【AWS】IAM Access Analyzer の新機能 Identifying internal access を試してみる

はじめに

re:Inforce での発表だと思いますが、IAM Access Analyzer において特定のリソースに組織内の誰がアクセスできるのかを検出する機能が追加されています。今までは組織外からのアクセス検出だけができていましたが、内部犯とか乗っ取りに備えて権限の棚卸・通知等に使えそうです。気になるので試してみます。（Identifying internal access はドキュメントから引用しました。正式名称は不明）

https://aws.amazon.com/jp/about-aws/whats-new/2025/06/iam-access-analyzer-aws-organization-access-resources/

https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html#what-is-access-analyzer-internal-access-analysis

試してみる

IAM Access Analyzer のコンソールから Resource analysis を選択する。

内部アナライザーを作成 を選択する。

Resource analysis - Internal access を選択する。

信頼ゾーンには自身の AWS アカウント ID が記載されています。
（今回はメンバーアカウントで作成していますが、管理アカウントで作成すると組織 or 自身の AWS アカウント ID が指定できました）

リソースの追加方法は幾つかありました。

Add resources from selected accounts はリソースの種類（S3 バケットとか）を指定するとすべてのリソースが対象となるようです。

Add resources by resource ARN では ARN で複数指定できます。

Add resources by uploading a CSV file では Resource Explorer からダウンロードしたものを使えるようです。

料金としては監視対象のリソース数のようなので、必要最低限に絞るのが良いですね。

東京リージョンで $9/month/resource でした。

特定の S3 バケットを指定して設定しましたが、スキャンが行われないので一旦ここまで。