ある大手小売企業が急成長しており、AWS Organizations で管理するマルチアカウント環境で、全アカウントにわたるセキュリティ体制を強化したいと考えています。現在、各チームが独自の IAM ポリシーを管理しており、過剰な権限付与が蔓延しています。IAM Access Analyzer と AWS IAM Identity Center を組み合わせて最小権限を実現する最も効果的なアプローチはどれですか?
- A. AWS Trusted Advisor のセキュリティチェックを有効化して過剰な IAM 権限を検出し、チームリーダーに週次レポートを送信する
- B. IAM Access Analyzer を Organizations レベルで有効化し、未使用アクセス分析とポリシー生成機能を使って最小権限ポリシーを生成する。IAM Identity Center の権限セットをこれらのポリシーに基づいて更新し、IAM ユーザーを廃止して Identity Center 経由のフェデレーションに移行する
- C. 全アカウントに SCP を追加して危険な IAM アクション(iam:*、s3:*、ec2:*)を一括 Deny し、必要な場合は例外申請フローを構築する
- D. 各アカウントの IAM ユーザーと、直接アタッチされたポリシーをすべて棚卸しし、未使用の権限を手動で削除する四半期レビューを実施する
解答と解説を見る
正解: B
IAM Access Analyzer の未使用アクセス分析は、実際に使用されているアクションのみを特定し、最小権限ポリシーの生成を自動化します。これを Organizations レベルで有効化することで全アカウントをスキャンできます。Identity Center に統合して IAM ユーザーを排除することで、認証情報の集中管理と権限の一元管理が実現します。 D: 手動の四半期レビューは規模が大きくなると非現実的で、継続的な最小権限の維持には不十分です。 A: Trusted Advisor は過剰な権限の一部を検出しますが、未使用アクション分析の精度と網羅性は IAM Access Analyzer に劣り、IAM Identity Center への移行を促進しません。 C: 危険なアクションの一括 Deny は迅速な対処には見えますが、例外が増え管理が複雑になります。正確な最小権限ポリシーの作成には実際の使用データに基づくアプローチが必要です。
📚 関連サービスの解説: AWS IAM ・ AWS Organizations