AWS IAM Access Analyzer 使ってみる

概要

やりたいこと

AWS IAM Access Analyzer を使って外部公開しているサービスを把握したい。

AWS IAM Access Analyzer

外部公開しているサービスが是か非かを確認するサービス。利用料金が無料。

• AWS IAM Access Analyzer とは

以下の AWS リソースのみが対象。

• Amazon Simple Storage Service バケット
• AWS Identity and Access Management ロール
• AWS Key Management Service キー
• AWS Lambda の関数とレイヤー
• Amazon Simple Queue Service キュー

Config Rules との使い分けは下記で比較してくれている。

• IAM Access Analyzerと既存の機能を比較してどう使っていくか考察してみた #reinvent

Config Rules では、 SQS, KMS, IAM がパブリック公開しているかどうかはカスタムルールを作成しないといけないため、IAM Access Analyzer を利用したほうが楽。

CloudFormation

CloudFormation テンプレートはシンプル。

• AWS::AccessAnalyzer::Analyzer

AWSTemplateFormatVersion: 2010-09-09
Resources:
  Analyzer:
    Type: 'AWS::AccessAnalyzer::Analyzer'
    Properties:
      AnalyzerName: MyAccountAnalyzer
      Type: ACCOUNT

デプロイ。

aws cloudformation deploy \
--stack-name iam-access-analyzer \
--template-file iam_access_analyzer.yaml

IAM コンソールより Access Analyzer にて Findings が表示される。

参考

AWS IAM Access Analyzer とは