SEC02-BP05 定期的に認証情報を監査およびローテーションする

認証情報の使用を監査しない。

必要がないのに長期的認証情報を使用する。

長期的認証情報を使用しているが、定期的にローテーションしない。

認証情報を定期的に監査する: ID プロバイダーと IAM で設定されている ID を監査することで、認証された ID のみがワークロードにアクセスできるようになります。これらの ID は、IAM ユーザー、AWS IAM アイデンティティセンターユーザー、Active Directory ユーザー、またはさまざまなアップストリーム ID プロバイダーのユーザーを含みますが、これらに限定されるものではありません。例えば、組織を離れた人を削除したり、不要になったクロスアカウントのロールを削除したりします。IAM エンティティがアクセスするサービスへのアクセス許可を定期的に監査するプロセスを用意します。これにより、未使用のアクセス許可を削除するために変更する必要があるポリシーを特定できます。認証情報レポートと AWS Identity and Access Management Access Analyzer を使用して、IAM 認証情報とアクセス許可を監査します。Amazon CloudWatch を使用して、AWS 環境内で呼び出される特定の API コールのアラームを設定できます。Amazon GuardDuty は、IAM 認証情報へのアクセスが過度に許可されているか、意図しないアクセスを示している可能性のある、予期しないアクティビティを警告することもできます。

認証情報を定期的にローテーションする: 一時的な認証情報を使用できない場合は、IAM アクセスキーを定期的に (最大 90 日ごとに) ローテーションします。知らない間にアクセスキーが開示された場合でも、ローテーションを行うことで、該当する認証情報を使用してリソースにアクセスされる期間を制限できます。アクセスキーのローテーションの詳細については、IAM ユーザーの「アクセスキーのローテーション」を参照してください。

IAM アクセス許可を確認する: AWS アカウントのセキュリティを改善するには、各 IAM ポリシーを定期的に確認してモニタリングします。ポリシーが最小特権の原則に従っていることを確認します。

IAM リソースの作成と更新の自動化を検討する: IAM アイデンティティセンターは、ロールやポリシーの管理など、多くの IAM タスクを自動化します。または、AWS CloudFormation を使用することで、テンプレートを検証してバージョンを管理できるため、ロールやポリシーを含む IAM リソースのデプロイを自動化して、人為的ミスが生じる可能性を軽減できます。

IAM Roles Anywhere を使用してマシン ID の IAM ユーザーを置き換える: IAM Roles Anywhere を使用すると、オンプレミスサーバーなど、従来は使用できなかった領域でロールを使用できます。IAM Roles Anywhere は、信頼された X.509 証明書を使用して AWS を認証し、一時的な認証情報を受け取ります。IAM Roles Anywhere を使用することで、長期的認証情報がオンプレミス環境に保存されなくなるため、これらの認証情報をローテーションする必要がなくなります。X.509 証明書の有効期限が近づいたら、モニタリングとローテーションが必要となることに注意してください。

SEC02-BP02 一時的な認証情報を使用する

SEC02-BP03 シークレットを安全に保存して使用する

AWS Secrets Manager の開始方法

IAM ベストプラクティス

ID プロバイダーとフェデレーション

セキュリティパートナーソリューション: アクセスおよびアクセスコントロール

一時的な認証情報

AWS アカウントの認証情報レポートの取得

シークレットを大規模に管理、取得、変更するためのベストプラクティス

Managing user permissions at scale with AWS IAM Identity Center

すべての層での ID の把握

Well-Architected ラボ - IAM ユーザーの自動クリーンアップ

Well-Architected ラボ - IAM グループとロールの自動デプロイ