SEC03-BP02 最小特権のアクセスを付与する

デフォルトで、ユーザーに管理者のアクセス許可を付与する。

通常のアクティビティには、ルートユーザーアカウントを使用する。

適切な範囲を指定せずに、過度に許容されたポリシーを作成する。

アクセス許可のレビューは頻繁に行われないため、アクセス許可のクリープが発生する。

環境の分離やアクセス許可の管理には、属性ベースのアクセスコントロールのみに依存している。

最小特権ポリシーを実装する: IAM グループおよびロールに最小特権のアクセスポリシーを割り当てて、定義したユーザーのロールまたは機能を反映させます。

別個の AWS アカウント を使用して開発環境と本番環境を分離する: 開発環境と本番環境には別個の AWS アカウント を使用し、サービスコントロールポリシー 、リソースポリシー、アイデンティティポリシーを使用して、開発環境と本番環境間のアクセスを制御します。

API の使用状況に基づくポリシー: 必要なアクセス許可を決定する 1 つの方法は、AWS CloudTrail ログを確認することです。このレビューを使用して、ユーザーが AWS 内で実際に実行するアクションに合わせて、カスタマイズしたアクセス許可を作成できます。IAM Access Analyzer は、アクセスアクティビティに基づいて IAM ポリシーを自動生成できます。組織またはアカウントレベルで IAM Access Advisor を使用し、特定のポリシーの最終アクセス情報を追跡できます。

ジョブ機能に AWS マネージドポリシーの使用を検討する: きめ細かいアクセス許可ポリシーの作成を開始する場合は、請求、データベース管理者、データサイエンティストなどの一般的なジョブのロールに AWS マネージドポリシーを使用することを推奨します。これらのポリシーは、最小特権ポリシーの実装方法を決定する際に、ユーザーの持つアクセスを絞り込むことができます。

不要なアクセス許可を削除する: 未使用の IAM エンティティ、認証情報、アクセス許可を検出して削除し、最小特権の原則を実現します。IAM Access Analyzer を使用すると、外部アクセスと未使用のアクセスを識別でき、IAM Access Analyzer ポリシーの生成によって、アクセス許可ポリシーのファインチューニングを行いやすくなります。

ユーザーの本番環境へのアクセスが制限されていることを確認する: ユーザーは、有効なユースケースを持つ本番環境にのみアクセスする必要があります。ユーザーが本番環境へのアクセスが必要な特定のタスクを実行した後で、アクセス許可を取り消す必要があります。本番環境へのアクセスを制限することは、本番に影響する想定外のイベントを回避するのに役立ち、意図しないアクセスの影響範囲を狭めます。

アクセス許可の境界を考慮する: アクセス許可の境界は、アイデンティティベースのポリシーが IAM エンティティに付与できるアクセス許可の上限を設定する、マネージドポリシーを使用するための機能です。エンティティのアクセス許可の境界により、エンティティは、アイデンティティベースのポリシーとそのアクセス許可の境界の両方で許可されているアクションのみを実行できます。

属性ベースのアクセス制御とリソースタグを使用したアクセスの絞り込み サポートされている場合、リソースタグを使用した属性ベースのアクセス制御 (ABAC) を使用して、アクセス許可を絞り込むことができます。ABAC モデルを使用して、プリンシパルタグとリソースタグを比較し、定義したカスタムディメンションに基づいてアクセスを絞り込むことができます。このアプローチにより、組織内のアクセス許可ポリシーを簡素化および削減できます。

AWS Organizations のサービスコントロールポリシーを使用する: サービスコントロールポリシーは、組織のメンバーアカウントで利用できる最大のアクセス許可を一元管理します。重要なのは、サービスコントロールポリシーを使用すると、メンバーアカウントでルートユーザーのアクセス許可を制限できることです。AWS Organizations を強化する規範的マネージドコントロールを提供する、AWS Control Tower の使用も検討してください。Control Tower 内で独自のコントロールを定義することもできます。

組織のユーザーライフサイクルポリシーを確立する: ユーザーライフサイクルポリシーは、ユーザーが AWS にオンボーディングされたとき、ジョブロールまたはスコープを変更したとき、または AWS へのアクセスが不要になったときに実行するタスクを定義します。ユーザーのライフサイクルの各段階でアクセス許可のレビューを行い、アクセス許可が適切に制限されていることを検証して、アクセス許可のクリープを回避する必要があります。

アクセス許可を見直して不要なアクセス許可を削除する: ユーザーアクセスを定期的に見直して、ユーザーに過剰なアクセス許可がないことを確認する必要があります。AWS Config および IAM Access Analyzer は、ユーザーのアクセス許可を監査する際に役立ちます。

ジョブロールマトリックスを確立する: ジョブロールマトリックスは、AWS フットプリント内に必要なさまざまなロールとアクセスレベルを視覚化します。ジョブロールマトリックスにより、組織内でのユーザーの責任に基づいてアクセス許可を定義し、分離できます。個々のユーザーまたはロールにアクセス許可を直接適用するのではなく、グループを使用します。

最小特権を認める

IAM エンティティのアクセス許可の境界

最小特権の IAM ポリシーを作成するテクニック

IAM Access Analyzer は、アクセスアクティビティに基づいて IAM ポリシーを生成することにより、最小特権のアクセス許可の実装を容易にする

Delegate permission management to developers by using IAM permissions boundaries

最終アクセス時間情報を使用したアクセス許可の調整

IAM policy types and when to use them

IAM ポリシーシミュレーターを使用した IAM ポリシーのテスト

AWS Control Tower のガードレール

ゼロトラストアーキテクチャ: AWS の視点

CloudFormation StackSets を使用して最小特権の原則を実装する方法

属性ベースのアクセス制御 (ABAC)

ユーザーアクティビティを表示してポリシー範囲を狭める

ロールのアクセスの表示

Use Tagging to Organize Your Environment and Drive Accountability

AWS タグ付け戦略

AWS リソースのタグ付け

次世代のアクセス許可管理

ゼロトラスト: AWS の視点

ラボ: IAM permissions boundaries delegating role creation

ラボ: IAM tag based access control for EC2