SEC02-BP01 強力なサインインメカニズムを使用する

サインイン (サインイン認証情報を使用した認証) は、多要素認証 (MFA) などのメカニズムを使用しない場合、特にサインイン認証情報が誤って開示されたり推測されやすい状況では、リスクをもたらす可能性があります。強力なサインインメカニズムを使用して、 MFAおよび強力なパスワードポリシーを要求することで、これらのリスクを軽減します。

望ましい結果： AWS Identity and Access Management （IAM）ユーザー AWS 、AWS アカウントルートユーザー、 AWS IAM Identity Center ( AWS シングルサインオンの後継）、およびサードパーティー ID プロバイダーに強力なサインインメカニズムを使用することで、の認証情報への意図しないアクセスのリスクを減らします。つまりMFA、を要求し、強力なパスワードポリシーを適用し、異常なログイン動作を検出します。

一般的なアンチパターン:

複雑なパスワードやなど、ID に強力なパスワードポリシーを適用しないMFA。
複数のユーザー間で同一の認証情報を共有する。
疑わしいサインインに対して検出コントロールを使用しない。

このベストプラクティスを活用しない場合のリスクレベル: 高

実装のガイダンス

人的 ID が AWSにサインインする方法は多数あります。を認証するときは、フェデレーション (直接フェデレーションまたはを使用 AWS IAM Identity Center) を使用して、一元化された ID プロバイダーに依存することが AWS ベストプラクティスです AWS。この場合、ID プロバイダーまたは Microsoft Active Directory を使って、セキュアなサインインプロセスを確立する必要があります。

を初めて開くときは AWS アカウント、 AWS アカウントルートユーザーから始めます。アカウントのルートユーザーは、ユーザー (およびルートユーザーを必要とするタスク) のアクセスを設定するときのみに使用することを推奨します。を開いた直後にアカウントルートユーザーMFAをオンに AWS アカウントし、 AWS ベストプラクティスガイドを使用してルートユーザーを保護することが重要です。

でユーザーを作成する場合は AWS IAM Identity Center、そのサービスでサインインプロセスを保護します。コンシューマーアイデンティティについては、Amazon Cognito ユーザープールを使用して、そのサービスで、または Amazon Cognito ユーザープールユーザープールがサポートする ID プロバイダーの 1 つを使ってサインインプロセスをセキュリティ保護します。

AWS Identity and Access Management （IAM）ユーザーを使用している場合は、を使用してサインインプロセスを保護しますIAM。

サインイン方法に関係なく、強力なサインインポリシーを適用することが不可欠です。

実装手順

一般的な強力なサインインに関する推奨事項は次のとおりです。設定する実際の設定は、会社のポリシーによって設定するか、NIST800～63 などの標準を使用する必要があります。

が必要ですMFA。これは、人間のアイデンティティとワークロードに IAM を要求するベストプラクティスMFAです。をオンにすると、ユーザーがサインイン認証情報とワンタイムパスワード (OTP）、またはハードウェアデバイスから暗号化して検証および生成された文字列を提供する必要がある追加のセキュリティレイヤーMFAが提供されます。
最小パスワード文字数を適用します。これは、パスワードの強さにおける主な要素です。
パスワードの複雑性を適用すると、パスワードを推測しにくくなります。
自分のパスワードの変更をユーザーに許可します。
共有認証情報ではなく、個別の ID を作成します。個別の ID を作成することで、各ユーザーに固有のセキュリティ認証情報を付与することができます。個別のユーザーを作成することで、各ユーザーのアクティビティを監査する機能が利用できます。

IAM Identity Center の推奨事項：

IAM Identity Center は、パスワードの長さ、複雑さ、再利用要件を確立するデフォルトのディレクトリを使用する場合に、事前定義されたパスワードポリシーを提供します。
ID ソースがデフォルトディレクトリ、または AD Connector である場合、のコンテキスト対応設定または常時オン設定を有効にMFAして設定します。 MFA AWS Managed Microsoft AD
ユーザーに自分のMFAデバイスの登録を許可します。

Amazon Cognito ユーザープールディレクトリのレコメンデーション:

パスワードの強さ設定を行います。
ユーザーにはが必要ですMFA。
疑わしいサインインをブロックできる適応型認証などの機能に対して、Amazon Cognito ユーザープール上級セキュリティ設定を使用します。

IAM ユーザーレコメンデーション：

Identity IAM Center または直接フェデレーションを使用するのが理想的です。ただし、IAMユーザーが必要な場合があります。この場合、IAMユーザーのパスワードポリシーを設定します。パスワードポリシーを使用して、最小文字数、またはアルファベット以外の文字が必要かどうかなどの要件を定義できます。
ユーザーが独自のパスワードとMFAデバイスを管理できるようにMFA、サインインを強制するIAMポリシーを作成します。

リソース

関連するベストプラクティス:

関連ドキュメント:

関連動画:

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

SEC 2. 人とマシンの認証の管理はどのようにすればよいですか?

SEC02-BP02 一時的な認証情報を使用する