管理者権限を制限する

Essential Eight コントロール	実装のガイダンス	AWS リソース	AWS Well-Architected ガイダンス
システムおよびアプリケーションへの特権アクセスのリクエストは、最初にリクエストされたときに検証されます。	テーマ 4: ID を管理する: ID フェデレーションを実装する	人間のユーザーに、一時的な認証情報 AWS を使用して にアクセスすることを ID プロバイダーとフェデレーションするよう要求する	SEC02-BP04 一元化された ID プロバイダーを利用する SEC03-BP01 アクセス要件を定義する
システムおよびアプリケーションへの特権アクセスは、再検証されない限り、12 か月後に自動的に無効になります。	テーマ 4: ID を管理する: ID フェデレーションを実装する	人間のユーザーに、一時的な認証情報 AWS を使用して にアクセスすることを ID プロバイダーとフェデレーションするよう要求する	SEC02-BP04 一元化された ID プロバイダーを利用する
	テーマ 4: ID を管理する: 認証情報のローテーション	ワークロードが IAM ロールを使用して にアクセスするように要求する AWS 未使用の IAM ロールの削除を自動化する 長期的な認証情報を必要とするユースケースのためにアクセスキーを定期的にローテーションする AWS Summit ANZ 2023: クラウドでの一時的な認証情報へのジャーニー (YouTube ビデオ）	SEC02-BP05 定期的に認証情報を監査およびローテーションする
システムおよびアプリケーションへの特権アクセスは、45 日間非アクティブ状態になると自動的に無効になります。	テーマ 4: ID を管理する: ID フェデレーションを実装する テーマ 4: ID を管理する: 認証情報のローテーション	人間のユーザーに、一時的な認証情報 AWS を使用して にアクセスすることを ID プロバイダーとフェデレーションするよう要求する ワークロードが IAM ロールを使用して にアクセスするように要求する AWS 未使用の IAM ロールの削除を自動化する 長期的な認証情報を必要とするユースケースのためにアクセスキーを定期的にローテーションする AWS Summit ANZ 2023: クラウドでの一時的な認証情報へのジャーニー (YouTube ビデオ）	SEC02-BP04 一元化された ID プロバイダーを利用する SEC02-BP05 定期的に認証情報を監査およびローテーションする
システムおよびアプリケーションへの特権アクセスは、ユーザーおよびサービスが職務を果たすために必要なもののみに制限されます。	テーマ 4: ID を管理する: 最小特権のアクセス許可を適用する	ルートユーザーの認証情報を保護し、日常的なタスクには使用しない IAM Access Analyzer を使用して、アクセスアクティビティに基づいて最小特権ポリシーを生成する IAM Access Analyzer を使用してリソースへのパブリックアクセスとクロスアカウントアクセスを検証する IAM Access Analyzer を使用して IAM ポリシーを検証し、安全で機能的なアクセス許可を取得する 複数のアカウントでアクセス許可ガードレールを確立する アクセス許可の境界を使用して、アイデンティティベースのポリシーが付与できるアクセス許可の上限を設定する IAM ポリシーの条件を使用してアクセスをさらに制限する 未使用のユーザー、ロール、アクセス許可、ポリシー、認証情報を定期的に確認して削除する AWS 管理ポリシーの使用を開始し、最小特権のアクセス許可に移行する IAM Identity Center のアクセス許可セット機能を使用する	SEC01-BP02 アカウントのルートユーザーとプロパティを保護する SEC03-BP02 最小特権のアクセスを付与する
特権アカウントは、インターネット、E メール、ウェブサービスにアクセスできません。	「技術例: 管理者権限の制限」(ACSC ウェブサイト) を参照してください。	インターネットにアクセスできない VPC が取得できないようにする SCP の実装を検討してください。	該当しない
特権ユーザーは、特権運用環境と非特権運用環境を別々に使用します。	テーマ 5: データ境界を確立する	データ境界を確立する。OFFICIAL:SENSITIVE や などの異なるデータ分類や、開発、テストPROTECTED、本番稼働などの異なるリスクレベルの環境間でデータ境界を実装することを検討してください。	SEC06-BP03 手動管理とインタラクティブアクセスを削減する
特権運用環境は、特権のない運用環境内では仮想化されません。
権限のないアカウントは、権限のある運用環境にログオンできません。
特権アカウント (ローカル管理者アカウントを除く) は、特権のない運用環境にログオンできません。
Just-in-time管理は、システムとアプリケーションの管理に使用されます。	テーマ 4: ID を管理する: ID フェデレーションを実装する	人間のユーザーに、一時的な認証情報 AWS を使用して にアクセスすることを ID プロバイダーとフェデレーションするよう要求する 環境への一時的な昇格アクセスを実装する AWS (AWS ブログ記事）	SEC02-BP04 一元化された ID プロバイダーを利用する
管理アクティビティは、ジャンプサーバーを通じて実施されます。	テーマ 1: マネージドサービスを使用する テーマ 3: 自動化による変更可能なインフラストラクチャの管理: 手動プロセスではなくオートメーションを使用する	直接 SSH または RDP アクセスの代わりに Session Manager または Run Command を使用する https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html	SEC01-BP05 セキュリティ管理の範囲を縮小する SEC06-BP03 手動管理とインタラクティブアクセスを削減する
ローカル管理者アカウントとサービスアカウントの認証情報は一意で、予測不可能で、管理されています。	「技術例: 管理者権限の制限」(ACSC ウェブサイト) を参照してください。	該当しない	該当しない
Windows Defender Credential Guard と Windows Defender Remote Credential Guardが有効になっています。
特権アクセスの使用は一元的に記録され、不正な変更や削除から保護され、侵害の兆候がないか監視され、サイバーセキュリティイベントが検出されたときに対処されます。	テーマ 7: ログ記録とモニタリングを一元化する: ログ記録を有効にする テーマ 7: ログ記録とモニタリングを一元化する: ログを一元化する	CloudWatch エージェントを使用して OS レベルのログを CloudWatch Logs に発行する 組織の CloudTrail を有効にする アカウント内の CloudWatch Logs を一元化して監査と分析を行う (AWS ブログ記事） Amazon Inspector の管理を一元化する Security Hub の管理を一元化する で組織全体のアグリゲータを作成する ( AWS Configブログ記事）AWS GuardDuty の管理を一元化する Amazon Security Lake の使用を検討する 複数のアカウントから CloudTrail ログを受信する ログアーカイブアカウントにログを送信する	SEC04-BP01 サービスとアプリケーションのログ記録を設定する SEC04-BP02 標準化された場所でログ、検出結果、メトリクスをキャプチャする
特権アカウントとグループへの変更は一元的に記録され、不正な変更や削除から保護され、侵害の兆候がないか監視され、サイバーセキュリティイベントが検出されたときに対処されます。