IAM Access Analyzer
#AWS
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/what-is-access-analyzer.html
機能
外部からアクセスが可能なリソースを検出してくれる
ポリシーに対して、文法やベストプラクティスを検証する
文法
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_policies_grammar.html
ベストプラクティス
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/best-practices.html
CloudTrailログのアクティビティでIAMポリシーを作成する
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/access-analyzer-policy-generation.html
該当のロールの許可タブで、CloudTrailイベントに基づいてポリシーを作成するという箇所がある
そのロールやユーザーなどのアクセスアクティビティに基づいて、ポリシーを生成する
運用
検出された内容を見て
意図されたアクセスであれば、アーカイブにしてリストから外すことが出来る
意図されてなければ、アクセス権を削除するなどの対応を手動でする。その後は自動で検出され解決済みとなる
アーカイブルールを設定することが出来る
設定することでルールに一致した検出は自動でアーカイブされる