ステップ 4. アクセスコントロールのメカニズムを実装する

クラウドのセキュリティについて考える上で基本的な戦略となるのは、ユーザーが適切なアクセス許可を使ってデータにアクセスできる、堅牢な ID 基盤です。適切な認証と認可が行われていれば、セキュリティイベントが発生するリスクを抑えられます。責任共有モデルでは、 AWS お客様はアクセスコントロールポリシーを実装する必要があります。アクセスポリシーを大規模に作成して管理するときは、 AWS Identity and Access Management (IAM) を使用します。

アクセスの権限と許可を設定するときは、バックアップデータまたはバックアップボールトにアクセスする各ユーザーまたはシステムに、それぞれの役割を果たすための必要最小限のアクセス許可のみを付与する、最小特権の原則を適用します。 AWS Backup を使用してバックアップボールトにアクセスポリシーを設定し、クラウドワークロードを保護します。

例えば、アクセスコントロールポリシーを実装すると、復旧ポイントを削除する機能を制限したまま、バックアッププランとオンデマンドのバックアップを作成するためのアクセスをユーザーに許可することができます。ボールトアクセスポリシーを使用すると、ビジネスニーズに応じて、送信先バックアップボールトをソース AWS アカウント または IAM ロールと共有できます。また、アクセスポリシーを使用すると、バックアップボールトを 1 つまたは複数のアカウントと、もしくは AWS Organizationsの組織全体と、共有することができます。詳細については、AWS Backup のドキュメントを参照してください。

ワークロードをスケールしたり、 に移行するときに AWS、バックアップボールトとオペレーションへのアクセス許可を一元管理する必要がある場合があります。組織のすべてのアカウントで使用できる最大数のアクセス許可を、一元的に制御するときは、サービスコントロールポリシー (SCP) を使用します。SCP は多重防御を備えており、ユーザーをアクセスコントロールの規定されたガイドライン内に留めておくことができます。詳細については、「Managing access to backups using service control policies with AWS Backup」を参照してください。

バックアップリソースやデータへの意図しないアクセスなどのセキュリティリスクを軽減するには、IAM Access Analyzer を使用して、以下と共有されている IAM AWS Backup ロールを特定します。

• などの外部エンティティ AWS アカウント

• ルートユーザー

• IAM ユーザーまたはロール

• フェデレーションユーザー

• AWS のサービス

• 匿名ユーザー

• フィルタの作成に使用できるその他エンティティ