SEC03-BP07 パブリックおよびクロスアカウントアクセスの分析 - AWS Well-Architected Framework

SEC03-BP07 パブリックおよびクロスアカウントアクセスの分析

パブリックおよびクロスアカウントアクセスに焦点を当てた結果を継続的にモニタリングします。パブリックアクセスとクロスアカウントアクセスを減らして、このタイプのアクセスを必要とするリソースのみへのアクセスに限定します。

一般的なアンチパターン:

  • クロスアカウントのアクセスとリソースへのパブリックアクセスを統制するためのプロセスを遵守しない。

このベストプラクティスが確立されていない場合のリスクレベル:

実装のガイダンス

AWS では、別のアカウントにあるリソースへのアクセス権を許可できます。直接的なクロスアカウントアクセスを許可するには、リソース (Amazon Simple Storage Service (Amazon S3) バケットポリシーなど) にアタッチされたポリシーを使用するか、アイデンティティが別のアカウントの IAM ロールを引き受けることを許可します。リソースポリシーを使用するときは、組織内のアイデンティティにアクセスが許可されており、リソースをパブリックアクセス可能にする意図があることを確認します。パブリックアクセス可能にする必要があるすべてのリソースを承認するプロセスを定義します。

IAM Access Analyzer証明可能セキュリティ を使用して、アカウントの外部からリソースへのすべてのアクセスパスを識別します。また、リソースポリシーの継続的な確認と、パブリックおよびクロスアカウントアクセスの結果の報告により、広範囲なアクセス権の分析をしやすくします。すべてのアカウントについて表示できることを確認するために、AWS Organizations で IAM Access Analyzer を設定することを検討します。IAM Access Analyzer では、 リソースのアクセス許可をデプロイする前に Access Analyzer の調査結果をプレビューすることもできます。これにより、ポリシー変更によって、意図されたパブリックアクセスおよびクロスアカウントアクセスのみがリソースに付与されていることを検証できます。マルチアカウントアクセスについて設計するときは、 ロールを引き受け可能なケースを制御するために信頼ポリシーを使用できます。例えば、ロールの引き受けを特定の送信元 IP 範囲に限定できます。

また、 AWS Config を使用して、 AWS Config ポリシーチェックで、リソースに意図しないパブリックアクセス設定があればレポートを生成し、修復することができます。例えば、 AWS Control Tower および AWS Security Hub などのサービスでは、AWS Organizations 全体でチェックとガードレールのデプロイが簡素化され、パブリックにアクセスできるリソースを特定および修復できます。例えば、AWS Control Tower にはマネージド型のガードレールが含まれており、 Amazon EBS スナップショットがすべての AWS アカウントで復元可能かどうかを検出できます

リソース

関連するドキュメント:

関連動画: