SEC 3: 人とマシンのアクセス許可はどのように管理すればよいでしょうか?

アクセス許可を管理して、AWS とワークロードへのアクセスを必要とするユーザー ID やマシン ID へのアクセスを制御します。アクセス許可は、どの条件で誰が何にアクセスできるかを制御します。

リソース

Become an IAM Policy Master in 60 Minutes or Less
Separation of Duties, Least Privilege, Delegation, and CI/CD
Grant least privilege
Working with Policies
IAM Access Analyzer
Remove unnecessary credentials
Attribute-based access control (ABAC)

ベストプラクティス:

改善計画

アクセス要件を定義する

  • 職務と責任に必要な権限を定義する: ユーザーの職務、ロール、または責任に基づいて、アクセスする必要のあるリソースと適用される条件を定義します。共通の要件を持つユーザーをグループ化して、ポリシーの委任を容易にします。
    IAM use cases
  • 最小権限のアクセスを付与する

  • 最小権限ポリシーを実装する: IAM グループおよびロールに最小権限のアクセスポリシーを割り当てて、定義したユーザーのロールまたは機能を反映します。
    Grant least privilege
  • 必要でないアクセス許可を削除する: 不要なアクセス許可を削除して、最小権限を実装します。
    Reducing policy scope by viewing user activity
    View role access
  • アクセス許可の境界を考慮する: アクセス許可の境界は、アイデンティティベースのポリシーが IAM エンティティに付与できるアクセス許可の上限を設定する管理ポリシーを使用するための高度な機能です。エンティティのアクセス許可の境界では、アイデンティティベースのポリシーとそのアクセス許可の境界の両方で許可されているアクションのみを実行できます。
    Lab: IAM permissions boundaries delegating role creation
  • アクセス許可のリソースタグを検討する: タグを使用して、タグ付けをサポートする AWS リソースへのアクセスを制御できます。また、IAM ユーザーとロールにタグ付けして、ユーザーがアクセスできる内容を制御することもできます。
    Lab: IAM tag based access control for EC2
    Attribute-based access control (ABAC)
  • 緊急アクセスのプロセスを確立する

  • 事前プロビジョニング緊急アクセス: 信頼されたアカウント (セキュリティチームに使用されるアカウントなど) から緊急アクセス用のロールを事前にプロビジョニングすると、すばやくアクセスを得ることができます。
    Tutorial: Delegate Access Across AWS Accounts Using IAM Roles
  • アクセス許可を継続的に削減する

  • IAM Access Analyzer を設定する: AWS IAM Access Analyzer は、組織内のリソースや外部エンティティと共有しているアカウント (Amazon S3 バケットや IAM ロールなど) を特定するのに役立ちます。
    AWS IAM Access Analyzer
  • 組織のアクセス許可ガードレールを定義する

  • すべての ID に適用される共通の制限を定義する: 特定の AWS リージョンへのアクセスに限定するなど、組織固有の要件に基づいて、AWS Organizations を使用して適用できる制限をいくつも作成します。
    AWS Organizations Service Control Policies
  • AWS Control Tower を使用してガードレールを管理する: 特定の AWS リージョンへのアクセスに限定するなど、組織固有の要件に基づいて、AWS Organizations を使用して適用できる制限をいくつも作成します。
    AWS Control Tower Guardrails
  • ライフサイクルに基づいてアクセスを管理する

  • ユーザーアクセスのライフサイクル: 新しいユーザーの参加、職務の変更、退職するユーザーに対するユーザーアクセスライフサイクルポリシーを実装して、現在のユーザーのみがアクセスできるようにします。
  • パブリックおよびクロスアカウントアクセスの分析

  • IAM Access Analyzer を設定する: AWS IAM Access Analyzer は、組織内のリソースや外部エンティティと共有しているアカウント (Amazon S3 バケットや IAM ロールなど) を特定するのに役立ちます。
    AWS IAM Access Analyzer
  • リソースを安全に共有する

  • AWS Resource Access Manager を使用する: AWS Resource Access Manager (RAM) は、AWS リソースを任意の AWS アカウント間または AWS 組織内で簡単かつ安全に共有できるサービスです。
    AWS Resource Access Manager