このトピックでは、過剰な権限を持つ ID アナライザを使用して、リソースディレクトリまたは現在のアカウントで過剰な権限を持つ ID を特定する方法について説明します。
概要
過剰な権限を持つ ID アナライザとは
過剰な権限を持つ ID アナライザは、リソースディレクトリまたは現在のアカウントで過剰な権限を持つ ID を特定するのに役立ちます。過剰な権限を持つ ID アナライザは、リソースディレクトリまたは現在のアカウント内のすべての Resource Access Management (RAM) ID を継続的に監視し、過剰な権限を持つ ID の検出結果を生成します。RAM ID は RAM ユーザーと RAM ロールです。アナライザによって生成された検出結果は、スーパーユーザー、スーパーロール、特権ユーザー、特権ロール、非アクティブなユーザー、非アクティブなロール、過剰な権限を持つユーザー、過剰な権限を持つロールのタイプに分類されます。各検出結果には、RAM ID に付与された権限と、その権限が RAM ID によって最後に使用された日時に関する情報が含まれています。
スーパーユーザーとスーパーロール: アカウント内のすべてのリソースを管理するための完全な権限を持つ RAM ID です。たとえば、AdministratorAccess ポリシーが RAM ユーザーまたは RAM ロールにアタッチされている場合、その RAM ユーザーまたは RAM ロールはアカウント内のすべてのリソースを管理するための完全な権限を持ちます。
特権 ID (ユーザーまたはロール): 高リスクの権限を持つ RAM ID です。これらの ID は、多くの場合、自身の権限や他の ID の権限を昇格させることができます。特定可能な権限のリストについては、「権限リスト」をご参照ください。
非アクティブなユーザーと非アクティブなロール: [未使用アクセスの期間] パラメーターで指定された期間内にリソースにアクセスするための権限を使用しない RAM ID です。
過剰な権限を持つユーザーと過剰な権限を持つロール: [未使用アクセスの期間] パラメーターで指定された期間内に使用されないサービスレベルおよび操作レベルの権限を持つ RAM ID です。
過剰な権限アナライザのサポート範囲
過剰な権限を持つ ID アナライザは、リソースディレクトリまたは現在のアカウント内のすべての RAM ID に関する権限監査情報をチェックし、その情報に基づいて検出結果を生成します。アナライザはサービスリンクロールをチェックしません。権限監査機能を使用すると、RAM ID に付与された権限と、その権限が RAM ID によって最後に使用された日時を確認できます。過剰な権限を持つ ID アナライザと権限監査機能は、同じポリシータイプ、クラウドサービス、および監査粒度をサポートします。詳細については、「概要」をご参照ください。
過剰な権限を持つ ID アナライザの作成
管理者権限を持つ RAM ユーザーとして RAM コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[アナライザの作成] をクリックします。分析タイプに [過剰な権限] を選択し、アナライザ名を入力し、アイドルアクセス期間と分析範囲を設定してから、[アナライザの作成] をクリックします。
[未使用アクセスの期間] は、権限がアイドル状態であるかどうかを判断するために使用されます。有効な値: 1~180。デフォルト値: 90。単位: 日。たとえば、[未使用アクセスの期間] を 90 に設定した場合、90 日を超えて使用されていない権限はアイドル状態と見なされます。
説明リソースディレクトリの管理アカウントのみが、アナライザの範囲を [リソースディレクトリ] に設定できます。
アナライザを作成すると、アナライザは RAM ID と権限をチェックします。システムが検出結果を生成するには、特定の時間が必要です。
検出結果の表示と処理
検出結果の表示
[アナライザ] または [検出結果] ページで検出結果を表示できます。
アナライザページ
分析結果:
グラフィカルスタイル
現在のアカウント:
次の図は、リソースディレクトリの検出結果を示しています。リソースディレクトリ内でアクティブな検出結果の数が最も多い上位 5 つのメンバーが表示されます。
リストスタイル
検出結果のフィルター
リソース、リソースタイプ、リソース所有者、ステータス、検出結果タイプなどのフィルター条件に基づいて、特定の検出結果を検索できます。
コンソールのフィルター条件が優先されます。
たとえば、次の条件を設定して RAM ユーザーに関する検出結果を表示できます。
RAM ユーザーに関する検出結果のタイプには、[スーパーユーザー]、[特権ユーザー]、[非アクティブなユーザー]、[過剰な権限を持つユーザー] などがあります。検出結果に基づいて、フィルター条件として検出結果タイプをさらに設定できます。たとえば、検出結果タイプを [過剰な権限を持つユーザー] に設定して、過剰な権限を持つユーザーに関する検出結果を検索できます。
検出結果の詳細の表示
検出結果リストで、管理する検出結果を見つけ、[検出結果 ID] 列の ID をクリックします。
検出結果に基づいて、次のいずれかの操作を実行できます:
付与された権限が必要な場合は、[アーカイブ] をクリックして検出結果をアーカイブします。
付与された権限が不要な場合は、[ガバナンスに進む] または [リソース URL のコピー] をクリックして、対応するページでガバナンス操作を実行します。関連するリソースが現在のアカウントに属している場合は、[ガバナンスに進む] をクリックします。それ以外の場合は、[リソース URL のコピー] をクリックします。
検出結果の自動アーカイブ
単一の検出結果を手動でアーカイブするだけでなく、アーカイブ ルールを作成して、ガバナンスを必要としない検出結果を自動的にアーカイブすることもできます。
[検出結果] ページで、フィルター条件を設定し、[アーカイブ ルールとして保存] をクリックしてアーカイブ ルールを作成します。アーカイブ ルールを作成すると、新しい検出結果は自動的にアーカイブされます。
アーカイブ ルールが作成される前に生成された検出結果は、自動的にアーカイブされません。検出結果をアーカイブするには、次の操作を実行します: [アナライザ] ページに移動し、[アナライザ名] 列の名前をクリックし、[アーカイブ ルール] タブをクリックし、必要なアーカイブ ルールを見つけてから、[アクション] 列の [アーカイブ ルールの適用] をクリックします。
権限
高リスク操作の権限を持つ RAM ID (RAM ユーザーまたは RAM ロール) は、特権 ID として識別されます。識別可能な権限を次の表に示します。
Alibaba Cloud サービス | 高リスク操作 |
Resource Access Management | ram:AddUserToGroup |
ram:AttachPolicyToGroup | |
ram:AttachPolicyToRole | |
ram:AttachPolicyToUser | |
ram:CreateAccessKey | |
ram:CreatePolicyVersion | |
ram:DeletePolicy | |
ram:DeletePolicyVersion | |
ram:DetachPolicyFromGroup | |
ram:DetachPolicyFromRole | |
ram:DetachPolicyFromUser | |
ram:RemoveUserFromGroup | |
ram:SetDefaultPolicyVersion | |
ram:UpdateAccessKey | |
ram:UpdateRole | |
ram:CreateLoginProfile | |
ram:UpdateLoginProfile | |
ram:SetSecurityPreference | |
ram:RestoreAccessKeyFromRecycleBin | |
ram:SetUserSsoSettings | |
ram:CreateSAMLProvider | |
ram:UpdateSAMLProvider | |
ram:UpdateOIDCProvider | |
ram:AddClientIdToOIDCProvider | |
ram:AddFingerprintToOIDCProvider | |
Resource Management | ram:AttachPolicy |
ram:DetachPolicy | |
resourcemanager:EnableResourceDirectory | |
resourcemanager:CreateResourceAccount | |
resourcemanager:InviteAccountToResourceDirectory | |
resourcemanager:UpdateAccount | |
resourcemanager:DisableControlPolicy | |
resourcemanager:UpdateControlPolicy | |
resourcemanager:DeleteControlPolicy | |
resourcemanager:AttachControlPolicy | |
resourcemanager:DetachControlPolicy | |
resourcemanager:RegisterDelegatedAdministrator | |
CloudSSO | cloudsso:EnableDelegateAccount |
cloudsso:UpdateUserStatus | |
cloudsso:ResetUserPassword | |
cloudsso:SetLoginPreference | |
cloudsso:AddUserToGroup | |
cloudsso:RemoveUserFromGroup | |
cloudsso:SetExternalSAMLIdentityProvider | |
cloudsso:AddExternalSAMLIdPCertificate | |
cloudsso:AddPermissionPolicyToAccessConfiguration | |
cloudsso:RemovePermissionPolicyFromAccessConfiguration | |
cloudsso:UpdateInlinePolicyForAccessConfiguration | |
cloudsso:ProvisionAccessConfiguration | |
cloudsso:DeprovisionAccessConfiguration | |
cloudsso:CreateAccessAssignment | |
cloudsso:DeleteAccessAssignment | |
cloudsso:CreateSCIMServerCredential | |
cloudsso:UpdateSCIMServerCredentialStatus | |
cloudsso:SetSCIMSynchronizationStatus |