ID およびアクセス管理

ID とアクセスの管理は、情報セキュリティプログラムの主要部分です。これにより、お客様が意図した方法で認可、認証されたユーザーおよびコンポーネントのみがリソースにアクセスできるようになります。例えば、プリンシパル (つまり、お客様のアカウントに対してアクションを実行するアカウント、ユーザー、ロール、サービス) を定義し、これらのプリンシパルに合わせたポリシーを構築し、強力な認証情報管理を実装することができます。これらの特権管理要素が、認証と認可の中核を形成します。

AWS では、権限管理は主に AWS Identity and Access Management (IAM) サービスによってサポートされており、AWS のサービスとリソースへのユーザーやプログラムによるアクセスの制御を可能にしています。詳細なポリシーを適用し、ユーザー、グループ、ロール、またはリソースに権限を割り当てることができます。また、複雑性レベル、再利用禁止、多要素認証 (MFA) の強制など、強力なパスワード設定をする機能があります。既存のディレクトリサービスでフェデレーションを使用することもできます。AWS へのアクセス権を持つシステムを必要とするワークロードの場合、IAM により、ロール、インスタンスプロファイル、ID フェデレーション、一時的認証情報を使用したセキュアなアクセスが可能になります。

次の質問は、セキュリティに関する考慮事項に焦点を当てています。

SEC 2: ユーザー ID とマシン ID はどのように管理するのですか?

安全な AWS ワークロードの運用へのアプローチでは、管理が必要な 2 つのタイプの ID があります。管理し、アクセス権を付与する必要がある ID の種類を理解すると、適切な ID が適切な条件下で適切なリソースにアクセスしていることを検証するのに役立ちます。 人の ID: 管理者、デベロッパー、オペレーター、エンドユーザーには、AWS 環境とアプリケーションにアクセスするための ID が必要です。これらは、組織のメンバーやコラボレーションする外部のユーザーであり、ウェブブラウザ、クライアントアプリケーション、またはインタラクティブなコマンドラインツールを介して AWS リソースとやり取りします。 マシン ID: サービスアプリケーション、運用ツール、ワークロードには、データの読み取りなどのために、AWS のサービスにリクエストを送信するための ID が必要です。これらの ID には、Amazon EC2 インスタンスや AWS Lambda 関数などの、AWS 環境で実行中のマシンが含まれます。また、アクセスを必要とする外部の関係者のマシン ID を管理することもできます。さらに、AWS 環境へのアクセスを必要とする AWS 外部のマシンが含まれる場合もあります。

SEC 3: ユーザーとマシンのアクセス許可はどのように管理するのですか?
アクセス許可を管理して、AWS とワークロードへのアクセスを必要とするユーザー ID やマシン ID へのアクセスを制御します。アクセス許可は、誰が何に、どのような条件でアクセスできるかを制御します。

認証情報は、ユーザーまたはシステム間で共有しないでください。ユーザーアクセス権は、パスワード要件や MFA の強制などのベストプラクティスを実践し、最小特権で付与する必要があります。AWS サービスへの API コールを含む、プログラムによるアクセスは、AWS Security Token Service が発行するような一時的かつ限定的な認証情報を使用して実行する必要があります。

AWS Management Console の外部で AWS を操作するには、ユーザーはプログラムによるアクセスが必要です。プログラマチックアクセス権を付与する方法は、AWS にアクセスしているユーザーのタイプによって異なります。

ユーザーにプログラマチックアクセス権を付与するには、以下のいずれかのオプションを選択します。

プログラマチックアクセス権を必要とするユーザー	目的	方法
ワークフォースアイデンティティ (IAM アイデンティティセンターで管理されているユーザー)	一時的な認証情報を使用して、AWS CLI、AWS SDK、または AWS API へのプログラマチックリクエストに署名します。	使用するインターフェイス用の手引きに従ってください。 AWS CLI については、AWS Command Line Interface ユーザーガイドの「AWS IAM Identity Center を使用するための AWS CLI の設定」を参照してください。 AWS SDK、ツール、および AWS API については、AWS SDK とツールリファレンスガイドの「IAM Identity Center 認証」を参照してください。
IAM	一時的な認証情報を使用して、AWS CLI、AWS SDK、または AWS API へのプログラムによるリクエストに署名します。	「IAM ユーザーガイド」の「AWS リソースでの一時的な認証情報の使用」の指示に従ってください。
IAM	(非推奨) 長期的な認証情報を使用して、AWS CLI、AWS SDK、AWS API へのプログラムによるリクエストに署名します。	使用するインターフェイス用の手順に従ってください。 AWS CLI については、AWS Command Line Interface ユーザーガイドの「IAM ユーザー認証情報を使用した認証」を参照してください。 AWS SDK とツールについては、AWS SDK とツールリファレンスガイドの「長期認証情報を使用して認証する」を参照してください。 AWS API については、IAM ユーザーガイドの「IAM ユーザーのアクセスキーの管理」を参照してください。

AWS では、ID とアクセスの管理に役立つリソースを提供しています。ベストプラクティスを学ぶには、認証情報と認証の管理、人によるアクセスの制御、プログラムによるアクセスの制御に関するハンズオンラボをご覧ください。