データ境界を使用してアクセス許可のガードレールを確立する - AWS Identity and Access Management
データ境界コントロールID 境界リソース境界ネットワーク境界データ境界について詳しく学ぶためのリソース

データ境界を使用してアクセス許可のガードレールを確立する

データ境界ガードレールは、さまざまな AWS アカウントやリソースでデータを保護するための、常時オンの境界として機能します。データ境界は、IAM セキュリティのベストプラクティスに従い、複数のアカウントにまたがるアクセス許可ガードレールを確立します。このような組織全体のアクセス許可ガードレールは、既存のきめ細かいアクセスコントロールに取って代わるものではありません。その代わり、ユーザー、ロール、リソースが定義された一連のセキュリティ標準に準拠するようにすることで、セキュリティ戦略の改善に役立つ、粗粒度のアクセスコントロールの役割を果たします。

データ境界は、信頼できる ID だけが想定されるネットワークから信頼できるリソースにアクセスできるようにするための、AWS 環境内のアクセス許可ガードレールのセットです。

  • 信頼できる ID: AWS アカウントのプリンシパル (IAM ロールまたはユーザー)、およびユーザーに代わって動作する AWS サービス。

  • 信頼できるリソース: AWS アカウントまたはユーザーに代わって動作する AWS サービスが所有するリソース。

  • 想定されるネットワーク: オンプレミスデータセンターおよび仮想プライベートクラウド (VPC)、またはユーザーに代わって動作する AWS サービスのネットワーク。

注記

場合によっては、信頼できるビジネスパートナーによるアクセスも含めるために、データ境界の拡張が必要になることがあります。会社および AWS のサービス の使用に固有の信頼できる ID、信頼できるリソース、想定されるネットワークの定義を作成する際には、想定されるすべてのデータアクセスパターンを考慮する必要があります。

データ境界コントロールは、情報セキュリティおよびリスク管理プログラムにおける他のセキュリティコントロールと同様に扱う必要があります。つまり、脅威分析を行ってクラウド環境内の潜在的なリスクを特定し、独自のリスク許容基準に基づいて、適切なデータ境界コントロールを選択して実装する必要があります。データ境界を実装するための反復的なリスクベースのアプローチをより効果的に理解するには、データ境界コントロールによって対処されるセキュリティリスクおよび脅威ベクトルと、セキュリティの優先事項を理解する必要があります。

データ境界コントロール

データ境界の粗粒度のコントロールでは、ポリシータイプおよび条件キーのさまざまな組み合わせを実装することで、3 つのデータ境界で 6 つの異なるセキュリティ目標を達成できます。

境界 コントロールの目的 使用 適用対象 グローバル条件コンテキストキー

アイデンティティ

信頼できる ID のみがリソースにアクセスできる

RCP

リソース

aws:PrincipalOrgID

aws:PrincipalOrgPaths

aws:PrincipalAccount

aws:PrincipalIsAwsService

aws:SourceOrgID

aws:SourceOrgPath

aws:SourceAccount

信頼できる ID のみがネットワークから許可される

VPC エンドポイントポリシー

ネットワーク

リソース

ID は信頼できるリソースにのみアクセスできる

SCP

ID

aws:ResourceOrgID

aws:ResourceOrgPaths

aws:ResourceAccount

信頼できるリソースのみにネットワークからアクセスできる

VPC エンドポイントポリシー

ネットワーク

ネットワーク

ID は想定されるネットワークからのみリソースにアクセスできる

SCP

ID

aws:SourceIp

aws:SourceVpc

aws:SourceVpce

aws:ViaAWSService

aws:PrincipalIsAwsService

リソースには想定されるネットワークからのみアクセスできる

RCP

リソース

データ境界は、意図しないアクセスパターンを防ぐためにデータの周囲に強固な境界を作ることと考えることができます。データ境界は広範囲にわたる意図しないアクセスを防ぐことができますが、それでもきめ細かなアクセスコントロールに関する決定を行う必要があります。データ境界を設定しても、最小特権の実現に向けた取り組みの一環として IAM Access Analyzer などのツールを使用してアクセス許可を継続的に微調整する必要性が軽減されることはありません。

現在 RCP によってサポートされていないリソースに対してデータ境界コントロールを強制適用するには、リソースに直接アタッチされているリソースベースのポリシーを使用できます。RCP とリソースベースのポリシーをサポートするサービスのリストについては、「Resource control policies (RCPs)」および「IAM と連携する AWS のサービス」を参照してください。

ID 境界

ID 境界は、信頼できる ID だけがリソースにアクセスでき、信頼できる ID だけがネットワークから許可されるようにするための、粗粒度の予防的アクセスコントロールのセットです。信頼できる ID には、AWS アカウントのプリンシパル (ロールまたはユーザー)、およびユーザーに代わって動作する AWS サービスが含まれます。それ以外のすべての ID は信頼できないと見なされ、明示的な例外が付与されない限り ID 境界によって阻止されます。

以下のグローバル条件キーは ID 境界コントロールの適用に役立ちます。これらのキーをリソースコントロールポリシーで使用してリソースへのアクセスを制限したり、VPC エンドポイントポリシーでネットワークへのアクセスを制限したりします。

  • aws:PrincipalOrgID — この条件キーを使用して、リクエストを行う IAM プリンシパルが AWS Organizations の指定された組織に属していることを確認できます。

  • aws:PrincipalOrgPaths — この条件キーを使用して、リクエストを行う IAM ユーザー、IAM ロール、フェデレーションユーザー、または AWS アカウントのルートユーザーが、AWS Organizations で指定された組織単位 (OU) に属していることを確認できます。

  • aws:PrincipalAccount — この条件キーを使用して、ポリシーで指定したプリンシパルアカウントだけがリソースにアクセスできることを確認できます。

  • aws:PrincipalIsAWSService および aws:SourceOrgID (または aws:SourceOrgPaths および aws:SourceAccount) — これらの条件キーを使用すると、AWS のサービスプリンシパルがリソースにアクセスするときに、指定された組織、組織単位、または AWS Organizations のアカウントのリソースに代わってのみアクセスすることを確認できます。

詳細については、「Establishing a data perimeter on AWS: Allow only trusted identities to access company data」を参照してください。

リソース境界

リソース境界は、ID が信頼できるリソースにのみアクセスし、信頼できるリソースにのみネットワークからアクセスできるようにするための、粗粒度の予防的アクセスコントロールのセットです。信頼できるリソースには、AWS アカウントまたはユーザーに代わって動作する AWS サービスが所有するリソースが含まれます。

以下のグローバル条件キーは、リソース境界コントロールの適用に役立ちます。サービスコントロールポリシーでこれらのキーを使用して、ID がアクセスできるリソースを制限したり、VPC エンドポイントポリシーでネットワークからアクセスできるリソースを制限したりします。

  • aws:ResourceOrgID — この条件キーを使用して、アクセスされているリソースが、AWS Organizations で指定された組織に属していることを確認できます。

  • aws:ResourceOrgPaths — この条件キーを使用して、アクセスされているリソースが、AWS Organizations で指定された組織単位 (OU) に属していることを確認できます。

  • aws:ResourceAccount — この条件キーを使用して、アクセスされているリソースが、AWS Organizations で指定されたアカウントに属していることを確認できます。

場合によっては、AWS 所有リソース (組織に属さず、プリンシパルまたはユーザーに代わって動作する AWS サービスがアクセスするリソース) へのアクセスの許可が必要になることがあります。これらのシナリオの詳細については、「Establishing a data perimeter on AWS: Allow only trusted resources from my organization」を参照してください。

ネットワーク境界

ネットワーク境界とは、ID が想定されるネットワークからのリソースにのみアクセスし、リソースには想定されるネットワークからのみアクセスできるようにするための、粗粒度の予防的アクセスコントロールのセットです。想定されるネットワークには、オンプレミスデータセンター、仮想プライベートクラウド (VPC)、およびユーザーに代わって動作する AWS サービスのネットワークが含まれます。

以下のグローバル条件キーは、ネットワーク境界コントロールの適用に役立ちます。これらのキーをサービスコントロールポリシーで使用して ID の通信元となるネットワークを制限したり、リソースコントロールポリシー (RCP) でリソースアクセスを想定されるネットワークに制限したりします。

  • aws:SourceIp — この条件キーを使用して、リクエスト元の IP アドレスが指定の IP 範囲内にあることを確認できます。

  • aws:SourceVpc — この条件キーを使用して、リクエストが通過する VPC エンドポイントが指定の VPC に属していることを確認できます。

  • aws:SourceVpce — この条件キーを使用して、リクエストが指定された VPC エンドポイントを通過することを確認できます。

  • aws:ViaAWSService — この条件キーを使用すると、AWS のサービスが転送アクセスセッション (FAS) を使用するプリンシパルに代わってリクエストを送信できることを確認できます。

  • aws:PrincipalIsAWSService — この条件キーを使用して、AWS のサービスが AWS サービスプリンシパルを使用してリソースにアクセスできることを確認できます。

ネットワークの外部からリソースにアクセスする AWS のサービスへのアクセスを許可する必要があるシナリオは他にもあります。詳細については、「Establishing a data perimeter on AWS: Allow access to company data only from expected networks」を参照してください。

データ境界について詳しく学ぶためのリソース

次のリソースは、AWS 全体のデータ境界について詳しく学ぶのに役立ちます。

  • Data perimeters on AWS — データ境界およびその利点と使用例について説明します。

  • Blog Post Series: Establishing a Data Perimeter on AWS — これらのブログ記事では、セキュリティや実装に関する重要な考慮事項など、データ境界を大規模に確立するための規範的なガイダンスを取り上げています。

  • Data perimeter policy examples — この GitHub リポジトリには、AWS でデータ境界を実装するのに役立つ、いくつかの一般的なパターンをカバーするポリシー例が含まれています。

  • Data perimeter helper — このツールは、AWS CloudTrail ログ内のアクセスアクティビティを分析することで、データ境界コントロールの設計と影響の予測に役立ちます。

  • Whitepaper: Building a Data Perimeter on AWS — このドキュメントでは、AWS の ID、リソース、ネットワークの周囲に境界を構築するためのベストプラクティスおよび利用可能なサービスについて説明しています。

  • Webinar: Building a data perimeter in AWS — さまざまなリスクシナリオに基づいてデータ境界コントロールを適用する場所と方法を説明します。