こんにちは。時差ボケすると思ったら、帰国後23時に寝て6時に起きる規則正しい生活ができるようになった中嶋(mnakajima18)です。
AWS re:Invent2014レポートシリーズ「IAM Best Practices」についてお伝えします。
このセッションでのポイント
セッション内で特に強く再三言われていた内容はこちらです
- rootは使わない(rootはコントロールが一切できないため)
- AWSアカウント間であってもサードパーティのツールを使う場合でもCredentialは共有せず、Roleを使う
- パスワードとアクセスキーはローテーションすることを推奨する
- 11個のポイントリストはこちら
その他細かい機能や気をつけること
- Userは最低限の権限のみを設定し、すべてGroupで管理する
- AWS上の操作権限を設定するPermissionと接続元IP制限ができたりMFAを設定することができるConditionを組み合わせて設計する
- ガチガチに固めると運用上使いにくくなるため、バランスを調整する
- CloudTrailを活用することで誰がいつどの操作をしたかManagement Console上で確認できる
- パスワードの有効期限設定やポリシーはManagement Consoleからチェックボックスで設定可能
- アクセスキーをローテーションする場合は古いアクセスキーの削除手順を慎重に行うこと
- アプリケーションでアクセスキーを利用している場合、新しいアクセスキーを割り当てた後すべてが変更されていて動作に問題がないか確認できてから古いアクセスキーを削除する
- パスワードやアクセスキーのローテートはCredentialsレポートが出力され、どのくらいの頻度でローテートされているか確認できる
- アカウント間のアクセス共有やサードパーティと連携するときはCredentialを共有せずRoleを使う
- Roleを使用すると一時的に発行されるセキュリティキーを使って認証されアクセスすることができる
IAMの詳細な情報はAmazonの公式Black Belt Techシリーズも併せて見ていただくとわかりやすいかと思います。
感想
re:Inventではセキュリティ周りのサービスが数多くリリースされましたが、証跡を追うとか鍵の管理をどうする以前に最低限守ることができるIAMの機能を存分に利用し高セキュリティを担保することが大事だと思います。
こういった最適な運用方法を弊社からもっと発信していきます!