IAM 最小限の特権について

1月 2, 20212月 8, 2021AWS,IAM_Policy関連

Contents

IAM のベストプラクティス

先ず、IAM（Identity and Access Management）について復習します。IAMは、AWS のサービスやリソースへのアクセスを管理するための仕組みです。IAM の主要な機能はIAMユーザー, IAMロールです。IAMユーザーはマネージメントコンソールにログインしてリソースを管理するために必要です。IAMロールは、EC2, Lambdaのようなリソースにロールを割り当て、他のサービスにアクセスするための権限を付与することができます。

IAMユーザー, IAMロールに権限を付与する場合、ベストプラクティスに従うと、最小限のアクセス権限から開始し、必要に応じて追加のアクセス権限を付与する方法が適切です。
先ず、IAMユーザー, IAMロールのどちらにおいても、ユーザー, ロールが何をする必要があるかタスクを決定します。次に、それらタスクのみを許可するための、アクションとリソースに絞った権限のポリシーを作成します。この最小限のアクセス権限で作成したポリシーを、IAMユーザー, IAMロールに割り当てます。
実際に使用しているIAM ユーザーやロールが最小限のアクセス権限かを評価することは簡単ではありません。この様な場合は、次に示すアクセスアドバイザーが役に立ちます。

アクセスアドバイザーを使用して、IAM ユーザー、グループ、ロール、ポリシーの不要なアクセス許可を調査することができます。アクセスアドバイザーよって、各サービスの最終アクセス時間が把握できます。この情報を元に、最小権限となるようにポリシーを調整します。

IAMユーザー, IAMロールにAWSの管理ポリシーを割り当てる場合、AdministratorAccess、PowerUserAccessなど権限が強いポリシーは、確実に必要なユーザー, ロールにのみ使用します。もし、AdministratorAccess、PowerUserAccessなど権限が強いポリシーを使用したロールを割り当てたEC2 へ不正アクセスがあった場合に、AWSアカウント内の重要なデータへの不正アクセスやAWSリソースの不正利用などの被害に及ぶ可能性があります。

IAMユーザー, IAMロールにAWSの管理ポリシーを割り当てる場合はReadOnlyAccessを割り当てるか、あるいはデータの読み取りすら不要であればViewOnlyAccessを割り当てます。IAMユーザーが本番環境の運用で、データを直接参照する必要がなければ、ReadOnlyAccessすら不要になります。
- FullAccess > ReadOnlyAccess > ViewOnlyAccess
IAMロールにはFullAccessではなくReadOnlyAccessのポリシーの使用が望ましいですが、運用上、FullAccessのポリシーが必要な場合は、ロールを割り当てたEC2などのリソースを Internet から直接アクセスできないサブネットに配置、あるいはセキュリティグループでInternet のAnyからアクセスできないようにアクセス制限するなどネットワーク構成の考慮が必要です。また、脆弱性を狙った不正アクセスを防ぐため、定期的なセキュリティパッチの適用も必要です。
上記の様にEC2にFullAccessなど権限が強いロールが割り当たっている場合は、通常よりセキュリティ意識を高める必要がある点に注意ください。