SEC 3: 人とマシンのアクセス許可はどのように管理すればよいでしょうか?

アクセス許可を管理して、AWS とワークロードへのアクセスを必要とするユーザー ID やマシン ID へのアクセスを制御します。アクセス許可は、どの条件で誰が何にアクセスできるかを制御します。

リソース

Become an IAM Policy Master in 60 Minutes or Less
Separation of Duties, Least Privilege, Delegation, and CI/CD
Grant least privilege
Working with Policies
IAM Access Analyzer
Remove unnecessary credentials
Attribute-based access control (ABAC)

ベストプラクティス:

• アクセス要件を定義する: ワークロードの各コンポーネントまたはリソースには、管理者、エンドユーザー、またはその他のコンポーネントからアクセスする必要があります。各コンポーネントにアクセスできるユーザーや内容を明確に定義し、適切な ID タイプと認証および承認の方法を選択します。

• 最小権限のアクセスを付与する: 特定の条件下で特定の AWS リソースに対する特定のアクションを行えるようにして、ID に必要なアクセスのみを付与します。グループと ID 属性を利用して、個々のユーザーのアクセス許可を定義するのではなく、規模に応じてアクセス許可を動的に設定します。たとえば、開発者のグループに、扱うプロジェクトのリソースのみを管理することを許可できます。これにより、開発者がグループから削除されると、アクセスポリシーに変更を加えることなく、そのグループがどこでアクセスコントロールに使用されたかを問わず、開発者のアクセスが取り消されます。

• 緊急アクセスのプロセスを確立する: 自動プロセスまたはパイプラインの問題が発生した場合に、ワークロードへの緊急アクセスを許可するプロセス。これにより、最小権限のアクセスを利用しながら、ユーザーは必要なときに適切なレベルのアクセスを取得できます。たとえば、管理者がリクエストを確認して承認するプロセスを確立します。

• アクセス許可を継続的に削減する: チームとワークロードが必要とするアクセスを決定したら、不要になったアクセス許可を削除し、最小権限のアクセス許可を達成するためのレビュープロセスを確立します。未使用の ID とアクセス許可を継続的にモニタリングし、削減します。

• 組織のアクセス許可ガードレールを定義する: 組織内のすべての ID へのアクセスを制限する共通コントロールを確立します。たとえば、特定の AWS リージョンへのアクセスを制限したり、中央セキュリティチームが使用する IAM ロールなどの一般的なリソースをオペレータが削除できないようにしたりできます。

• ライフサイクルに基づいてアクセスを管理する: アクセスコントロールをオペレーター、アプリケーションのライフサイクル、一元化されたフェデレーションプロバイダーと統合します。たとえば、ユーザーが組織を離れるとき、またはロールを変更するときに、ユーザーのアクセス権を削除するとします。

• パブリックおよびクロスアカウントアクセスの分析: パブリックおよびクロスアカウントアクセスに焦点を当てた結果を継続的にモニタリングします。パブリックアクセスとクロスアカウントアクセスを減らして、このタイプのアクセスを必要とするリソースのみへのアクセスに限定します。

• リソースを安全に共有する: アカウント間または AWS 組織内の共有リソースの消費を管理します。共有リソースをモニタリングし、共有リソースへのアクセスを確認します。

改善計画

アクセス要件を定義する

職務と責任に必要な権限を定義する: ユーザーの職務、ロール、または責任に基づいて、アクセスする必要のあるリソースと適用される条件を定義します。共通の要件を持つユーザーをグループ化して、ポリシーの委任を容易にします。
IAM use cases

最小権限のアクセスを付与する

最小権限ポリシーを実装する: IAM グループおよびロールに最小権限のアクセスポリシーを割り当てて、定義したユーザーのロールまたは機能を反映します。
Grant least privilege

必要でないアクセス許可を削除する: 不要なアクセス許可を削除して、最小権限を実装します。
Reducing policy scope by viewing user activity
View role access

アクセス許可の境界を考慮する: アクセス許可の境界は、アイデンティティベースのポリシーが IAM エンティティに付与できるアクセス許可の上限を設定する管理ポリシーを使用するための高度な機能です。エンティティのアクセス許可の境界では、アイデンティティベースのポリシーとそのアクセス許可の境界の両方で許可されているアクションのみを実行できます。
Lab: IAM permissions boundaries delegating role creation

アクセス許可のリソースタグを検討する: タグを使用して、タグ付けをサポートする AWS リソースへのアクセスを制御できます。また、IAM ユーザーとロールにタグ付けして、ユーザーがアクセスできる内容を制御することもできます。
Lab: IAM tag based access control for EC2
Attribute-based access control (ABAC)

緊急アクセスのプロセスを確立する

事前プロビジョニング緊急アクセス: 信頼されたアカウント (セキュリティチームに使用されるアカウントなど) から緊急アクセス用のロールを事前にプロビジョニングすると、すばやくアクセスを得ることができます。
Tutorial: Delegate Access Across AWS Accounts Using IAM Roles

アクセス許可を継続的に削減する

IAM Access Analyzer を設定する: AWS IAM Access Analyzer は、組織内のリソースや外部エンティティと共有しているアカウント (Amazon S3 バケットや IAM ロールなど) を特定するのに役立ちます。
AWS IAM Access Analyzer

組織のアクセス許可ガードレールを定義する

すべての ID に適用される共通の制限を定義する: 特定の AWS リージョンへのアクセスに限定するなど、組織固有の要件に基づいて、AWS Organizations を使用して適用できる制限をいくつも作成します。
AWS Organizations Service Control Policies

AWS Control Tower を使用してガードレールを管理する: 特定の AWS リージョンへのアクセスに限定するなど、組織固有の要件に基づいて、AWS Organizations を使用して適用できる制限をいくつも作成します。
AWS Control Tower Guardrails

ライフサイクルに基づいてアクセスを管理する

ユーザーアクセスのライフサイクル: 新しいユーザーの参加、職務の変更、退職するユーザーに対するユーザーアクセスライフサイクルポリシーを実装して、現在のユーザーのみがアクセスできるようにします。

パブリックおよびクロスアカウントアクセスの分析

IAM Access Analyzer を設定する: AWS IAM Access Analyzer は、組織内のリソースや外部エンティティと共有しているアカウント (Amazon S3 バケットや IAM ロールなど) を特定するのに役立ちます。
AWS IAM Access Analyzer

リソースを安全に共有する

AWS Resource Access Manager を使用する: AWS Resource Access Manager (RAM) は、AWS リソースを任意の AWS アカウント間または AWS 組織内で簡単かつ安全に共有できるサービスです。
AWS Resource Access Manager