Resource Groups のセキュリティのベストプラクティス

最小限の特権アクセスの原則を使用して、グループにアクセス権を付与します。Resource Groups は、リソースレベルのアクセス許可をサポートします。特定のユーザーに必要な場合にのみ、特定のグループへのアクセス権を付与します。すべてのユーザーまたはすべてのグループにアクセス許可を割り当てるポリシーステートメントでは、アスタリスクを使用しないでください。最小限の特権の詳細については、「IAM ユーザーガイド」の「最小特権を付与する」を参照してください。

個人情報をパブリックフィールドに公開しないでください。グループの名前はサービスメタデータとして扱われます。グループ名は暗号化されません。グループ名に機密情報を含めないでください。グループの説明は非公開です。

プライベート情報や機密情報をタグキーやタグ値に入れないでください。

適切な場合にはいつでもタグに基づいた承認を使用してください。Resource Groups は、タグに基づいた承認をサポートします。グループにタグを付けて、IAM ユーザー、IAM ロールなどのプリンシパルにアタッチされているポリシーを更新することで、グループに適用されるタグに基づいてアクセスレベルを設定できます。タグに基づいた承認の使用方法の詳細については、「IAM ユーザーガイド」の「リソースタグを使用した AWS リソースへのアクセスの制御」を参照してください。

多くの AWS サービスは、リソースのタグに基づいた承認をサポートします。タグに基づいた承認は、グループ内のメンバーリソースに対して設定される可能性があることに注意してください。グループのリソースへのアクセスがタグによって制限されている場合、承認されていないユーザーまたはグループはそれらのリソースに対してアクションや自動化を実行できないことがあります。例えば、いずれかのグループの Amazon EC2 インスタンスがタグキー Confidentiality とタグ値 High でタグ付けされているとします。ここで、Confidentiality:High とタグ付けされたリソースに対してコマンドを実行する権限がない場合、リソースグループ内の他のリソースに対してアクションが成功した場合でも、EC2 インスタンスで実行するアクションまたは自動化は失敗します。リソースに対してタグに基づいた承認をサポートするサービスの詳細については、IAM ユーザーガイドの IAM と連携する AWS サービスを参照してください。

AWS リソースのタグ付け戦略を開発する方法の詳細については、「AWS タグ付け戦略」を参照してください。