View a markdown version of this page

Security Hub での未使用のアクセスの検出結果について - AWS Security Hub
未使用のアクセス分析の仕組み未使用のアクセス検出結果タイプサービスにリンクされたアナライザー未使用のアクセス検出結果の表示露出の検出結果での未使用のアクセス未使用のアクセス許可に関するポリシーの推奨事項料金

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub での未使用のアクセスの検出結果について

Security Hub は IAM Access Analyzer を使用して、アカウント内の未使用の IAM アクセス許可、ロール、アクセスキー、パスワードを識別します。これらの検出結果は、アクティブに使用されていない IAM プリンシパルとアクセス許可を強調することで、最小特権アクセスのセキュリティのベストプラクティスを実装するのに役立ちます。この機能は、すべての Security Hub のお客様に追加料金なしで提供されます。

未使用のアクセス分析の仕組み

Security Hub を有効にすると、サービスにリンクされた IAM Access Analyzer がアカウントに自動的に作成されます。このアナライザーは、 AWS CloudTrail アクティビティデータに対してすべての IAM プリンシパル (ロールとユーザー) を評価し、90 日間のルックバック期間内に使用されていないプリンシパルとアクセス許可を決定します。ルックバック期間は設定できません。

IAM Access Analyzer は、24 時間ごとにすべてのアクティブな検出結果を再評価します。以前に未使用のプリンシパルまたはアクセス許可がアクティブになると、対応する検出結果は自動的に解決されます。

IAM はグローバルサービスであるため、未使用のアクセスアナライザーは米国東部 (バージニア北部) で実行されます。Security Hub は、Security Hub を有効にしたすべてのリージョンに結果をレプリケートします。アナライザーを実行するために、米国東部 (バージニア北部) で Security Hub を有効にする必要はありません。

未使用のアクセス検出結果タイプ

Security Hub は、4 種類の未使用のアクセス検出結果を生成します。

結果タイプ 説明 評価されたリソース

UnusedIAMRole

90 日間のルックバック期間内に引き受けられていない IAM ロール。

IAM ロール

UnusedIAMUserAccessKey

90 日間のルックバック期間内に API リクエストの署名に使用されていない IAM ユーザーアクセスキー。

IAM ユーザー

UnusedIAMUserPassword

90 日間のルックバック期間内にコンソールのサインインに使用されていない IAM ユーザーパスワード。

IAM ユーザー

UnusedPermission

ロールまたはユーザーに付与されているが、90 日間のルックバック期間内に呼び出されていない特定の IAM アクション。

IAM ロールまたは IAM ユーザー

サービスにリンクされたアナライザー

Security Hub が作成する IAM Access Analyzer は、サービスにリンクされたアナライザーです。IAM Access Analyzer コンソールで表示できますが、Security Hub が有効になっている間は変更または削除することはできません。

すべてのリージョンで Security Hub を無効にすると、サービスにリンクされたアナライザーは自動的に削除されます。自動削除が失敗した場合は、IAM Access Analyzer DeleteServiceLinkedAnalyzer API オペレーションを呼び出してアナライザーを削除できます。このオペレーションは、アカウントで Security Hub が完全に無効になった後にのみ成功します。

サービスにリンクされたアナライザーは、IAM Access Analyzer で個別に作成したカスタマーマネージドアナライザーとは別のものです。カスタマーマネージドアナライザーを作成または削除しても、サービスにリンクされたアナライザーには影響せず、その逆も同様です。

未使用のアクセス検出結果の表示

未使用のアクセスの検出結果は、他の Security Hub の検出結果とともに Security Hub コンソールに表示されます。検出結果をタイプ別にフィルタリングして、未使用のアクセス検出結果のみを表示できます。未使用のアクセス検出結果は、すべての Security Hub 検出結果で使用されるのと同じ形式である Open Cybersecurity Schema Framework (OCSF) でフォーマットされます。

UnusedPermission の検出結果で、過度に寛容なポリシーから未使用のアクセス許可の一部を削除した場合、Security Hub は既存の検出結果を閉じて、過度に寛容なポリシーの新しい検出結果を作成します。

未使用のアクセス検出結果は、IAM Access Analyzer コンソールからもアクセスできます。IAM Access Analyzer コンソールの未使用のアクセス検出結果は読み取り専用で、米国東部 (バージニア北部) リージョンでのみ表示されます。

露出の検出結果での未使用のアクセス

未使用のアクセス情報は、Security Hub の公開結果でコンテキスト特性として表示される場合があります。リソースにアタッチされた IAM ロールに未使用のアクセス許可がある場合、公開結果にはこれを補足コンテキストとして含めます。これにより、脆弱性の潜在的な影響範囲を理解するのに役立ちます。特権が過剰な IAM ロールを持つリソースは、最小特権のアクセス許可を持つリソースよりもリスクが高くなります。

次のリソースタイプは、公開結果に未使用のアクセスコンテキスト特性を表示できます。

  • Amazon Elastic Compute Cloud インスタンス

  • AWS Lambda 関数

  • Amazon Elastic Container Service サービス

  • Amazon Elastic Kubernetes Service クラスター

  • IAM ユーザー (直接)

露出の検出結果の詳細については、「」を参照してくださいSecurity Hub の露出の検出結果

未使用のアクセス許可に関するポリシーの推奨事項

UnusedPermission の検出結果の場合、Security Hub は最小特権ポリシーのレコメンデーションを生成できます。これらの推奨事項は、プリンシパルが実際に使用するアクセス許可のみを保持するスコープダウンされた置換ポリシーを示しています。詳細については、「未使用のアクセス検出結果に関するポリシーレコメンデーションの生成」を参照してください。

料金

サービスにリンクされた IAM Access Analyzer は、すべての Security Hub のお客様に追加料金なしで提供されます。アナライザーまたは未使用のアクセス検出結果に対して個別に課金されることはありません。