RAM アイデンティティには、必要以上の権限が蓄積されることがよくあります。アクセス監査は、各アイデンティティが持つ権限とそれらが最後に使用された日時を示します。これにより、未使用の権限を特定して安全に削除し、最小権限を徹底できます。
注意事項
アクセス監査を使用して RAM アイデンティティの権限を変更する前に、以下の考慮事項を確認してください。
追跡期間
アクセス追跡は 2024 年 2 月 1 日に開始されました。それ以前のアクセスは記録されません。最終アクセスデータは最大 24 時間遅延する場合があります。
アクセス試行
最終アクセスデータには、コンソール、CLI、SDK、または直接の API コールを介して行われた、成功したアクセスだけでなく、すべての API アクセス試行が含まれます。予期しないアクセス試行は、侵害を示すものではありません。リクエストが拒否された可能性もあります。特定のリクエストの詳細については、ActionTrail のログを確認してください。
レポートの所有者
レポートを生成したエンティティのみが、その詳細レコードを表示できます。コンソールでは、レポートの生成が完了するまでお待ちください。API、SDK、または CLI を使用する場合、認証情報はレポートの所有者と一致する必要があります。RAM ロールから取得した STS トークンでレポートを生成した場合、それを表示するには同じロールから取得した STS トークンを使用する必要があります。
サポート対象のポリシータイプ
アクセス監査は、RAM ユーザー、ユーザーグループ、およびロールにアタッチされたアイデンティティベースのポリシーのみを分析します。リソースベースのポリシー (OSS バケットポリシーなど)、Resource Directory のコントロールポリシー、またはセッションポリシーは分析しません。
サポート対象の監査粒度
-
サービスレベル
クラウドサービスレベルで権限を分析します。RAM アイデンティティがどのサービスにアクセスでき、どのサービスにいつアクセスしたかを表示します。これを使用して、未使用のシステムポリシーを失効させたり、サービスレベルの権限を調整したりします。
サポート対象のサービスは、「アクセス監査をサポートするサービス」に記載されています。
-
オペレーションレベル
サービスレベルの分析を個々の API オペレーションに拡張します。RAM アイデンティティがどのオペレーションを実行でき、どのオペレーションをいつ実行したかを表示します。これを使用して、きめ細かい権限コントロールを行ったり、リスクの高いオペレーションを制限したりします。
サポート対象のサービスは、「アクセス監査をサポートするサービス」の 監査粒度 列で オペレーションレベル とマークされています。
重要-
アクセス監査は、ActionTrail と統合されたコントロールプレーンオペレーションのみを対象とします。データプレーンオペレーション (OSS の GetObject など) はサポートされていません。
-
アクセス監査は、
ram:PassRoleのように、特定の API オペレーションに関連付けられていない権限をサポートしていません。
-
サポート対象外のシナリオ
一部のサービスは、他のサービスの API を呼び出す際に、ユーザーに代わって権限チェックを実行します。たとえば、Resource Center は、ターゲットサービス内のリソースを表示できるかどうかをチェックし、承認された結果のみを返します。これらの間接的なチェックは、アクセス監査データには記録されません。
以下の API には、このような間接的な権限チェックが含まれます。
|
クラウドサービス |
サービスコード |
API |
|
Resource Center |
resourcecenter |
SearchResources |
|
GetResourceCounts |
||
|
GetResourceConfiguration |
||
|
ListResourceTypes |
||
|
ExecuteSQLQuery |
||
|
Resource Manager |
resourcemanager |
ListResources |
|
Tag |
tag |
ListTagResources |
|
ListTagKeys |
||
|
ListTagValues |
RAM ユーザーの監査記録の表示
-
RAM 管理者として RAM コンソールにログインします。
-
左側のナビゲーションペインで、 を選択します。
-
ユーザー ページで、監査する RAM ユーザーをクリックします。
-
「ユーザー詳細」ページで、Policy Access Beta タブをクリックします。
システムは RAM ユーザーのアクセス監査レポートを生成します。これには数分かかる場合があります。
-
アクセス監査記録を表示します。
RAM ユーザーが利用可能なクラウドサービス、アタッチされているポリシー、各サービスが最後にアクセスされた日時が表示されます。
操作レベルの監査をサポートするサービスの場合、Actions 列の View Actions をクリックすると、許可された操作と最終アクセス時刻を表示できます。
RAM ロールの監査記録の表示
-
RAM 管理者として RAM コンソールにログインします。
-
左側のナビゲーションペインで、を選択します。
-
ロール ページで、監査する RAM ロールをクリックします。
-
「ロール詳細」ページで、Policy Access Beta タブをクリックします。
システムは RAM ロールのアクセス監査レポートを生成します。これには数分かかる場合があります。
説明サービスにリンクされたロールはアクセス監査をサポートしていないため、これらのロールでは Policy Access Beta タブは表示されません。
-
アクセス監査記録を表示します。
RAM ロールが利用可能なクラウドサービス、アタッチされているポリシー、各サービスが最後にアクセスされた日時が表示されます。
操作レベルの監査をサポートするサービスについては、Actions 列で View Actions をクリックすると、許可された操作とその最終アクセス時刻を表示できます。
アクセス監査に関する FAQ
アクセス監査レポートが空になるのはなぜですか?
アクセス監査レポートが空になる場合があります。以下を確認してください:
-
RAM ユーザーの場合、直接、またはユーザーグループから継承して、少なくとも 1 つのアイデンティティベースのポリシーが RAM アイデンティティにアタッチされていることを確認してください。
-
アタッチされたポリシーが権限を付与していることを確認してください。システムは、アタッチされているすべてのポリシーを分析して、アクセス可能なサービスとオペレーションを決定します。
-
付与されたサービスまたはオペレーションが、「アクセス監査をサポートするサービス」のリストに含まれていることを確認してください。
「InvalidParameter.Policy.Statement」エラー
このエラーは、権限ポリシーのフォーマットが無効な場合に発生します。エラーメッセージには、不正な形式のポリシー名と理由が示されます。ポリシーのフォーマットを修正し、レポートを再生成してください。
「InvalidParameter.Policy.NotAction」エラー
このエラーは、ポリシーの NotAction 要素に無効な値が含まれているために発生します。エラーメッセージには、影響を受けるポリシー名が示されます。NotAction 要素を修正し、レポートを再生成してください。
「LengthExceedLimit.Policy」エラー
このエラーは、アタッチされたポリシーが大きすぎて分析できないために発生します。エラーメッセージには、ポリシー名が示されます。ポリシーをより小さなステートメントに分割し、レポートを再生成してください。
関連ドキュメント
-
「アクセス監査をサポートするサービス」には、サポート対象のクラウドサービスとその監査粒度がリストされています。
-
過剰権限アナライザーを使用して、お使いの Resource Directory または現在のアカウント全体で過剰な権限を持つ RAM アイデンティティを継続的に検出できます。詳細については、「過剰な権限を持つアイデンティティの検出」をご参照ください。