次の方法で共有

ユーザーに関する分析情報を表示する

  • [アーティクル]

Permissions Management の [Analytics](分析) ダッシュボードは、すべての ID の種類に関する詳細情報を収集し、分析および報告して、データを視覚化します。 システム管理者は、この情報を使用して以下に関するアクセス許可の付与と、未使用のアクセス許可に対するリスクの軽減について、情報に基づいた決定を行うことができます。

  • ユーザー: 割り当てられたアクセス許可とさまざまな ID の使用状況を追跡します。
  • グループ: 割り当てられたアクセス許可と、グループとグループ メンバーの使用状況を追跡します。
  • アクティブなリソース: アクティブなリソース (過去 90 日以内に使用) を追跡します。
  • アクティブなタスク: アクティブなタスク (過去90日以内に実行) を追跡します。
  • アクセス キー: 特定のユーザーのアクセス キーのアクセス許可の使用状況を追跡します。
  • サーバーレス*機能: サーバーレス機能の割り当て*られたアクセス許可*と使用*状況を追跡*します。

この記事では、ユーザーに関する使用状況の分析を表示する方法について説明します。

ユーザーを表示するクエリを作成する

[ユーザー] を選択すると、[分析] ダッシュボードにさまざまな ID で使用されるタスクの概要が表示されます。

  1. メインの [分析] ダッシュボードで、画面の上部にあるドロップダウン リストから [ユーザー] を選択します。

    [ユーザー] ダッシュボードは、次のコンポーネントで構成されます。

    • [認可*システム*のタイプ*] : 使用する認可*を選択します。Amazon Web Services (AWS*)、Microsoft Azure*、Google Cloud Platform* (GCP) のいずれかです。
    • [認可*システム*]: アカウント*の [リスト*][フォルダー*]* から選択します。
    • [ID* のタイプ*]: すべての ID* のタイプ*、ユーザー*ロール*/アプリ*/サービス* a/c またはリソース*を選択します。
    • [検索]: 特定のタスクを検索するための条件を入力します。

  2. [適用] を選択すると、選択した条件が表示されます。

    [フィルターのリセット] を選択すると、変更が破棄されます。

クエリの結果を表示する

[ID] テーブルには、クエリの結果が表示されます。

  • [名前]: グループの名前が表示されます。

    • グループの詳細を表示するには、下矢印を選択します。

  • [ドメイン/アカウント] の名前。

  • [アクセス許可*クリープ インデックス* (PCI)]: 次の情報が表示されます。

    • [インデックス]: PCI に割り当てられた数値。
    • [経過日数]: PCI 値が表示されたレベルに達している日数。

  • [タスク]:許可済みタスクと実行済みタスクの数を表示します。

  • [リソース]: 使用されたリソースの数。

  • [ユーザー グループ*]: グループ*にアクセスしたユーザー*の数。

  • [最後のアクティビティ*日]: 関数*に最後にアクセスしたdate*。

  • 省略記号 (...): [タグ] を選択するとタグが追加されます。

    AWS を使用している場合は、省略記号メニューから選択できるもうひとつのオプションとして、[自動修復] があります。 このオプションを使用すると、結果を自動的に修復できます。

ユーザーにタグを追加する

  1. 省略記号 (...) を選択して [タグ] を選択します。
  2. [タグの選択] ドロップダウンで、タグを選択します。
  3. カスタム タグを作成するには、[新しいカスタム タグ] を選択し、タグ名を追加して、[作成] を選択します。
  4. [値 (省略可能)] ボックスに、値を入力します。
  5. 省略記号 (...) を選択して [詳細保存] オプションを選択してから、[保存] を選択します。
  6. サーバーレス*関数*にタグ*を追加するには、[タグ*の追加] を選択します。

自動修復オプションを設定する (AWS のみ)

  • 省略記号 (...) を選択して、[自動修復] を選択します。

    修復設定が自動的に更新されたことを確認するメッセージが表示されます。

クエリにフィルターを適用する

[ユーザー*] 画面には、[認可*システム*][ID* のタイプ*][ID* の状態*] によるフィルター*など、数多くフィルター* オプションがあります。 フィルターを、探している情報の種類に応じて、1 つ、2 つ、または 3 つのカテゴリすべてに適用できます。

承認システムの種類によるフィルターの適用

  1. [Authorization system type] (認可*システム*のタイプ*) ドロップダウンで、使用する認可*システム*として AWS*AzureGCP のいずれかを選択します。

  2. [適用] を選択してクエリを実行し、選択した情報を表示します。

    [フィルターのリセット] を選択すると、変更が破棄されます。

承認システムによるフィルターの適用

  1. [Authorization system type] (認可システムのタイプ) ドロップダウンで、使用する認可システムとして AWSAzureGCP のいずれかを選択します。

  2. [認可システム] ドロップダウンで、 [リスト][フォルダー] からアカウントを選択します。

  3. [適用] を選択してクエリを実行し、選択した情報を表示します。

    [フィルターのリセット] を選択すると、変更が破棄されます。

ID の種類によるフィルターの適用

  1. [Authorization system type] (認可*システム*のタイプ*) ドロップダウンで、使用する認可*システム*として AWS*AzureGCP のいずれかを選択します。

  2. [認可*システム*] ドロップダウンで、アカウント*の [リスト*][フォルダー*] から選択します。

  3. [ID* のタイプ*] で、ユーザー*のタイプ*として [すべて][ユーザー*][ロール*/アプリ*/サービス* a/c]、または [リソース*] を選択します。

  4. [適用] を選択してクエリを実行し、選択した情報を表示します。

    [フィルター*のリセット*] を選択すると、変更がディスカード*されます。

ID のサブタイプによるフィルターの適用

  1. [Authorization system type] (認可*システム*のタイプ*) ドロップダウンで、使用する認可*システム*として AWS*AzureGCP のいずれかを選択します。

  2. [承認システム] ドロップダウンで、アカウントの [一覧][フォルダー] から選択します。

  3. [ID* サブタイプ] から、ユーザー*のタイプとして [すべて][ED] (エンタープライズ ディレクトリ)、[ローカル*]、または [クロスアカウント*] を選択します。

  4. [適用] を選択してクエリを実行し、選択した情報を表示します。

    [フィルターのリセット] を選択すると、変更が破棄されます。

ID の状態によるフィルターの適用

  1. [Authorization system type] (認可*システム*のタイプ*) ドロップダウンで、使用する認可*システム*として AWS*AzureGCP のいずれかを選択します。

  2. [認可*システム*] ドロップダウンで、アカウント*の [リスト*][フォルダー*] から選択します。

  3. [ID* の状態*] から、ユーザー*のタイプとして [すべて][アクティブ]、または [非アクティブ] を選択します。

  4. [適用] を選択してクエリを実行し、選択した情報を表示します。

    [フィルター*のリセット*] を選択すると、変更がディスカード*されます。

ID フィルターによるフィルターの適用

  1. [Authorization system type] (認可*システム*のタイプ*) ドロップダウンで、使用する認可*システム*として AWS*AzureGCP のいずれかを選択します。

  2. [認可*システム*] ドロップダウンで、アカウント*の [リスト*][フォルダー*] から選択します。

  3. [ID のタイプ*] で、[危険] または [Inc. in PCI calculation only](PCI 計算のみに含める) を選択します。

  4. [適用] を選択してクエリを実行し、選択した情報を表示します。

    [フィルターのリセット] を選択すると、変更が破棄されます。

タスクの種類によるフィルターの適用

ユーザーの詳細を、ユーザーの種類、ユーザー ロール、アプリ、または使用されるサービス、あるいはリソースでフィルター処理できます。

  1. [Authorization system type] (認可*システム*のタイプ*) ドロップダウンで、使用する認可*システム*として AWS*AzureGCP のいずれかを選択します。

  2. [認可*システム*] ドロップダウンで、アカウント*の [リスト*][フォルダー*] から選択します。

  3. [タスク*のタイプ*] で、ユーザー*のタイプ*として [すべて] または [危険度の高いタスク*] を選択します。

  4. [適用] を選択してクエリを実行し、選択した情報を表示します。

    [フィルターのリセット] を選択すると、変更が破棄されます。

クエリの結果をエクスポートする

  • クエリの結果のレポートをコンマ区切り値 (CSV) ファイルとしてエクスポートするには、[エクスポート] を選択してから、[CSV] を選択します。
  • データを詳細なコンマ区切り値 (CSV) ファイル形式でエクスポートするには、[エクスポート] を選択してから、[CSV (詳細)] を選択します。
  • ユーザー アクセス許可のレポートをエクスポートするには、[エクスポート] を選択してから [アクセス許可] を選択します。

次のステップ