テーマ 4: ID を管理する

対象となる Essential Eight 戦略

管理者権限の制限、多要素認証

アイデンティティとアクセス許可の堅牢な管理は、クラウドでセキュリティを管理する上で重要な側面です。強力なアイデンティティプラクティスは、必要なアクセスと最小特権のバランスを取ります。これにより、開発チームはセキュリティを損なうことなく迅速に作業できます。

ID フェデレーションを使用して、ID の管理を一元化します。これにより、1 つの場所からアクセスを管理できるため、複数のアプリケーションやサービス間のアクセスを簡単に管理できます。これにより、一時的なアクセス許可と多要素認証 (MFA) を実装することもできます。

タスクの実行に必要なアクセス許可のみをユーザーに付与します。 AWS Identity and Access Management Access Analyzer はポリシーを検証し、パブリックアクセスとクロスアカウントアクセスを検証できます。 AWS Organizations サービスコントロールポリシー (SCPs)、IAM ポリシー条件、IAM アクセス許可の境界、 AWS IAM Identity Center アクセス許可セットなどの機能は、きめ細かなアクセスコントロール (FGAC) の設定に役立ちます。

どのような種類の認証を行う場合も、一時的な認証情報を使用して、認証情報が誤って開示、共有、盗難されるなどのリスクを軽減または排除することをお勧めします。IAM ユーザーの代わりに IAM ロールを使用します。

MFA などの強力なサインインメカニズムを使用して、サインイン認証情報が誤って開示されたり、簡単に推測されたりするリスクを軽減します。ルートユーザーに MFA を要求し、フェデレーションレベルで要求することもできます。IAM ユーザーの使用が避けられない場合は、MFA を適用します。

コンプライアンスをモニタリングして報告するには、継続的にアクセス許可の削減、IAM Access Analyzer からの検出結果のモニタリング、未使用の IAM リソースの削除を行う必要があります。 AWS Config ルールを使用して、強力なサインインメカニズムが強制され、認証情報が有効期間が短く、IAM リソースが使用されていることを確認します。

AWS Well-Architected フレームワークの関連するベストプラクティス

• SEC02-BP01 強力なサインインメカニズムを使用する

• SEC02-BP02 一時的な認証情報を使用する

• SEC02-BP03 シークレットを安全に保存して使用する

• SEC02-BP04 一元化された ID プロバイダーを利用する

• SEC02-BP05 定期的に認証情報を監査およびローテーションする

• SEC02-BP06 ユーザーグループと属性を採用する

• SEC03-BP01 アクセス要件を定義する

• SEC03-BP02 最小特権のアクセスを付与する

• SEC03-BP03 緊急アクセスプロセスを確立する

• SEC03-BP04 アクセス許可を継続的に削減する

• SEC03-BP05 組織のアクセス許可ガードレールを定義する

• SEC03-BP06 ライフサイクルに基づいてアクセスを管理する

• SEC03-BP07 パブリックおよびクロスアカウントアクセスの分析

• SEC03-BP08 組織内でリソースを安全に共有する

このテーマの実装

ID フェデレーションを実装する

• 人間のユーザーに、一時的な認証情報 AWS を使用して にアクセスすることを ID プロバイダーとフェデレーションするよう要求する

• 環境への一時的な昇格アクセスを実装する AWS

最小特権アクセス許可を適用する

• ルートユーザーの認証情報を保護し、日常的なタスクには使用しない

• IAM Access Analyzer を使用して、アクセスアクティビティに基づいて最小特権ポリシーを生成する

• IAM Access Analyzer を使用して リソースへのパブリックアクセスとクロスアカウントアクセスを検証する

• IAM Access Analyzer を使用して IAM ポリシーを検証し、安全で機能的なアクセス許可を取得する

• 複数のアカウントでアクセス許可ガードレールを確立する

• アクセス許可の境界を使用して、アイデンティティベースのポリシーが付与できるアクセス許可の上限を設定する

• IAM ポリシーの条件を使用してアクセスをさらに制限する

• 未使用のユーザー、ロール、アクセス許可、ポリシー、認証情報を定期的に確認して削除する

• AWS 管理ポリシーの使用を開始し、最小特権のアクセス許可に移行する

• IAM Identity Center のアクセス許可セット機能を使用する

認証情報のローテーション

• ワークロードが IAM ロールを使用して にアクセスするように要求する AWS

• 未使用の IAM ロールの削除を自動化する

• 長期的な認証情報を必要とするユースケースのためにアクセスキーを定期的にローテーションする

MFA を強制する

• ルートユーザーに MFA を要求する

• IAM アイデンティティセンターを通じて MFA を要求する

• サービス固有の API アクションに MFA を要求することを検討する

このテーマのモニタリング

最小特権アクセスをモニタリングする

• IAM Access Analyzer の検出結果を に送信する AWS Security Hub

• 重要な IAM Identity Center の検出結果の通知の設定を検討する

• の認証情報レポートを定期的に確認する AWS アカウント

次の AWS Config ルールを実装する

• ACCESS_KEYS_ROTATED

• IAM_ROOT_ACCESS_KEY_CHECK

• IAM_USER_MFA_ENABLED

• IAM_USER_UNUSED_CREDENTIALS_CHECK

• IAM_PASSWORD_POLICY

• ROOT_ACCOUNT_HARDWARE_MFA_ENABLED