# IAM Access Analyzer の検出結果を解決する
<a name="access-analyzer-findings-remediate"></a>

## リソースの検出結果の解決
<a name="access-analyzer-findings-remediate-external"></a>

意図しないアクセスによって生成された外部および内部アクセスの検出結果を解決するには、ポリシーステートメントを変更して、該当するリソースへのアクセスを許可するアクセス許可を削除する必要があります。

Amazon S3 バケットに関連する検出結果の場合、Amazon S3 コンソールを使用してバケットに対するアクセス許可を設定します。

IAM ロールの場合、IAM コンソールを使用して、リストされた IAM ロールの[信頼ポリシーを変更](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html#roles-managingrole_edit-trust-policy)します。

その他のサポートされているリソースの場合は、コンソールを使用して、生成された検出結果となったポリシー ステートメントを変更します。

IAM ロールに適用されているポリシーを変更するなど、リソース検出結果を解決するための変更を行った後、IAM Access Analyzer がリソースを再度スキャンします。リソースへのアクセスが削除されると、検出結果のステータスは**[解決済み]** に変更されます。その後、検出結果は、アクティブな検出結果リストではなく、解決済みの検出結果リストに表示されます。

**注記**  
これは、**[エラー]** の検出結果には適用されません。IAM Access Analyzer がリソースを分析できない場合、エラーの検出結果が生成されます。IAM Access Analyzer によるリソースの分析を妨げていた問題を解決すると、エラーの検出結果は解決された検出結果に変更されるのではなく、完全に削除されます。詳細については、「[IAM Access Analyzer のエラー検出結果](access-analyzer-error-findings.md)」を参照してください。

変更に伴って、プリンシパルやアクセス許可が異なるなど、リソースへの外部アクセスまたは内部アクセスが異なる方法で行われた場合、IAM Access Analyzer は元の検出結果を解決して新しい**アクティブ**な検出結果を生成します。行った変更によって内部エラーまたはアクセス拒否エラーが発生した場合、リソースの特定のアクセスに関連付けられたすべてのアクティブな非エラー検出結果が解決され、新しいエラー検出結果が生成されます。

**注記**  
外部アクセスアナライザーについて、ポリシーが変更されてから IAM Access Analyzer がリソースを再度分析して検出結果を更新するまで、最大で 30 分かかる場合があります。  
内部アクセスアナライザーの場合、IAM Access Analyzer がリソースを再度分析してから検出結果を更新するまでに数分または数時間かかることがあります。IAM Access Analyzer は、24 時間ごとにすべてのポリシーを自動的に再スキャンします。  
解決済みの結果は、検出結果のステータスの最終更新から 90 日後に削除されます。

## 未使用のアクセスに関する検出結果の解決
<a name="access-analyzer-findings-remediate-unused"></a>

IAM Access Analyzer は検出結果のタイプに基づいて、未使用のアクセスアナライザーの検出結果を解決するための推奨手順を提供します。

未使用のアクセスの結果を解決するための変更を行うと、次に未使用のアクセスアナライザーを実行したときに、結果のステータスが **[解決済み]** に変わります。検出結果はアクティブな検出結果のリストに表示されなくなり、代わりに解決済みの検出結果のリストに表示されます。未使用のアクセスの結果の一部のみに対処する変更を行った場合、既存の結果は **[解決済み]** に変わりますが、新しい結果が生成されます。例えば、結果から未使用のアクセス許可の一部だけを削除し、すべてを削除しない場合などです。

IAM Access Analyzer では、1 か月あたりに分析された IAM ロールとユーザーの数に基づいて、未使用のアクセス分析に対する料金が発生します。価格設定の詳細については、「[IAM Access Analyzer pricing](https://aws.amazon.com/iam/access-analyzer/pricing)」を参照してください。

### 未使用のアクセス許可に関する検出結果の解決
<a name="access-analyzer-findings-remediate-unused-permission"></a>

未使用のアクセス許可に関する検出結果に対し、IAM Access Analyzer は IAM ユーザーまたはロールから削除するポリシーを推奨し、既存のアクセス許可ポリシーを置き換える新しいポリシーを提供します。ポリシーの推奨は、以下のシナリオではサポートされていません。
+ 未使用のアクセス許可に関する検出結果は、ユーザーグループに属する IAM ユーザーに対するものです。
+ 未使用のアクセス許可に関する検出結果は、IAM Identity Center の IAM ロールに対するものです。
+ 未使用のアクセス許可に関する検出結果には、`notAction` 要素を含む既存のアクセス許可ポリシーがあります。

1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。

1. **[未使用のアクセス]** を選択します。

1. **[検出結果タイプ]** が **[未使用のアクセス許可]** の検出結果を選択します。

1. **[推奨事項]** セクションで、**[推奨ポリシー]** 列にポリシーが表示されている場合は、**[ポリシーのプレビュー]** を選択して、既存のポリシーを置き換える推奨ポリシーとともに既存のポリシーを表示します。推奨ポリシーが複数ある場合は、**[次のポリシー]** と **[前のポリシー]** を選択すると、既存のポリシーと推奨ポリシーをそれぞれ表示できます。

1. **[JSON をダウンロード]** を選択して、すべての推奨ポリシーの JSON ファイルを含む .zip ファイルをダウンロードします。

1. 推奨ポリシーを作成して IAM ユーザーまたはロールにアタッチします。詳細については、「[ユーザーのアクセス許可の変更 (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-change-console)」および「[ロールのアクセス許可ポリシーの変更 (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-modify_permissions-policy)」を参照してください。

1. **[既存のアクセス許可ポリシー]** 列に表示されているポリシーを IAM ユーザーまたはロールから削除します。詳細については、「[ユーザーからのアクセス許可の削除 (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-remove-policy-console)」および「[ロールアクセス許可ポリシーの変更 (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-modify_permissions-policy)」を参照してください。

### 未使用のロールに関する検出結果の解決
<a name="access-analyzer-findings-remediate-unused-role"></a>

未使用のロールに関する検出結果に対し、IAM Access Analyzer は未使用の IAM ロールを削除することを推奨します。

1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。

1. **[未使用のアクセス]** を選択します。

1. **[検出結果タイプ]** が **[未使用のロール]** の検出結果を選択します。

1. **[推奨事項]** セクションで、IAM ロールの詳細を確認します。

1. IAM ロールを削除します。詳細については、「[IAM ロールの削除 (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#roles-managingrole-deleting-console)」を参照してください。

### 未使用のアクセスキーに関する検出結果の解決
<a name="access-analyzer-findings-remediate-unused-access-key"></a>

未使用のアクセスキーに関する検出結果に対し、IAM Access Analyzer は未使用のアクセスキーを非アクティブ化または削除することを推奨します。

1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。

1. **[未使用のアクセス]** を選択します。

1. **[検出結果タイプ]** が **[未使用のアクセスキー]** の検出結果を選択します。

1. **[推奨事項]** セクションで、アクセスキーの詳細を確認します。

1. アクセスキーを非アクティブ化または削除します。詳細については、「[アクセスキーの管理 (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey)」を参照してください。

### 未使用のパスワードに関する検出結果の解決
<a name="access-analyzer-findings-remediate-unused-password"></a>

未使用のパスワードに関する検出結果に対し、IAM Access Analyzer は IAM ユーザーの未使用のパスワードを削除することを推奨します。

1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。

1. **[未使用のアクセス]** を選択します。

1. **[検出結果タイプ]** が **[未使用のパスワード]** の検出結果を選択します。

1. **[推奨事項]** セクションで、IAM ユーザーの詳細を確認します。

1. IAM ユーザーのパスワードを削除します。詳細については、「[IAM ユーザーパスワードの作成、変更、削除 (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html#id_credentials_passwords_admin-change-user_console)」を参照してください。