AWS アカウントへの一時的な昇格アクセス - AWS IAM Identity Center

AWS アカウントへの一時的な昇格アクセス

AWS アカウント へのアクセスはすべて、ある程度の特権を伴うものです。本番環境など高価値のリソースの構成変更等、機密性の高い操作には、影響のおよぶ範囲や度合いを考慮して、特別な対応が必要になります。一時的な昇格アクセス (ジャストインタイムアクセスとも呼ばれる) は、特定のタスクを指定された期間に実行するための権限を要求、承認、および追跡する方法です。一時的な昇格アクセスは、権限セットや多要素認証など、他の形式のアクセス制御を補完します。

AWS IAM Identity Center は、さまざまなビジネス環境や技術環境における一時的な昇格アクセス管理向けに以下のオプションを提供します。

  • ベンダーが管理しサポートするソリューション — AWS は、厳選されたパートナーベンダーが提供する IAM Identity Center の統合を検証し、「共通の顧客要件」に照らしてその能力を評価しています。シナリオに最も合ったソリューションを選択し、プロバイダーのガイダンスに従って IAM Identity Center の機能を有効にしてください。

  • セルフマネージドおよびセルフサポート — このオプションは、AWS への一時的な昇格アクセスのみに関心があり、かつ自らその機能を導入、調整、維持する能力を持つお客様向けのアクセス構築の開始点となるオプションです。詳細については、「一時的な昇格アクセス管理 (TEAM)」を参照してください。

AWSセキュリティパートナーが一時的な昇格アクセスを認証

AWSセキュリティパートナーは、「一般的な一時的な権限昇格要件」に対処するために、さまざまなアプローチを採用しています。各パートナーソリューションを詳しく検討したうえで、事業内容、クラウド環境のアーキテクチャ、予算など、お客様のニーズや優先事項に最も適したソリューションをお選びください。

注記

ディザスタリカバリのため、AWS Management Consoleへの緊急アクセスを設定しておくことをお勧めします。

AWS Identity は、AWS セキュリティパートナーが提供する以下のジャストインタイムサービスの機能と IAM Identity Center との統合を検証済みです。

  • CyberArk Secure Cloud Access – CyberArk Identity Security Platform の一部であるこのサービスは、AWS およびマルチクラウド環境へのオンデマンドの昇格アクセスをプロビジョニングします。承認は ITSM ツールまたは ChatOps ツールとの統合によって処理されます。すべてのセッションを記録して、監査とコンプライアンスを確保できます。

  • Tenable (previously Ermetic) — Tenable プラットフォームには、AWS およびマルチクラウド環境における管理操作のためのジャストインタイムの特権アクセスのプロビジョニングが含まれています。AWS CloudTrail アクセスログを含むすべてのクラウド環境のセッションログを単一のインターフェースで分析と監査に使用できます。この機能は、Slack や Microsoft Teams などのエンタープライズツールや開発者ツールと統合できます。

  • Okta アクセスリクエスト — Okta ID ガバナンスの一部であり、IAM Identity Center の外部 ID プロバイダー (IdP) と IAM Identity Center の権限セットとして Okta を使用して、ジャストインタイムのアクセスリクエストワークフローを設定することができます。

このリストは、AWS が追加のパートナーソリューションの機能を検証し、それらのソリューションを IAM Identity Center と統合するたびに更新されます。

注記

リソースベースのポリシー、Amazon Elastic Kubernetes Service (Amazon EKS)、または AWS Key Management Service (AWS KMS) を使用している場合は、ジャストインタイムソリューションを選択する前に、「リソースポリシー、Amazon EKS クラスター構成マップ、および AWS KMS キーポリシーでの権限セットを参照する」を参照してください。

AWS パートナー検証のため、一時的にアクセス権限の昇格が評価されます。

AWS Identity は、CyberArk Secure Cloud AccessTenable および「Okta アクセスリクエスト」によって提供される一時的な昇格アクセス機能が、次のような一般的な顧客要件に対応していることを検証しました。

  • ユーザーは、AWS アカウント、権限セット、期間、および理由を指定して、ユーザー指定の期間に限定した権限セットへのアクセスをリクエストできます。

  • ユーザーはリクエストの承認ステータスを受け取ることができます。

  • 一致するスコープの承認済みリクエストがあり、かつ承認された期間中にそのセッションを呼び出す場合を除いて、ユーザーは特定のスコープのセッションを呼び出すことはできません。

  • リクエストを承認できるユーザーを指定する方法があります。

  • 承認者は自分の要求を承認することはできません。

  • 承認者は、承認待ち、承認済み、および却下済みのリクエストのリストを保有しており、これらのリクエストを監査人にエクスポートできます。

  • 承認者は承認待ちのリクエストを承認および却下できます。

  • 承認者は決定理由を説明するメモを追加できます。

  • 承認者は、承認済みのリクエストを取り消すことで、今後昇格されたアクセス権が使用されないようにすることができます。

    注記

    承認済みリクエストが取り消された場合、もし昇格されたアクセス権でサインインしているユーザーがいれば、承認取り消しより最大 1 時間はそのセッションはアクティブな状態に維持されます。認証セッションの情報については、「IAM Identity Center を使用した認証」を参照してください。

  • ユーザーアクションと承認は監査可能です。