SEC03-BP06 ライフサイクルに基づいてアクセスを管理する

プリンシパル (ユーザー、ロール、グループ) に付与されるアクセス許可を、組織内での各々の全ライフサイクルにわたり監視し、調整します。ユーザーの役割の変更に応じてグループメンバーシップを調整し、ユーザーが組織を離れた時点でアクセス権を取り消します。

期待される成果: 組織内のプリンシパルの全ライフサイクルにわたりアクセス許可が監視および調整され、不要な権限が付与されるリスクが軽減されます。ユーザーの作成時に適切なアクセス権が付与されます。ユーザーの責任が変わった時点でアクセス権を変更し、ユーザーが業務を遂行していないときや組織を離れたときはアクセス権を取り消します。ユーザー、ロール、グループに対する変更を一元管理します。自動化を使用して、AWS 環境に変更を反映します。

一般的なアンチパターン:

• 初期段階で必要とされる以上に過剰または広範なアクセス権限をアイデンティティに事前に付与している。

• アイデンティティの役割と責任が経時的に変化しても、アクセス権限を見直したり調整したりしない。

• 非アクティブまたは終了したアイデンティティに、アクティブなアクセス権限を与えたままにしている。これにより、不正アクセスのリスクが高まります。

• アイデンティティライフサイクルの管理が自動化されていない。

このベストプラクティスが確立されていない場合のリスクレベル: 中

実装のガイダンス

アイデンティティ (ユーザー、ロール、グループなど) に付与するアクセス権限は、それらのライフサイクル全体にわたって慎重に管理および調整してください。このライフサイクルには、初期のオンボーディングフェーズ、役割と責任の継続的な変更、そして最終的なオフボーディングまたは終了が含まれます。ライフサイクルの段階に基づいてアクセス権をプロアクティブに管理し、適切なアクセスレベルを維持します。最小特権の原則に従い、過剰または不必要なアクセス権限が付与されるリスクを軽減してください。

IAM users のライフサイクルは AWS アカウント 内で直接管理することも、ワークフォース ID プロバイダーと AWS IAM Identity Center とのフェデレーションを通じて管理することもできます。IAM users の場合は、ユーザーと関連するアクセス許可を AWS アカウント 内で作成、変更、削除できます。フェデレーションユーザーについては、IAM Identity Center を使用してライフサイクルを管理できます。その場合は、System for Cross-domain Identity Management (SCIM) プロトコルを使用して、組織の ID プロバイダーからのユーザーとグループの情報を同期します。

SCIM は、さまざまなシステム間でユーザー ID のプロビジョニングとプロビジョニング解除を自動化するためのオープンスタンダードのプロトコルです。SCIM を使用して ID プロバイダーを IAM Identity Center に統合することで、ユーザーとグループの情報を自動的に同期し、組織の信頼できるアイデンティティソースにおける変更に基づいてアクセス権限が付与、変更、または取り消されているか検証できます。

組織内での従業員の役割と責任が変化したら、その従業員のアクセス権限を適宜調整してください。IAM Identity Center のアクセス許可セットを使用して、さまざまな職務または責任を定義し、それらに IAM の適切なポリシーやアクセス許可を関連付けることができます。従業員の役割が変更されたら、割り当てられているアクセス許可セットを更新して、その従業員の新しい責任を反映させることができます。最小特権の原則に従いながら、従業員に必要なアクセス権が与えられていることを確認してください。

実装手順

1. 初期アクセス権の付与、定期的なレビュー、オフボーディングの手順を含む、アクセス管理ライフサイクルのプロセスを定義し、文書化します。

2. IAM のロール、グループ、アクセス許可の境界を実装して、アクセス許可を一元管理し、最大許容アクセスレベルを適用します。

3. フェデレーテッド ID プロバイダー (Microsoft Active Directory、Okta、Ping Identity など) を、ユーザーおよびグループ情報の信頼できるソースとして IAM Identity Center を使用して統合します。

4. SCIM プロトコルを使用して、ID プロバイダーからのユーザー情報やグループ情報を IAM Identity Center の ID ストアに同期します。

5. 組織内のさまざまな職務や責任を表すアクセス許可セットを IAM Identity Center で作成します。アクセス許可セットごとに適切な IAM ポリシーとアクセス許可を定義します。

6. 定期的なアクセスレビュー、迅速なアクセス取り消し、アクセス管理ライフサイクルプロセスの継続的な改善を実施します。

7. アクセス管理のベストプラクティスについて、従業員にトレーニングを行い、周知徹底させます。

リソース

関連するベストプラクティス:

• SEC02-BP04 一元化された ID プロバイダーを利用する

関連するドキュメント:

• Manage your identity source 

• Manage identities in IAM Identity Center

• AWS Identity and Access Management Access Analyzer を使用する

• IAM Access Analyzer ポリシーの生成

関連動画:

• AWS re:Inforce 2023 - Manage temporary elevated access with AWS IAM Identity Center

• AWS re:Invent 2022 - Simplify your existing workforce access with IAM Identity Center

• AWS re:Invent 2022 - Harness power of IAM policies & rein in permissions w/Access Analyzer