SEC03-BP07 パブリックおよびクロスアカウントアクセスの分析

パブリックおよびクロスアカウントアクセスに焦点を当てた結果を継続的にモニタリングします。パブリックアクセスとクロスアカウントアクセスを減らして、このアクセスを必要とする特定のリソースのみへのアクセスに限定します。

期待される成果: AWS リソースのうちどれが、誰と共有されるのかを把握します。共有されたリソースを継続的にモニタリングおよび監査し、認証されたプリンシパルとのみ共有されていることを確認します。

一般的なアンチパターン:

• 共有されたリソースのインベントリを保持しない。

• リソースへのクロスアカウントまたはパブリックアクセスの承認のためのプロセスを遵守しない。

このベストプラクティスが確立されていない場合のリスクレベル: 低

実装のガイダンス

アカウントが AWS Organizations にある場合、リソースへのアクセスを、組織全体、特定の組織単位、または個別のアカウントに付与することができます。アカウントが組織のメンバーでない場合、個別のアカウントとリソースを共有することができます。直接クロスアカウントアクセスを付与するには、Amazon Simple Storage Service (Amazon S3) バケットポリシーなどのリソースベースのポリシーを使用するか、別のアカウントのプリンシパルがアカウントの IAM ロールを引き受けることを許可します。リソースポリシーを使用している場合、アクセスが認証済みのプリンシパルにのみ付与されていることを確認してください。パブリックアクセス可能にする必要があるすべてのリソースを承認するプロセスを定義します。

AWS Identity and Access Management Access Analyzerは、証明可能セキュリティを使用して、アカウントの外部からリソースへのすべてのアクセスパスを識別します。また、リソースポリシーの継続的な確認と、パブリックおよびクロスアカウントアクセスの結果の報告により、広範囲なアクセス権の分析を単純化します。IAM Access Analyzer を AWS Organizations で設定して、すべてのアカウントが表示されることを確認します。IAM Access Analyzer では、リソースのアクセス許可をデプロイする前に、検出結果をプレビューすることもできます。これにより、ポリシー変更によって、意図されたパブリックアクセスおよびクロスアカウントアクセスのみがリソースに付与されていることを検証できます。マルチアカウントアクセスを設計する際、信頼ポリシーを使用して、ロールを引き受けるケースを制御できます。たとえば、PrincipalOrgId 条件キーを使用して、AWS Organizations 外からのロールを引き受けようとするのを拒否できます。

AWS Config は、設定が誤っているリソースを報告し、AWS Config ポリシーチェックを通して、パブリックアクセスが設定されたリソースを検出できます。AWS Control TowerやAWS Security Hubなどのサービスでは、AWS Organizations 全体でチェックとガードレールのデプロイが簡素化され、公開されたリソースを特定および修復します。たとえば、AWS Control Tower にはマネージド型のガードレールが含まれており、Amazon EBS スナップショットのうち AWS アカウント によって復元できるものがあるかどうかが検出されます。

実装手順

• AWS Organizations に対して AWS Config を有効化することを検討する: AWS Config では、AWS Organizations 内の複数アカウントからの検出結果を、委任された管理者アカウントに集計することができます。これにより、全体像が把握でき、アカウント全体に AWS Config ルール をデプロイして、パブリックにアクセス可能なリソースを特定できます。

• AWS Identity and Access Management Access AnalyzerIAM Access Analyzer を設定すると、外部エンティティと共有している、組織やアカウント内のリソース (Amazon S3 バケットや IAM ロールなど) を特定するのに役立ちます。

• AWS Config で自動修復を使用し、Amazon S3 バケットのパブリックアクセス設定の変更に対応します: Amazon S3 バケットに対して、パブリックアクセスのブロック設定を自動的に再有効化することができます。

• モニタリングを実装して、Amazon S3 バケットがパブリックになった場合はアラートを発動する: Amazon S3 パグリックアクセスブロックが無効な場合と、Amazon S3 バケットがパブリックになったかどうかを特定するために、モニタリングとアラートを設定しておく必要があります。さらに、AWS Organizations を使用している場合、Amazon S3 パブリックアクセスポリシーへの変更を防ぐサービスコントロールポリシーを作成する必要があります。AWS Trusted Advisor は、オープンアクセス権限がある Amazon S3 バケットをチェックします。誰にでもアクセスを付与、アップロード、削除するバケット権限は、バケットのアイテムを誰でも追加、変更、または削除できるようにすることで、セキュリティ関連の問題の原因となることがあります。Trusted Advisor のチェックは、バケットの明示的なアクセス許可を検証します。また、バケットに関連付けられたポリシーで、バケットのアクセス許可を上書きする可能性があるものについても検証します。また、AWS Config を使って、Amazon S3 バケットにパブリックアクセスがないかモニタリングできます。詳細については、「AWS Config を使って、パブリックアクセスを許可する Amazon S3 バケットをモニタリングおよび対応する」を参照してください。アクセスをレビューする間、どのようなタイプのデータが Amazon S3 バケットに含まれているかを考慮することが重要です。Amazon Macie は、PII、PHI などの機密性の高いデータ、およびプライベートまたは AWS キーなどの認証情報を検出して保護します。

リソース

関連するドキュメント:

• AWS Identity and Access Management Access Analyzer を使用する

• AWS Control Tower コントロールライブラリ

• AWS Foundational Security Best Practices 標準

• AWS Config マネージドルール

• AWS Trusted Advisor チェックリファレンス

• Amazon EventBridge を使って AWS Trusted Advisor チェック結果をモニタリングする

• 組織内のすべてのアカウントで AWS Config ルールを管理する

• AWS Config および AWS Organizations

関連動画:

• Best Practices for securing your multi-account environment (マルチアカウント環境を守るためのベストプラクティス)

• Dive Deep into IAM Access Analyzer(IAM Access Analyzer を深堀りする)