SEC03-BP04 アクセス許可を継続的に削減する

チームと必要とするアクセスを決定したら、不要になったアクセス許可を削除し、最小特権のアクセス許可を達成するためのレビュープロセスを確立します。人間とマシンアクセス両方について使用しないアイデンティティとアクセス許可を継続的にモニタリングして削除します。

期待される成果: アクセス許可ポリシーは、最小特権原則に準拠する必要があります。職務やロールの定義がはっきりしてくるにつれ、アクセス許可ポリシーを見直し、必要でないアクセス許可を削除する必要があります。このアプローチにより、不注意による認証情報漏洩や不正アクセスによる影響を軽減することができます。

一般的なアンチパターン:

• デフォルトでユーザーに管理者アクセス許可を付与する

• 過度に寛容でありながら、完全な管理者権限がないポリシーを作成する。

• 不要になった後もアクセス許可ポリシーを保持する。

このベストプラクティスを確立しない場合のリスクレベル: 中

実装のガイダンス

チームやプロジェクトが始まったばかりの場合、革新とアジリティを刺激するために、寛容な許可ポリシーが使われる可能性があります。たとえば、開発またはテスト環境であれば、開発者にはさまざまな AWS サービスへのアクセスを付与できます。継続的にアクセスを評価し、アクセスを、現在のジョブを完了するために必要なサービスおよびサービスアクションのみに制限することが推奨されます。この評価は、人的およびマシン ID 両方にお薦めします。マシン ID は、システムまたはサービスアカウントと呼ばれることもありますが、AWS にアプリケーションまたはサービスへのアクセスを付与するアイデンティティです。このアクセスは、本稼働環境で特に重要です。ここでは、過剰に寛容なアクセス許可を使うと影響が大きく、顧客データを開示してしまう可能性があるためです。

AWS は、使用されていないユーザー、ロール、アクセス許可、および認証情報を特定するための方法を複数提供しています。AWS は、Amazon S3 バケットのオブジェクトなど AWS リソースへの関連付けられたアクセスキー、およびアクセスを含む、IAM ユーザーとロールのアクセス活動を分析するのにも役立ちます。AWS Identity and Access Management Access Analyzer ポリシー生成により、プリンシパルが実際にやりとりするサービスやアクションに基づいて、限定的な許可ポリシーを作成することができます。Attribute-based access control (ABAC) は、各ユーザーに直接権限ポリシーをアタッチするのではなく、ユーザーの属性を利用してアクセス許可を与えることができるため、アクセス権限管理の簡素化に役立ちます。

実装手順

• AWS Identity and Access Management Access Analyzerを使用する: IAM Access Analyzer は、組織内のリソースや、Amazon Simple Storage Service (Amazon S3) バケットや IAM ロールなど、外部エンティティと共有しているアカウントを特定するのに役立ちます。

• IAM Access Analyzer ポリシー生成を使用する: IAM Access Analyzer ポリシー生成は、IAM ユーザーまたはロールのアクセスアクティビティに基づいて、きめ細やかなアクセス許可ポリシーを作成するのに役立ちます。

• IAM ユーザーとロールに対して許容可能な期間と使用ポリシーを決定する: 最終アクセスタイムスタンプを使って、使用されていないユーザーとロールを特定し、それを削除します。サービスとアクションの最終アクセス時間情報を確認し、特定のユーザーおよびロールのアクセス許可を特定してスコープを決定できます。たとえば、最終アクセス時間情報を使用して、アプリケーションロールが必要とする特定の Amazon S3 アクションを特定し、それらのアクションのみにアクセスを制限できます。最終アクセス時間情報は、AWS Management Console およびプログラムで使用でき、インフラストラクチャワークフローや自動化ツールに組み込むことができます。

• AWS CloudTrail にデータイベントをログ記録することを検討する: デフォルトで、CloudTrail は Amazon S3 オブジェクトレベルアクティビティ (たとえば、GetObject および DeleteObject) または Amazon DynamoDB テーブルアクティビティ (たとえば、PutItem および DeleteItem) などのデータイベントをログ記録しません。これらのイベントのログ記録を有効にして、特定の Amazon S3 オブジェクトまたは DynamoDB テーブルアイテムにアクティビティする必要があるユーザーとロールを決定します。

リソース

関連するドキュメント:

• 最小特権を付与する

• 必要でない認証情報を削除する

• AWS CloudTrailとは?

• IAM ポリシーを管理する

• DynamoDB のログ記録とモニタリング

• Amazon S3 バケットとオブジェクトの CloudTrail イベントロギングの有効化

• AWS アカウント アカウントの認証情報レポートの取得

関連動画:

• Become an IAM Policy Master in 60 Minutes or Less (60 分以内に IAM ポリシーマスターになる)

• Separation of Duties, Least Privilege, Delegation, and CI/CD (職務分離、最小特権、委任、および CI/CD)

• AWS re:Inforce 2022 - AWS Identity and Access Management (IAM) deep dive (ディープダイブ)