AWS Identity and Access Management でのインフラストラクチャセキュリティ
マネージドサービスである AWS Identity and Access Managementは、AWS のグローバルネットワークセキュリティで保護されています。AWSセキュリティサービスと AWS がインフラストラクチャを保護する方法については、「AWS クラウドセキュリティ
AWS が公開している API コールを使用し、ネットワーク経由で IAM にアクセスします。クライアントは以下をサポートする必要があります。
-
Transport Layer Security (TLS) TLS 1.2 および TLS 1.3 をお勧めします。
-
DHE (Ephemeral Diffie-Hellman) や ECDHE (Elliptic Curve Ephemeral Diffie-Hellman) などの Perfect Forward Secrecy (PFS) を使用した暗号スイートです。これらのモードは、Java 7 以降など、最近のほとんどのシステムでサポートされています。
また、リクエストは、アクセスキー ID と、IAM プリンシパルに関連付けられているシークレットアクセスキーを使用して署名する必要があります。または、AWS Security Token Service (AWS STS) を使用して、一時セキュリティ認証情報を生成し、リクエストに署名することもできます。
サービスに HTTPS リクエストを直接発行できる IAM HTTPS API を使用して、プログラムにより IAM にアクセスできます。クエリ API は、セキュリティ認証情報を含む機密情報を返します。したがって、すべての API リクエストで HTTPS を使用する必要があります。HTTPS API を使用する場合は、認証情報を使用してリクエストにデジタル署名するコードを含める必要があります。
これらの API オペレーションは任意のネットワークの場所から呼び出すことができますが、IAM ではリソースベースのアクセスポリシーがサポートされているため、ソース IP アドレスに基づく制限を含めることができます。また、IAM ポリシーを使用して、特定の Amazon Virtual Private Cloud (Amazon VPC) エンドポイントまたは特定の VPC からのアクセスを制御することもできます。これにより、実質的に AWS ネットワーク内の特定の VPC からの特定の IAM リソースへのネットワークアクセスが分離されます。
