こんにちは、Orca Security 担当の尾谷です。
Orca Security の IAM アクセスマップ機能がパワーアップして、有効な権限やサービスアクセスの可視化に対応しましたのでご紹介したいと思います。
IAM ユーザー
たとえば、デモ環境の dror という IAM ユーザーを例にとって確認してみましょう。
このユーザーは、Asset ディテールパネルから IAM タブにある policies を確認すると、AdministratorAccess が付与されていることが分かります。
AdministratorAccess は最も権限が強く、書き込みができるため IAM アクセスマップでは、5 Access Level Count と表示されます。
また、許可されているアクションも 130 と多い状況です。
- Write: 書き込み可能
- Permissions management: 権限の変更が可能
- Tagging: タグ設定可能
- Read: 読み込み可能
- List: リストアップ可能
続いて、ReadOnly ユーザー「former2」と比較してみましょう。
このユーザーは、2 Access Level Count と表示されており、
- Read
- List
アクション数も 62 と Administrator Access と比較すると少ない状況です。
なお、s3 バケットをドリルダウンすると、アクセス可能なバケットの一覧が表示されます。
また、Deny や SCP で規制されているアクセスに関しては、点線で表示されます。
マウスオーバーすると規制されているアクションの数がわかりまして、
数字をクリックすると具体的なアクションを確認できます。
まとめ
いかがでしたでしょうか。
IAM の管理画面からだと、グループから適用されたポリシーや直接アタッチされたポリシー、インラインで直に書き込まれたポリシーなどが複雑に絡み合い、わかりづらくなることがありますが、本機能を利用すると権限が可視化されて分かりやすいです。
是非、新しくなった IAM アクセスマップをご利用ください。