翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AMS での AMS 自動 IAM プロビジョニングのランタイムチェック
自動 IAM プロビジョニングは、 からのチェックを活用し AWS Identity and Access Management Access Analyzer、AMS 境界ポリシーに対して追加のチェックと検証を実行します。AMS は、IAM のベストプラクティス、クラウドでのお客様のワークロードの運用経験、および集合的な AMS IAM 手動評価経験に基づいて、追加のチェックと検証を定義しました。
ポリシーランタイムチェックの結果は、変更リクエスト (RFC) 出力で表示できます。検出結果には、リソース識別子、検出結果を生成したロールやポリシー内の場所、IAM エンティティまたはリソースが合格できなかったことのチェックの概要を示すメッセージが含まれます。これらの検出結果は、機能し、セキュリティのベストプラクティスに準拠するポリシーを作成するのに役立ちます。
注記
自動 IAM プロビジョニングは、チェックに合格しないエンティティまたはポリシー定義内の場所について特定しようとします。タイプに応じて、場所にはリソース名または ARN、または配列内のインデックスが含まれる場合があります。たとえば、エンティティまたはポリシーを正常な結果に調整するのに役立つステートメントです。
スムーズな AMS 自動 IAM プロビジョニングエクスペリエンスを得るには、「検証のみ」オプションを使用して、RFC 出力で報告された検証チェックの結果がなくなるまで検証チェックを実行することをお勧めします。検証チェックで検出結果が報告されない場合は、AMS コンソールからコピーの作成を選択して、既存の RFC のコピーをすばやく作成します。プロビジョニングの準備ができたら、「パラメータ」セクションで、検証のみの値を「はい」から「いいえ」に切り替え、続行します。
IAM リソースが安全であることを確認するために AMS 自動 IAM プロビジョニングが実行するランタイムチェックは次のとおりです。
注記
これらの自動変更タイプによって拒否されたアクションを含む IAM ポリシーをプロビジョニングするには、RFC カスタマーセキュリティリスク管理 (CSRM) プロセスに従う必要があります。次の変更タイプを使用します: デプロイ | 高度なスタックコンポーネント | Identity and Access Management (IAM) | エンティティまたはポリシーの作成 (レビューが必要) (ct-3dpd8mdd9jn1r)。
IAM Access Analyzer ポリシーのチェックと検証: 「Access Analyzer ポリシーチェックリファレンス」と「IAM Access Analyzer ポリシーの検証」も参照してください。
AMS アクセス許可の境界ポリシーチェック: デフォルトで拒否される一連のサービスに対するアクション。詳細については、「自動 IAM プロビジョニングのアクセス許可の境界チェック」を参照してください。
カスタマー定義のアクセス許可の境界ポリシーチェック: 拒否された一連のサービスに対する追加の制限付きアクション。詳細については、「自動 IAM プロビジョニングのアクセス許可の境界チェック」を参照してください。
AMS 定義のカスタムチェック: リクエストされた IAM エンティティまたはポリシー内のさまざまな安全でないポリシーや過度に寛容なポリシー、またはアクセスパターンを識別し、見つかった場合はリクエストを拒否するチェック。詳細については、AWS 「JSON ポリシー要素: プリンシパル」を参照してください。
| 検索 | 説明 |
|---|---|
ロールには、信頼ゾーン外の外部アカウントからアクセスできます。 |
この検出結果は、信頼ゾーン外のロール信頼ポリシーにリストされているプリンシパルを指します。信頼ゾーンは、ロールが作成されるアカウントまたはアカウントが属する AWS 組織として定義されます。アカウントまたは同じ AWS Organization に属していないエンティティは外部エンティティです。検出結果を解決するには、プリンシパル ARNs、それらが自分に属していて、AMS オンボードアカウントであることを確認します。 |
ロールには、AMS 顧客所有アカウント Account |
この検出結果は、ロール信頼ポリシーに、ユーザーと AMS オンボーディングアカウントが所有していないアカウント ID を持つプリンシパル ARN が含まれている場合に生成されます。この結果を解決するには、ロールの信頼ポリシーからそのようなプリンシパルを削除します。 |
正規ユーザー ID は、IAM 信頼ポリシーでサポートされているプリンシパルではありません。 |
正規プリンシパル IDsは IAM 信頼ポリシーではサポートされていません。検出結果を解決するには、ロールの信頼ポリシーからそのようなプリンシパルを削除します。 |
ロールには、信頼ゾーン外の外部ウェブ ID からアクセスできます。 |
この検出結果は、ロール信頼ポリシーが SAML IdP 以外の外部ウェブ ID プロバイダー (IdP) を許可する場合に生成されます。この結果を解決するには、ロールの信頼ポリシーを確認し、 |
ロールには SAML フェデレーションを介してアクセスできますが、提供された SAML ID プロバイダー (IdP) は存在しません。 |
この検出結果は、ロールの信頼ポリシーに、アカウントに存在しない SAML IdP が含まれている場合に生成されます。解決するには、リストされているすべての SAML IdP がアカウントに存在することを確認します。 |
ポリシーには、管理者またはパワーユーザーアクセスに相当する特権アクションが含まれています。アクセス許可の範囲を特定のサービス、アクション、またはリソースに減らすことを検討してください。NotAction や NotResource などの高度なポリシー要素を使用する場合は、特に Allow ステートメントで、意図したよりも多くのアクセスを許可していないことを確認してください。 |
IAM ポリシーでアクセス許可を設定するときに、タスクの実行に必要なアクセス許可のみを付与 AWS Identity and Access Management するのが、 のベストプラクティスです。これを行うには、最小特権のアクセス許可とも呼ばれる特定の条件下で特定のリソースに対して実行できるアクションを定義します。この検出結果は、自動化がポリシーが広範なアクセス許可を付与していることを検出し、最小特権の原則に準拠していない場合に生成されます。検出結果を解決するには、 アクセス許可を確認して減らします。 |
ステートメントには、 |
AMS は、特定のサービスの特定のアクションをリスクありとして特定し、顧客セキュリティチームによるさらなるリスクレビューと承認を必要とします。この検出結果は、オートメーションがそのようなアクセス許可を付与する特定のポリシーを検出したときに生成されます。この結果を解決するには、ポリシーでこれらのアクションを拒否します。アクションのリストについては、AMS 境界ポリシーを参照してください。AMS 境界ポリシーの詳細については、「」を参照してくださいAMS 自動 IAM プロビジョニングアクセス許可の境界チェック。 |
ステートメントは、 |
この検出結果は、ポリシーが自動 IAM プロビジョニング変更タイプ (CTs。CTs はリスク承諾の対象であり、オンボーディングされたロールを通じてのみ使用する必要があります。したがって、これらの CTs にアクセス許可を付与することはできません。この結果を解決するには、これらの CTs。 |
ステートメントには、service |
この検出結果は、ポリシーが特定のサービスのリソースにスコープされていない特権アクションを付与した場合に生成されます。ワイルドカードは、多くの場合、アクセス許可の範囲に幅広いリソースやアクションを取り込む過度に寛容なポリシーを作成します。検出結果を解決するには、所有するリソースへのアクセス許可の範囲を減らすか、AMS 名前空間にあるリソースを除外します。AMS 名前空間プレフィックスのリストについては、AMS ドキュメントの境界ポリシーを参照してください。すべてのプレフィックスがすべてのサービスに適用されるわけではありません。AMS 境界ポリシーの詳細については、「」を参照してくださいAMS 自動 IAM プロビジョニングアクセス許可の境界チェック。 |
アカウント ID または Amazon リソースネーム (ARN) が無効です。 |
この検出結果は、ポリシーまたはロールの信頼ポリシーで指定された ARN またはアカウント ID が無効である場合に生成されます。サービスの有効なリソース ARN のリソースを確認するには、「サービス認可リファレンス」を参照してください。アカウント ID が 12 桁の数字であり、アカウントがアクティブであることを確認します AWS。 |
ARN のアカウント ID にワイルドカード (*) を使用することは制限されています。 |
この検出結果は、ARN のアカウント ID フィールドにワイルドカード (*) が指定されている場合に生成されます。アカウント ID フィールドのワイルドカードは、任意のアカウントと一致し、リソースに意図しないアクセス許可を付与する可能性があります。これを解決するには、ワイルドカードを特定のアカウント ID に置き換えます。 |
Account |
この検出結果は、リソース ARN で指定されたアカウント ID がユーザーに属しておらず、AMS によって管理されていない場合に生成されます。これを解決するには、すべてのリソース (ポリシーの ARN で指定) が AMS によって管理されているアカウントに属していることを確認します。 |
ロール名は AMS の制限付き名前空間にあります。 |
この検出結果は、AMS 予約プレフィックスで始まる名前のロールを作成しようとすると生成されます。これを解決するには、ユースケースに固有のロールの名前を使用します。AMS 予約プレフィックスのリストについては、「AMS 予約プレフィックス」を参照してください。 |
ポリシー名は AMS の制限付き名前空間にあります。 |
この検出結果は、AMS 予約プレフィックスで始まる名前のポリシーを作成しようとすると生成されます。これを解決するには、ユースケースに固有のポリシーの名前を使用します。AMS 予約プレフィックスのリストについては、「AMS 予約プレフィックス」を参照してください。 |
ARN のリソース ID は AMS の制限付き名前空間にあります。 |
この検出結果は、AMS 名前空間にある名前付きリソースにアクセス許可を付与するポリシーを作成しようとすると生成されます。これを解決するには、アクセス許可をリソースにスコープするか、AMS 名前空間にあるリソースへのアクセス許可を拒否してください。AMS 名前空間の詳細については、「AMS の制限付き名前空間」を参照してください。 |
ポリシー変数の大文字と小文字が無効です。変数を |
この検出結果は、間違った場合に IAM グローバルポリシー変数を含むポリシーを作成しようとすると生成されます。これを解決するには、ポリシーのグローバル変数に正しい大文字と小文字を使用します。グローバル変数のリストについては、AWS 「 グローバル条件コンテキストキー」を参照してください。ポリシー変数の詳細については、「IAM ポリシー要素: 変数とタグ」を参照してください。 |
ステートメントには、KMS キーの範囲に含まれていない特権アクションが含まれています。これらのアクセス許可を特定のキーにスコープするか、AMS 所有のキーを除外することを検討してください。 |
この検出結果は、ポリシーに、所有する特定の KMS キーに限定されていないアクセス許可が含まれている場合に生成されます。これを解決するには、アクセス許可を特定のキーにスコープするか、AMS が所有するキーを除外します。AMS 所有のキーには、特定のエイリアスセットがあります。AMS 所有のキーエイリアスのリストについては、「」を参照してくださいAMS 自動 IAM プロビジョニングアクセス許可の境界チェック。 |
ステートメントには、KMS キーエイリアスの範囲に含まれていない特権アクションが含まれています。これらのアクセス許可をキーまたはエイリアスにスコープするか、AMS 所有のキーエイリアスを除外することを検討してください。 |
この検出結果は、ポリシーに、所有する特定の KMS キーエイリアスに限定されていないアクセス許可が含まれている場合に生成されます。これを解決するには、アクセス許可を特定のキーにスコープするか、AMS が所有するキーを除外します。AMS 所有のキーには、特定のエイリアスセットがあります。AMS 所有のキーエイリアスのリストについては、「」を参照してくださいAMS 自動 IAM プロビジョニングアクセス許可の境界チェック。 |
ステートメントには、 を使用して KMS キーに適切にスコープされていない特権アクションが含まれています |
この検出結果は、 を使用して KMS キーのエイリアスにスコープダウンせずに、条件を使用して KMS キーへのアクセス許可をスコープする場合 |
ロールには customer_deny_policy がアタッチされている必要があります。マネージドポリシー ARN のリストにポリシー ARNs。 |
この検出結果は、作成するロールに が |
AWS 管理ポリシーは過度に許可されているか、AMS 境界ポリシーによって制限されたアクセス許可を付与します。 |
この検出結果は、ロールの ManagedPolicyArns 値に、関連するサービスへのフルレベルまたは管理者レベルのアクセスを提供する AMS 管理ポリシーが含まれている場合に生成されます。これを解決するには、 AWS 管理ポリシーの使用を確認し、スコープダウン許可を提供するポリシーを使用するか、最小特権の原則に従う独自のポリシーを定義します。 |
カスタマー管理ポリシーは、制限された AMS 名前空間にあります。 |
この検出結果は、名前 AWS 空間に名前のプレフィックスが付いたカスタマー管理ポリシーがロールにアタッチされている場合に生成されます。これを解決するには、ロールの ManagedPolicyArn リストからポリシーを削除します。 |
customer_deny_policy をロールからデタッチすることはできません。マネージドポリシー ARN のリストにポリシー ARNs。 |
この検出結果は、更新中に |
カスタマー管理ポリシーは、AMS 変更管理サービス外または事前検証なしでプロビジョニングされました。 |
この検出結果は、1 つ以上の既存のカスタマー管理ポリシー ARNs がロールにアタッチされていて、ポリシーが AMS 変更管理サービス (RFC 経由) を介してプロビジョニングされていない場合に生成されます。たとえば、デベロッパーモードまたは直接変更モードを使用すると、お客様は RFC なしで IAM ポリシーをプロビジョニングできます。これを解決するには、ロールの ManagedPolicyArns リストからカスタマー管理ポリシー ARNs を削除します。 |
提供される管理ポリシー ARNs の数が、ロールごとのアタッチされたポリシーのクォータを超えています。 |
この検出結果は、ロールにアタッチされた管理ポリシーの総数がロールあたりのポリシーのクォータを超えた場合に生成されます。IAM クォータの詳細については、「IAM および AWS STS クォータ、名前の要件、および文字制限」を参照してください。この情報を使用して、ロールにアタッチするポリシーの数を減らします。 |
信頼ポリシーサイズ ({trust_policy}) が {size} の引き受けロールポリシーサイズクォータを超えています。 |
この検出結果は、ロールを引き受けるポリシードキュメントのサイズがポリシーサイズのクォータを超えた場合に生成されます。IAM クォータの詳細については、「IAM および AWS STS クォータ、名前の要件、および文字制限」を参照してください。 |
ステートメントには、Amazon S3 のすべての変更アクションが含まれます。これらのアクセス許可を必要なアクションのみにスコープすることを検討してください。ワイルドカードを使用する場合は、制限された一連のミュータティブアクションの範囲を指定してください。 |
この検出結果は、特定のポリシーが 1 つ以上のリソースに関係なく、すべての Amazon Simple Storage Service ミューテーションアクセス許可を付与した場合に生成されます。これを解決するには、バケットに対して必要な Amazon S3 ミュータティブアクションのみを含めます。 |
ステートメントには、Amazon S3 のバケットに対して許可されていない特権アクションが含まれています。これらのアクションを拒否するステートメントを追加することを検討してください。 |
この検出結果は、ポリシーが任意のバケットに特権アクションを付与した場合に生成されます。特権アクションのリストについては、「この検出結果を解決AMS 自動 IAM プロビジョニングアクセス許可の境界チェックするには、ポリシーでこれらのアクションを削除または拒否する」を参照してください。 |
ステートメントには、Amazon S3 のバケットに限定されていない特権アクションが含まれています。バケットを含めるか、AMS 名前空間プレフィックスを持つバケットを除外することを検討してください。ワイルドカードを使用する場合は、名前空間内のバケットと一致することを確認してください。 |
この検出結果は、ポリシーがバケットに限定されていない Amazon S3 アクションのみを許可する場合に生成されます。これは、バケットリソースを指定するときにワイルドカードを使用する場合によく発生します。これを解決するには、所有しているバケット名または ARNs を指定するか、AMS 名前空間プレフィックスを持つバケットを除外します。 |
ステートメントには、Amazon S3 のバケットに限定されていない特権アクションが含まれています。アカウント内のすべてのバケットを対象とするワイルドカード (*) の使用は避けることを検討してください。 |
この検出結果は、ポリシーがバケットにスコープされていない Amazon S3 アクションを付与した場合に生成されます。これは、バケットリソースを指定するときにワイルドカードを使用する場合によく発生します。これを解決するには、所有しているバケット名または ARNs を指定するか、AMS 名前空間プレフィックスを持つバケットを除外します。 |
ステートメントには、存在しないバケットや を所有していないバケットなど、すべての Amazon S3 バケットを対象とするリソースワイルドカードが含まれています。条件と |
この検出結果は、ポリシーがワイルドカードを使用して指定されたバケットにアクセス許可を付与した場合に生成されます。ワイルドカードを使用すると、多くの場合、存在しないバケットや所有者以外のバケットがスコープに含まれます。これを解決するには、 条件と |
ステートメントには |
この検出結果は、ポリシーが |
ステートメントには、存在しないバケット、アカウント |
この検出結果は、ポリシーによって、存在しないバケット、ユーザーが所有していないバケット、または多数のバケットをカバーするバケット名にワイルドカードがあり、アクセスが現在のアカウントのみにスコープされていない場合に生成されます。これを解決するには、 条件と |
ステートメントには、存在しないバケット、アカウント |
この検出結果は、ポリシーによって、存在しないバケット、ユーザーが所有していないバケット、または多数のバケットをカバーするバケット名にワイルドカードがあり、アクセスが特定のアカウントのみにスコープされている場合に生成されます。ただし、 |
ステートメントには、Amazon EC2 のインスタンスに限定されていない特権アクションが含まれています。アクションを特定のインスタンス ARNs、AMS 名前空間プレフィックスの値を持つ名前タグキーを持つインスタンスを除外することを検討してください。ワイルドカードを使用する場合は、所有している名前空間と一致することを確認してください。 |
この検出結果は、ポリシーが AMS が所有する Amazon EC2 インスタンスに対して特権アクションを付与した場合に生成されます。AMS インスタンスには、AMS 名前空間の値を持つ名前タグキーがタグ付けされます。これを解決するには、 |
ステートメントには、 AWS Systems Manager パラメータストアのリソースに限定されていない特権アクションが含まれています。パラメータの ARNs を指定するか、AMS 名前空間プレフィックスを使用してパラメータを除外することを検討してください。ワイルドカードを使用する場合は、パラメータのみを対象とするようにしてください。 |
この検出結果は、ポリシーが所有していないパラメータにアクセス許可を付与した場合に生成されます。これは通常、ワイルドカードが使用されている場合、または AMS 名前空間プレフィックスを持つパラメータがポリシーステートメントのリソースにリストされている場合です。これを解決するには、名前空間内にあるパラメータを指定するか、拒否ステートメントを使用して AMS パラメータを除外します。 |
ステートメントには、 のリソースに対する特権アクションが含まれています AWS Systems Manager。リソースに対するアクションまたはアクションのみを読み取るためのアクセス許可の範囲を設定することを検討してください。 |
この検出結果は、ポリシーが Systems Manager リソースに対してパラメータストアまたは読み取り専用アクション以外のアクセス許可を付与した場合に生成されます。この結果を解決するには、読み取り専用アクションまたはパラメータストアのみのアクセス許可を減らします。 |
ステートメントには、所有する |
この検出結果は、ポリシーがリソース、特に名前付きリソースに対して付与されない特権アクションを許可する場合に生成されます。この結果を解決するには、リソースリストを確認し、それらが名前空間にあるリソースのみをスコープするかどうかを確認します。または、AMS 名前空間にあるリソースを除外します。 |
ステートメントには、名前タグキーの特定の値にスコープされていない { |
この検出結果は、ポリシーが特定のサービスのタグ付けアクセス許可を付与し、そのアクセス許可が特定のタグキー/値の範囲に含まれていない場合に生成されます。タグアクションで使用できるキーまたは値を絞り込むには、たとえば、アクションを実行するようにリクエストするときは、 |
IAM ロールの信頼ポリシーの検証中に内部エラーが発生しました。 |
この検出結果は、CT オートメーションが IAM Access Analyzer サービスを介して IAM ロールの信頼ポリシーの検証を実行する際にエラーが発生した場合に生成されます。これを解決するには、RFC を再送信します。エラーが解決しない場合は、AMS Operations に連絡してエラーのトラブルシューティングを行います。 |
カスタマー管理ポリシーの検証中に内部エラーが発生しました。 |
この検出結果は、IAM Access Analyzer サービスを通じてカスタマー管理ポリシーで楕円化を実行する際に、CT オートメーションでエラーが発生した場合に生成されます。これを解決するには、RFC を再送信します。エラーが解決しない場合は、AMS Operations に連絡してエラーのトラブルシューティングを行います。 |
アクセスアナライザーが に見つかりません |
この検出結果は、IAM Access Analyzer リソースが に見つからない場合に生成されます AWS リージョン。AMS Operations に連絡して、AWS リージョンで IAM Access Analyzer リソースのトラブルシューティングと作成を行います。 |
Role |
この検出結果は、指定された IAM ロールに無効な信頼ポリシーが含まれている場合に生成されます。解決するには、信頼ポリシーを確認して、そのポリシーが有効であることを確認します。 |
IAM Access Analyzer で内部エラーが発生しました。Role |
この検出結果は、IAM Access Analyzer を使用してロールのアクセスプレビューを作成中にオートメーションでエラーが発生した場合に生成されます。これを解決するには、RFC を再送信します。エラーが解決しない場合は、AMS Operations に連絡してエラーのトラブルシューティングを行います。 |
Role |
この検出結果は、IAM Access Analyzer を使用してロールのアクセスプレビューを作成中にオートメーションでエラーが発生した場合に生成されます。これを解決するには、RFC を再送信します。エラーが解決しない場合は、AMS Operations に連絡してエラーのトラブルシューティングを行います。 |
リストされた SAML IdP の検証中に内部エラーが発生しました。 |
この検出結果は、ロール信頼ポリシーにリストされている指定された SAML IdPs の検証中にオートメーションでエラーが発生した場合に生成されます。これを解決するには、RFC を再送信します。エラーが解決しない場合は、AMS Operations に連絡してエラーのトラブルシューティングを行います。 |
アクセス許可の検証に関する内部エラー AWS Key Management Service。 |
この検出結果は、提供されたポリシーで AWS KMS キーアクセス許可の検証中にオートメーションでエラーが発生した場合に生成されます。これを解決するには、RFC を再送信します。エラーが解決しない場合は、AMS Operations に連絡してエラーのトラブルシューティングを行います。 |
リストされた管理ポリシー ARNs を検証する内部エラー。 |
この検出結果は、リストされた管理ポリシー ARNs。これを解決するには、RFC を再送信します。エラーが解決しない場合は、AMS Operations に連絡してエラーのトラブルシューティングを行います。 |
デフォルトの |
この検出結果は、 |
Role |
この検出結果は、ロールのマネージドポリシー ARNsに生成されます。これを解決するには、RFC を再送信します。エラーが解決しない場合は、AMS Operations に連絡してエラーのトラブルシューティングを行います。 |
ユーザー定義の境界ポリシーに対する |
この検出結果は、カスタム拒否リストを含むポリシーの検証中にオートメーションでエラーが発生した場合に生成されます。これを解決するには、RFC を再送信します。エラーが解決しない場合は、AMS Operations に連絡してエラーのトラブルシューティングを行います。 |
カスタマー定義の境界ポリシー |
この検出結果は、カスタム拒否リストを含むポリシーに、 アクセス許可を付与するステートメントが含まれている場合に生成されます。カスタム拒否リストは IAM 管理ポリシーとしてアカウント内に存在しますが、アクセス許可管理には使用できません。ポリシーには、AMS 自動 IAM プロビジョニングが作成する IAM ポリシーでそれらのアクションを検証および拒否することを示す拒否ステートメントのみを含める必要があります。 |
ステートメントには、 |
この検出結果は、カスタム拒否リストで定義したポリシー内のアクションをオートメーションが検出したときに生成されます。検出結果を解決するには、ポリシーステートメントを確認し、カスタム拒否リストで定義されているアクションを削除するか、それらのアクションを拒否する拒否ステートメントを追加します。 |
ロールには |
この検出結果は、作成するロールに |
|
この検出結果は、更新中に |
