SEC03-BP03 緊急アクセスのプロセスを確立する

自動プロセスまたはパイプラインの問題が発生した場合に、ワークロードへの緊急アクセスを許可するプロセス。これにより、最小権限のアクセスを利用しながら、ユーザーは必要なときに適切なレベルのアクセスを取得できます。例えば、アクセス用の緊急 AWS クロスアカウントロール、または管理者が緊急リクエストの検証と承認を行う際の特定のプロセスなど、管理者がリクエストを確認して承認するプロセスを確立します。

一般的なアンチパターン:

既存の ID 設定を使用して停止状態から復旧するための緊急プロセスを整備していない。
トラブルシューティングや復旧の目的で長期昇格のアクセス許可を付与する。

このベストプラクティスが確立されていない場合のリスクレベル: 中

実装のガイダンス

緊急アクセスの確立では、複数のケースに備える必要があります。まず、プライマリ ID プロバイダーの障害です。このケースでは、復旧のためのアクセス許可が必須となる第 2 のアクセス方法を用いる必要があります。この方法では、バックアップ ID プロバイダーまたは IAM ユーザーを使用できます。第 2 の方法が用いられる場合には、厳格に制御、監視され、通知する必要があります。緊急アクセス ID は、この目的に固有のアカウントに属し、復旧に特化したロールを引き受けるためのアクセス許可のみを持つ必要があります。

また、緊急アクセスのために管理アクセス権の一時的な昇格が求められるケースにも備える必要があります。一般的なシナリオでは、変更のデプロイに使用される自動プロセスへのアクセス許可に変更を加えることを制限します。このプロセスで問題が発生した場合、ユーザーはアクセス許可を復元機能に昇格させることをリクエストしなければならない可能性があります。このケースでは、ユーザーがアクセス権の昇格をリクエストし、管理者が検証して承認することができるプロセスを確立します。アクセスの事前プロビジョニングと緊急の break-glass ロールの設定に関して、ベストプラクティスのガイダンスを説明する実装計画が含まれています SEC10-BP05 アクセスを事前プロビジョニングする。

リソース

関連するドキュメント:

関連動画：

Become an IAM Policy Master in 60 Minutes or Less (60 分以内に IAM ポリシーマスターになる)

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

SEC03-BP02 最小特権のアクセスを付与します

SEC03-BP04 アクセス許可を継続的に削減する