SEC08-BP04 アクセスコントロールを適用する

保管中のデータを保護するには、分離やバージョニングなどのメカニズムを使ってアクセス制御を実施し、最小特権の原則を適用してください。データへパブリックアクセスが付与されるのを防止します。

期待される成果: そのデータについて知る必要がある、許可されたユーザーのみがデータにアクセスできるようにします。定期的なバックアップとバージョニングでデータを保護し、意図しない、または不注意によるデータの改ざんや削除を防止します。重要なデータを他のデータから分離して、機密性とデータ整合性を保護します。

一般的なアンチパターン:

• 機密度要件と分類の異なるデータを一緒に保管する。

• 復号化キーに、過度に寛容なアクセス許可を使用する。

• データを不適切に分類する。

• 重要なデータの詳細なバックアップを保持しない。

• 本番データへの永続的なアクセスを提供する。

• データアクセスを監査することも、定期的にアクセス許可を審査することもしていない。

このベストプラクティスを活用しない場合のリスクレベル: 低

実装のガイダンス

アクセス (最小特権を使用)、分離、バージョニングなど、複数のコントロールによって保管中のデータを保護できます。データへのアクセスは、AWS CloudTrail などの探査メカニズムとAmazon Simple Storage Service (Amazon S3) アクセスログなどのサービスレベルログを使用して監査する必要があります。パブリックにアクセス可能なデータをインベントリし、時間の経過とともにパブリックで利用可能なデータ量を削減する計画を策定します。

Amazon S3 Glacier のボールトロックと Amazon S3 Object Lock は、Amazon S3 のオブジェクトに必須のアクセス制御を提供します。ボールトポリシーがコンプライアンスオプションによってロックされると、そのロックの有効期限が切れるまでルートユーザーであっても変更できません。

実装手順

• アクセスコントロールを適用する: 暗号キーへのアクセスを含め、最小権限を用いたアクセスコントロールを適用します。

• さまざまな分類レベルに基づいてデータを分離する: データ分類レベルにはそれぞれ異なる AWS アカウントを使用し、それらのアカウントは AWS Organizations を使って管理します。

• AWS Key Management Service (AWS KMS) ポリシーをレビューする: AWS KMS ポリシーで付与されるアクセスのレベルをレビューします。

• Amazon S3 バケットとオブジェクトアクセス許可をレビューする: S3 バケットのポリシーで付与されるアクセスのレベルを定期的にレビューします。ベストプラクティスは、バケットを公開で読み取ったり書き込んだりできないようにすることです。AWS Config を使用して公開されているバケットを検出し、Amazon CloudFront を使用して Amazon S3 からコンテンツを提供することを検討します。パブリックアクセスを許可してはならないバケットが、パブリックアクセスを防ぐように正しく構成されていることを確認します。デフォルトでは、すべての S3 バケットはプライベートであり、明示的にアクセスが許可されたユーザーのみがアクセスできます。

• AWS IAM Access Analyzer を使用する: IAM Access Analyzer は Amazon S3 バケットを分析し、S3 ポリシーが外部エンティティにアクセスを許可したときに検出結果を生成します。

• 必要に応じて、Amazon S3 のバージョニングと Object Lock を使用します。

• Amazon S3 インベントリを使用する: S3 オブジェクトのレプリケーションと暗号化ステータスの監査およびレポートには Amazon S3 インベントリを使用します。

• Amazon EBS と AMI 共有アクセス許可をレビューする: 共有アクセス許可を使用すると、ワークロード外の AWS アカウントとイメージおよびボリュームを共有することができます。

• AWS Resource Access Manager の共有を定期的にレビューして、リソースを共有し続けるかどうかを決定します。Resource Access Manager を使用すると、AWS Network Firewall ポリシー、Amazon Route 53 Resolver ルール、サブネットなど、Amazon VPC 内のリソースを共有することができます。定期的に共有リソースを監査し、共有が不要になったリソースは共有を停止します。

リソース

関連するベストプラクティス:

• SEC03-BP01 アクセス要件を定義する

• SEC03-BP02 最小特権のアクセスを付与する

関連ドキュメント:

• AWS KMS Cryptographic Details Whitepaper

• Amazon S3 リソースへのアクセス許可の管理

• AWS KMS リソースへのアクセス管理の概要

• AWS Config ルール

• Amazon S3 + Amazon CloudFront: A Match Made in the Cloud

• バージョニングの使用

• S3 Object Lock を使ってオブジェクトをロックする

• Sharing an Amazon EBS Snapshot

• 共有 AMI

• Amazon S3 で単一ページのアプリケーションをホストする

関連動画:

• Securing Your Block Storage on AWS