AWS IAM Audit Agent を考えるための第一原理

IAM audit agent は、すべての権限を吐き出すスクリプトから始めるべきではありません。まずは、明確な運用リスクに結びつく小さな質問群から始めるべきです。

質問から始める

• まだアカウントにアクセスできる人間のユーザーは誰か？
• MFA が未設定のユーザーは誰か？
• 古い、未使用、または一度もローテーションされていない access key はどれか？
• 広すぎる管理者権限を持つ principal はどれか？
• すぐに対応すべき finding と、追跡だけでよい finding はどれか？

レビューしやすい出力にする

最初に価値が出るバージョンは、ソースコードを読まなくても理解できる表を出すべきです。最小の出力は次のような形で十分です。

Principal | Finding | Severity | Evidence | Recommended action

この形式にすると、ツールは生データのエクスポートではなく、監査の会話に合った成果物になります。

検出だけでなく説明を自動化する

検出は、何かが間違っていることを教えてくれます。説明は、別チームがその finding を受け入れ、修正する助けになります。監査自動化では、レポートの言葉遣いもプロダクトの一部です。