View a markdown version of this page

未使用のアクセス検出結果に関するポリシーレコメンデーションの生成 - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

未使用のアクセス検出結果に関するポリシーレコメンデーションの生成

未使用のアクセス許可の検出結果については、Security Hub は、スコープダウンされた置換ポリシーを示す最小特権ポリシーのレコメンデーションを生成できます。この推奨事項では、IAM プリンシパルにアタッチされた各ポリシーを評価し、プリンシパルが実際に使用したアクセス許可のみを保持する置換を生成します。この機能は、すべての Security Hub のお客様に追加料金なしで提供されます。

ポリシーレコメンデーションの仕組み

ポリシーレコメンデーションの生成は非同期オペレーションです。レコメンデーションを生成して取得するには:

  1. GetFindingsV2 API オペレーションを使用して、Security Hub から未使用のアクセス許可の検出結果を取得します。検出結果の metadata.uidフィールドを書き留めます。

  2. 検出結果の GenerateRecommendedPolicyV2を使用して を呼び出しますmetadata.uid。これにより、レコメンデーションの生成が開始され、通常は 20 秒以内に完了します。

  3. status フィールドが を返すmetadata.uidまで、同じ GetRecommendedPolicyV2 でポーリングしますSUCCEEDED

  4. レスポンスには、1 つ以上のレコメンデーションステップが含まれます。各ステップでは、 CREATE_POLICY (スコープダウンされた置換ポリシーを作成してアタッチする) または DETACH_POLICY (権限が過剰な元のポリシーをデタッチする) recommendedActionのいずれかの を指定します。CREATE_POLICY ステップの場合、レスポンスには JSON existingPolicy と JSON recommendedPolicy の両方が含まれているため、それらを比較できます。

その検出結果に対して推奨事項が以前に生成されていない場合はGetRecommendedPolicyV2、 を呼び出すGenerateRecommendedPolicyV2前に を呼び出す必要があります。

レコメンデーションを生成できるユーザー

アカウント所有者と委任された管理者の両方が、次の API オペレーションを呼び出すことができます。

  • アカウント所有者は、自分のアカウントで未使用のアクセス許可の検出結果に関する推奨事項を生成して表示できます。

  • 委任管理者は、組織内のメンバーアカウントの未使用のアクセス許可の検出結果に関する推奨事項を生成して表示できます。

委任管理者ではなく、検出結果が別のアカウントに属している場合、API オペレーションはAccessDeniedExceptionエラーを返します。

レコメンデーションのライフサイクル

  • レコメンデーションは 90 日間キャッシュされ、結果がアクティブ (クローズされていない) である限り使用できます。ただし、 をGenerateRecommendedPolicyV2複数回呼び出すとキャッシュが無効になり、キャッシュされたポリシーを置き換える新しいジョブが開始されます。検出結果ごとに 1 GenerateRecommendedPolicyV2回だけ を呼び出すことをお勧めします。

  • 推奨事項は、detach-and-attachパターンに従います。既存の IAM ポリシーは変更されません。推奨ポリシーを確認し、IAM コンソールまたは IAM API を使用して手動で適用します。

  • 検出結果が解決された場合 (たとえば、以前に未使用のアクセス許可が現在使用されているため)、レコメンデーションは使用できなくなります。

エラーケース

API オペレーションは、次の状況でエラーを返します。

  • 検出結果は解決されました — InvalidInputException (HTTP 400)。

  • 検出結果は未使用のアクセス許可の検出結果ではありません — InvalidInputException (HTTP 400)。

  • IAM プリンシパルは、IAM Identity Center アクセス許可セットを使用して作成されました。アクセス許可セットプリンシパルのポリシーを直接変更することはできません。レコメンデーションは、説明付きのFAILEDステータスを返します。

  • 呼び出し元は委任管理者ではなく、検出結果は別のアカウント AccessDeniedException (HTTP 403) に属しています。

  • 推奨事項はまだ生成されておらず、最初の呼び出しGetRecommendedPolicyV2なしで を呼び出します GenerateRecommendedPolicyV2ResourceNotFoundException (HTTP 404)。

コンソールを使用する

Security Hub コンソールで、未使用のアクセス許可の結果を表示し、修復タブを選択することで、ポリシーの推奨事項を生成できます。レコメンデーションの作成中に、コンソールにロードスピナーが表示されます。レコメンデーションの準備ができたら、プレビューを選択して、現在のポリシーと推奨される最小特権の置き換えをside-by-side比較できます。推奨ポリシーは JSON 形式でコピーできます。

API リファレンス

  • GenerateRecommendedPolicyV2 — 未使用のアクセス許可の検出結果に対して、最小特権ポリシーのレコメンデーションの非同期生成を開始します。結果の入力metadata.uidとして を取得します。成功時に空の本文を持つ HTTP 200 を返します。

  • GetRecommendedPolicyV2 — 生成されたポリシーレコメンデーションを取得します。結果の入力metadata.uidとして を取得します。maxResults (1~100) および nextTokenパラメータを使用したページ分割をサポートします。レコメンデーションステータス (IN_PROGRESSSUCCEEDED、または FAILED)、レコメンデーションステップ、リソース ARN、およびエラーを返します。

API ドキュメントの詳細については、Security Hub API リファレンスを参照してください。