AWS OpsWorksスタックにおけるサービス間の混乱した代理の防止 - AWS OpsWorks

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS OpsWorksスタックにおけるサービス間の混乱した代理の防止

重要

AWS OpsWorks Stacks は新規顧客を受け付けなくなりました。既存のお客様は、2024 年 5 月 26 日までは OpsWorks コンソール、 API、 CLI、および CloudFormation リソースを通常どおり使用できますが、その時点でこれらのリソースは廃止されます。この移行に備えて、できるだけ早くスタックを AWS Systems Manager に移行することをおすすめします。詳細については、AWS OpsWorks Stacks サポート終了に関する FAQ および AWS Systems Manager アプリケーションマネージャへの AWS OpsWorks Stacks アプリケーションの移行 を参照してください。

混乱した代理問題は、アクションを実行する許可を持たないエンティティが、より特権のあるエンティティにアクションを実行するように強制できるセキュリティの問題です。AWS では、サービス間でのなりすましが、混乱した代理問題を生じさせることがあります。サービス間でのなりすましは、1 つのサービス (呼び出し元サービス) が、別のサービス (呼び出し対象サービス) を呼び出すときに発生する可能性があります。呼び出し元サービスは、本来ならアクセスすることが許可されるべきではない方法でその許可を使用して、別の顧客のリソースに対する処理を実行するように操作される場合があります。これを防ぐために AWS では、顧客のすべてのサービスのデータを保護するのに役立つツールを提供しています。これには、アカウントのリソースへのアクセス許可が付与されたサービスプリンシパルを使用します。

スタックアクセスポリシーで aws:SourceArn および aws:SourceAccount のグローバル条件コンテキストキーを使用して、AWS OpsWorks が別のサービスに付与する許可をスタックに制限することをお勧めします。aws:SourceArn の値に Amazon S3 バケット ARN などのアカウント ID が含まれていない場合は、両方のグローバル条件コンテキストキーを使用して、アクセス許可を制限する必要があります。同じポリシーステートメントでこれらのグローバル条件コンテキストキーの両方を使用し、アカウント ID にaws:SourceArn の値が含まれていない場合、aws:SourceAccount 値と aws:SourceArn 値の中のアカウントには、同じアカウント ID を使用する必要があります。クロスサービスのアクセスにスタックを 1 つだけ関連付けたい場合は、aws:SourceArn を使用します。クロスサービスが使用できるように、アカウント内の任意のスタックを関連づけたい場合は、aws:SourceAccount を使用します。

aws:SourceArn の値は AWS OpsWorks スタックの ARN でなければなりません。

混乱した代理問題から保護するための最も効果的な方法は、AWS OpsWorksスタックの完全な ARN を指定しながら、 aws:SourceArnグローバル条件コンテキストキーを使用することです。完全な ARN が不明な場合や、複数のサーバー ARN 場合には、ARN の不明な部分にワイルドカード (*) を含む aws:SourceArn グローバルコンテキスト条件キーを使用します。例えば、arn:aws:servicename:*:123456789012:* です。

次のセクションでは、AWS OpsWorksStacksで aws:SourceArn および aws:SourceAccount グローバル条件コンテキストキーを使用して、混乱した代理問題を回避する方法を示します。

AWS OpsWorks Stacks での混乱した副攻撃の防止

このセクションでは、AWS OpsWorks Stacks での混乱した副攻撃を防ぐ方法について説明し、AWS OpsWorks Stacksへのアクセスに使用している IAM ロールにアタッチできるアクセス権限ポリシーの例を紹介します。セキュリティのベストプラクティスとして、aws:SourceArnaws:SourceAccount の条件キーを IAM ロールとほかのサービスとの信頼関係に追加することをお勧めします。信頼関係により、AWS OpsWorks Stacks は AWS OpsWorks Stacks スタックの作成や管理に必要なアクションを他のサービスで実行する役割を担うことができます。

信頼関係を編集するために、aws:SourceArnaws:SourceAccount 条件キーを追加するには
  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. 左のナビゲーションペインで、[Roles] (ロール) を選択します。

  3. 検索ボックスで、AWS OpsWorks Stacks へのアクセスに使用するロールを検索します。AWS 管理対象ロールは aws-opsworks-service-role です。

  4. そのロールの 概要 ページで、信頼関係 タブを選択します。

  5. 信頼関係 タブで、信頼ポリシーの編集 を選択します。

  6. [信頼ポリシーの編集] ページで、少なくとも aws:SourceArnaws:SourceAccount 条件キーの一つをポリシーに追加します。クロスサービス (Amazon EC2 など) と AWS OpsWorks Stacks との間の信頼関係を、より制限の厳しい特定の AWS OpsWorks Stacks に制限する場合に、aws:SourceArn を使用します。aws:SourceAccount を追加すると、クロスサービスと AWS OpsWorks Stacks との間の信頼関係を、より制限の少ない特定のアカウントのスタックに限定できます。次に例を示します。両方の条件キーを使用する場合、アカウント ID は同じでなければならないことに注意してください。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "opsworks.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "ArnEquals": { "arn:aws:opsworks:us-east-2:123456789012:stack/EXAMPLEd-5699-40a3-80c3-22c32EXAMPLE/" } } } ] }
  7. 条件キーの追加が終了したら、 [更新ポリシー] を選択します。

aws:SourceArnaws:SourceAccount を使用してスタックへのアクセスを制限するロールのその他の例を以下に示します。

例: 特定のリージョンのスタックへのアクセス

次のロール信頼関係ステートメントは、米国東部 (オハイオ) リージョン (us-east-2) にあるすべての AWS OpsWorks Stacks スタックにアクセスします。リージョンは aws:SourceArn の ARN 値で指定されていますが、スタック ID の値はワイルドカード (*) であることに注意してください。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "opsworks.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "ArnEquals": { "aws:SourceArn": "arn:aws:opsworks:us-east-2:123456789012:stack/*" } } } ] }

例: aws:SourceArn に複数のスタック ARN の追加

次の例では、アカウント ID 123456789012 の二つの AWS OpsWorks Stacks スタックの配列へのアクセスを制限しています。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "opsworks.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "ArnEquals": { "aws:SourceArn": [ "arn:aws:opsworks:us-east-2:123456789012:stack/unique_ID1", "arn:aws:opsworks:us-east-2:123456789012:stack/unique_ID2" ] } } } ] }