権限の削除:未使用のポリシーを削除します。
-
アイデンティティ管理:非アクティブなアイデンティティを無効化または削除します。
-
検出結果のアーカイブ:意図した認可の挙動に関連する検出結果をアーカイブします。
決定ロジック
Access Analyzer は、以下の優先度に従って過剰権限アクセスを分類します。RAM アイデンティティが複数の条件に一致する場合、最も優先度の高いタイプが適用されます。
|
優先度 |
検出結果タイプ |
説明 |
|
1 |
スーパーユーザー/ロール |
RAM アイデンティティは、すべてのアカウントリソースに対する管理権限を持っています。たとえば、アイデンティティには |
|
2 |
特権ユーザー/ロール |
RAM アイデンティティは、「権限リスト」で定義されているように、 |
|
3 |
非アクティブなユーザー/ロール |
RAM アイデンティティは、指定された [Unused Access Age] (デフォルトでは 90 日) 内にリソースやデータにアクセスしておらず、優先度 1 または 2 の条件を満たしていません。注:権限を持たないユーザーまたはロールは、非アクティブであっても非アクティブなユーザー/ロールとして分類されません。 |
|
4 |
過剰権限ユーザー/ロール |
RAM アイデンティティは、指定された [Unused Access Age] 内に未使用のサービスレベルまたはアクションレベルの権限を持っており、前述のいずれの条件も満たしていません。注:サポートされている粒度は、「制限事項」の「サポートされている粒度」セクションに記載されているように、サービスによって異なります。 |
クイックスタート:権限の適正化
このウォークスルーでは、Access Analyzer を使用して非アクティブな RAM ユーザーを無効化します。
前提条件
以下の要件が満たされていることを確認します。
-
Access Analyzer コンソールに、タイプが [過剰な委任] のアナライザーが存在すること。
-
必要な権限を持っていること。オペレーターには、
AliyunRAMAccessAnalyzerFullAccessとAliyunRAMFullAccessポリシーを付与することを推奨します。
操作手順
-
検出結果の特定
-
RAM コンソールにログインします。
-
左側メニューで、 を選択します。
-
上部メニューで、アナライザーが配置されているリージョンを選択します。
-
タブで、タイプが [非アクティブなユーザー] のアクティブな検出結果を見つけ、件数をクリックします。

-
-
修復アドバイスの表示と適用
-
[Findings] リストで、不要であることを確認した RAM ユーザーを選択し、対応する [Finding ID] をクリックします。
-
[Findings] の詳細ページで、[操作] 列で [Advices] タブをクリックします。しばらく待つと、システムに [未使用のアイデンティティを削除] の提案が表示されます。[ガバナンスに進む] をクリックします。

-
-
RAM コンソールのユーザー詳細ページにリダイレクトされます。ビジネス要件に応じて、コンソールログインの無効化、AccessKey の無効化、またはユーザーの削除ができます。
-
結果を検証します。Access Analyzer コンソールに戻ります。検出結果をアーカイブできます。そうしない場合、そのステータスは次の分析サイクルの後に自動的に [Resolved] に変わります。
修復プレイブック
各検出結果タイプに適切な修復を適用するには、これらのプレイブックを使用します。
スーパーユーザー/ロールの修復:システム管理者権限への置き換え
これにより、不要なスーパー管理者権限が、より安全なシステム管理者 (PowerUserAccess) 権限にダウングレードされます。
-
または タブで、[Finding Type] がスーパーユーザー/ロールであるエントリを見つけ、特定の [Finding ID] をクリックします。
-
[Findings] の詳細ページで、[Advices] タブをクリックします。
-
[Advices] パネルで、権限をシステム管理者 (
PowerUserAccess) 権限に置き換えるアドバイスを見つけます。 -
リソースの所有者に基づいて、該当する操作を実行します。
-
現在のアカウント:[Apply Recommendation] をクリックします。システムは自動的に
PowerUserAccessポリシーをターゲットアイデンティティにアタッチし、その後AdministratorAccessポリシーをデタッチします。
-
クロスアカウント:自動適用はサポートされていません。[クローン] をクリックして URL をコピーします。その後、ターゲットリソースが属するアカウントにログインし、URL にアクセスして手動で権限を置き換えます。

-
-
(オプション) アナライザーが修復アドバイスを提供しない場合は、「修復アドバイスが表示されないのはなぜですか?」をご参照ください。
リスクとロールバック:この操作はコア権限を変更します。続行する前に、PowerUserAccess ポリシーがアイデンティティの日々の業務要件を満たしていることを確認してください。操作後に問題が発生した場合は、RAM コンソールに移動し、直ちに AdministratorAccess 権限をアイデンティティに再付与してください。
スーパーユーザー/ロールの修復:未使用ポリシーの削除
未使用のシステムポリシーまたはカスタムポリシーもスーパーユーザーアイデンティティにアタッチされている場合、システムはそれらを削除することを推奨します。ポリシーごとに個別のアドバイスが生成されます。
-
または タブで、[Finding Type] がスーパーユーザー/ロールであるエントリを見つけ、特定の [Finding ID] をクリックします。
-
[Findings] の詳細ページで、[操作] 列で [Advices] タブをクリックします。
-
[Advices] パネルで、ポリシーを削除するアドバイスを見つけます。
-
リソースの所有者に基づいて、該当する操作を実行します。
-
現在のアカウント:[Apply Recommendation] をクリックします。システムは自動的にポリシーをデタッチします。

-
クロスアカウント:[クローン] をクリックして URL をコピーします。ターゲットアカウントにログインし、URL にアクセスして手動でポリシーをデタッチします。
-
-
(オプション) アナライザーが修復アドバイスを提供しない場合は、「修復アドバイスが表示されないのはなぜですか?」をご参照ください。
リスクとロールバック:ポリシーが不要になったことを確認してください。誤って削除した場合は、RAM コンソールで削除された権限ポリシーをアイデンティティに再付与してください。
特権ユーザー/ロールの修復:未使用の高リスクポリシーの削除
特権ユーザー/ロール の場合、修復アドバイスは未使用の高リスクな権限ポリシーを削除することです。手順は、「スーパーユーザー/ロールの修復:未使用ポリシーの削除」と同じです。
非アクティブなユーザー/ロールの修復:アイデンティティの無効化または削除
長期間非アクティブなアイデンティティを無効化または削除して、セキュリティリスクを排除します。
-
または タブで、タイプが [非アクティブなユーザー/ロール] のエントリを見つけ、特定の [Finding ID] をクリックします。
-
[Findings] の詳細ページで、[操作] 列で [Advices] タブをクリックします。
-
[Advices] パネルで、[Remove Unused Principals] のアドバイスを見つけます。
-
リソースの所有者に基づいて、該当する操作を実行します。
-
現在のアカウント:[Go for Governance] をクリックします。RAM コンソールのユーザーまたはロールの詳細ページにリダイレクトされます。ログオン設定のクリア、AccessKey の無効化または削除、あるいはアイデンティティの削除ができます。

-
クロスアカウント:[Copy Resource URL] をクリックします。ターゲットアカウントにログインし、URL にアクセスしてリクエストを処理します。

-
-
(オプション) アナライザーが修復アドバイスを提供しない場合は、「修復アドバイスが表示されないのはなぜですか?」をご参照ください。
過剰権限ユーザー/ロールの修復:未使用ポリシーの削除
過剰権限ユーザー/ロール の場合、修復アドバイスは未使用の権限ポリシーを削除することです。手順は、「スーパーユーザー/ロールの修復:未使用ポリシーの削除」と同じです。
検出結果のアーカイブ
検出結果に対してアクションが不要な場合は、アーカイブしてください。アーカイブ後、[Findings] の [Status] は [Active] から [Archived] に変わります。
-
[Findings] リストの [操作] 列または [Advices] パネルで、[Archive] をクリックします。
-
特定の検出結果タイプを自動的に無視するには、[Save as Archive Rule] をクリックします。ルール条件を設定して、今後一致するすべての検出結果が自動的にアーカイブされるようにします。「検出結果の自動アーカイブ」をご参照ください。
-
検出結果の表示とアーカイブ解除:デフォルトでは、アクティブな検出結果のみが表示されます。アーカイブ済みの検出結果を表示またはアーカイブ解除するには、[Findings] ページで [Status] フィルターを [Archived] に設定します。再処理が必要なエントリについては、[Unarchive] をクリックします。エントリのステータスは [Active] に戻ります。

制限事項
-
アナライザーのタイプ:この機能は、過剰権限アクセス タイプのアナライザーのみをサポートし、外部アクセス タイプのアナライザーはサポートしていません。
-
サポートされている粒度:過剰権限アクセスアナライザーは、権限監査情報に基づいて、リソースディレクトリまたは現在のアカウント内のサービスにリンクされたロールを除くすべての RAM アイデンティティの権限を分析します。サポートされているポリシータイプ、クラウドサービス、および粒度は、権限監査と同じです (「権限監査機能と連携するサービス」をご参照ください)。ポリシーにサポートされていないサービスの権限が含まれている場合、アナライザーは権限削除の修復アドバイスを提供できません。
-
ポリシータイプ (スーパー管理者置換のみ):スーパー管理者の権限を置き換えるための修復アドバイスは、
AdministratorAccessシステムポリシーのみをサポートします。カスタムの管理者ポリシーはサポートされていません。 -
ポリシーの内容:ポリシーに
DenyまたはNotActionステートメントが含まれている場合、アナライザーは権限削除の修復アドバイスを提供できません。 -
認可スコープ:管理者権限の認可スコープが [Resource Group] ではなく [アカウント] である場合、そのアイデンティティはスーパー管理者として識別されません。
-
認可方法:権限はユーザーまたはロールに直接付与することも、ユーザーグループを通じて継承することもできます。アナライザーは両方の認可方法を識別できますが、ユーザーグループから継承された権限に対する自動的な修復アドバイスは提供しません。これらの検出結果は手動で修復する必要があります。
-
データ遅延:修復アドバイスは検出結果から生成され、最大で 24 時間のデータ遅延が発生する可能性があります。アドバイスの適時性が重要な場合は、検出結果の詳細ページで [Rescan] をクリックして手動で再スキャンをトリガーし、再度アドバイスを確認できます。

よくある質問
修復アドバイスを一括で適用できますか?
一括での [Apply Recommendation] はサポートされていません。ただし、アーカイブ ルールを作成して、想定される検出結果タイプを自動的に無視することはできます。
検出結果データの鮮度はどのくらいですか?
[Updated At] リストで各検出結果の [Findings] フィールドを表示するか、検出結果の詳細ページで [Analyzed At] と [Updated At] を確認して、データの鮮度を確認できます。すべての時刻は、お使いのローカルタイムゾーンで表示されます。

修復アドバイスが表示されないのはなぜですか?
検出結果の詳細ページで [Advices] タブをクリックしてもアドバイスが表示されない場合は、権限の削除や検出結果のアーカイブなど、手動で検出結果を修復する必要があります。
一般的な理由:
-
スーパー管理者権限の置き換え:未使用アクセス期間 中に、アイデンティティが
AdministratorAccessポリシーには存在するがPowerUserAccessポリシーには存在しない権限を使用した場合、アナライザーはダウングレードを推奨できません。 -
未使用の権限の削除:未使用アクセス期間中にアイデンティティがポリシー内の一部のサービスを使用した場合、アナライザーはその削除を推奨しません。
-
システムは、ユーザーグループを通じて継承された権限や、サポート範囲外のサービスに対する修復アドバイスを生成しません。「制限事項」をご参照ください。
権限が要件を満たしているかを確認するにはどうすればよいですか?
検出結果の詳細ページで、これらの属性をチェックして、権限がビジネスニーズに合っているかを確認してください。権限が要件を超えている場合は、修復アドバイスを適用するか、手動で設定を調整してください。
-
アクセスしたサービス/権限のあるサービス:
-
[記録へのアクセス] リストをご参照ください。,アイデンティティのポリシーに含まれる、アナライザーがサポートするサービスの数です。詳細については、 権限のあるサービス
-
アクセスしたサービス は、未使用アクセス期間中にアイデンティティが使用したサービスの数です。これらは、最終アクセス日時とともに [記録へのアクセス] リストで優先的に表示されます。期間中にアクセスされたサービスでフィルタリングできます。
-
-
実行したアクション/権限のあるアクション:
-
権限のあるアクション は、各権限のあるサービスの下にある操作権限の総数です。
-
実行したアクション は、アナライザーによって検出された、未使用アクセス期間中にアイデンティティが実行したアクションの数です。
説明注:サポートされている権限監査の粒度は、クラウドサービスによって異なります。一部のサービスは、アクションレベルのアクセス統計をサポートしていません。これらのサービスでは、実行したアクション/権限のあるアクション 列は空になります。「権限監査機能と連携するサービス」をご参照ください。
-
-
最終アクセス日時:各サービスが最後にアクセスされた時刻。

[操作] 列で [View Actions] をクリックすると、アイデンティティがアクセスしたアクションとその最終アクセス日時を表示できます。特権 タグが付いているアクションは高リスクであり、注意が必要です。
