Dev Classmethod Jp Articles Iam Access Analyzer Policy Generation Permi Bfbf15f5
IAM Access Analyzer のポリシー生成で発生する権限不足エラーを検証してみた
- URL: https://dev.classmethod.jp/articles/iam-access-analyzer-policy-generation-permission-error
- 日付: 2026-06-19
- Tier: Tier 2
- 要旨: IAM Access Analyzer のポリシー生成で必要な権限を意図的に削除し、エラーメッセージのパターンを5パターン検証した記録。エラーの種別によって原因箇所が異なり、特に S3 バケット権限不足とバケットポリシー Deny が同じエラーメッセージになる点が切り分けのポイント。
詳細
検証パターンとエラー結果:
| パターン | エラー |
|---|---|
| S3 読み取り権限なし | Incorrect permissions assigned to access CloudTrail S3 bucket. |
| S3 バケットポリシーで Deny | 同上(IAM ポリシーの権限不足と区別できない) |
| CloudTrail 参照権限なし | cloudtrail:GetTrail の権限不足(AssumeRole は成功し、その後の GetTrail で失敗) |
| IAM サービス最終アクセス情報の権限なし | Incorrect permissions assigned to accessRole. |
| 分析期間内に対象イベントなし | 生成は成功するが「指定された期間の CloudTrail ログにサービスとアクションは見つかりませんでした」 |
エラー切り分けの実用指針:
S3 bucketエラー → IAM ポリシーと S3 バケットポリシーの両方を確認cloudtrail:GetTrailエラー → CloudTrail 参照権限(GetTrail・DescribeTrails・LookupEvents 等)を確認accessRoleエラー → IAM サービス最終アクセス情報権限(iam:GenerateServiceLastAccessedDetails・iam:GetServiceLastAccessedDetails)を確認- ポリシー生成は成功するがアクションが空 → 分析対象期間が正しいか・対象ロールの API コール有無を確認