Organizations環境のユーザーアクセスについて考える

Transcript

1. O rg a n iz a t ion s環境の ユーザ

   ーア クセスに つ いて考える 木 村 情 報 技 術 株 式 会 社 中 原 加 寸 美

2. 中原 加寸美 - Kasumi Nakahara - 所属 木村情報技術株式会社 出身 佐賀県

   好きなAWSサービス Security Hub 趣味 着物 着物でJAWS-UGイベントに出没します 2

3. Organizations環境のユーザーアクセス どう制御していますか？ 3

4. 本日のアジェンダ • Organizations環境の例 • IAM Identity Centerとは • ガードレールについて •

   ロールごとの権限 • 環境ごとの権限 • 私の結論 4

5. Project OU Project1 OU Security OU Organizationｓ環境の例 例えばこんな感じ Payer Audit

   Logs Sandbox OU Sandbox １ Sandbox 2 Project 1-Dev Project 1-Prod Project2 OU Project 2-Dev Project 2-Prod 5

6. Project OU Project1 OU Security OU Organizationｓ環境の例 例えばこんな感じ Payer Audit

   Logs Sandbox OU Sandbox １ Sandbox 2 Project 1-Dev Project 1-Prod Project2 OU Project 2-Dev Project 2-Prod あくまで一例です 組織ごとに様々な形があるでしょう 6

7. Project OU Project1 OU Security OU Organizationｓ環境の例 Payer Audit Logs

   Sandbox OU Sandbox １ Sandbox 2 Project 1-Dev Project 1-Prod Project2 OU Project 2-Dev Project 2-Prod 7

8. IAM Ide nt i t y Ce nt e r

   と は

9. IAM Identity Center AWS の マ ル チ ア カ

   ウ ン ト 環 境 で 、 複 数 の AWS ア カ ウ ン ト 及 び ア プ リ ケ ー シ ョ ン に 対 す る ユ ー ザ ー の ア ク セ ス 権 を 管 理 す る サービス AWSアカウントへユーザー・ユーザーグループごとに権限セット を割り当てることができる 2022 年 7 月 に AWS Single Sign-On （ Ｓ Ｓ Ｏ ） か ら AWS IAM Identity Center へ名称変更された 10

10. IAM Identity Center 2025 年 4 月 現 在 、

    AWS サ ー ビ ス ・ AWS リ ソ ー ス へ の ヒ ュ ー マ ン ユ ー ザ ー ア ク セ ス を 管理する場合に推奨されている IAMユーザー作成画面 11

11. AWSアカウントへのログイン方法 IAMユーザー • AWSアカウント内のユーザー • マ ネ ジ メ ン

    ト コ ン ソ ー ル へ ア ク セ ス す る た め の 、 独 自 の パ ス ワ ー ド を 割り当てられる • AWS リ ソ ー ス に 対 す る 長 期 的 な 認証情報を付与できる • アクセスキー、Git認証情報 など IAM Identity Centerのユーザー • AWS ア カ ウ ン ト 組 織 内 、 ま た は 、 ア プ リ ケ ー シ ョ ン で ア ク セ ス を 許 可 されたユーザー • シングルサインオン（SSO）を実現できる • AWS リ ソ ー ス に 対 す る 短 期 的 な 認証情報が付与される 12

12. AWSアカウントへのログイン方法 IAMユーザー • AWSアカウント内のユーザー • マ ネ ジ メ ン

    ト コ ン ソ ー ル へ ア ク セ ス す る た め の 、 独 自 の パ ス ワ ー ド を 割り当てられる • AWS リ ソ ー ス に 対 す る 長 期 的 な 認証情報を付与できる • アクセスキー、Git認証情報 など IAM Identity Centerのユーザー • AWS ア カ ウ ン ト 組 織 内 、 ま た は 、 ア プ リ ケ ー シ ョ ン で ア ク セ ス を 許 可 されたユーザー • シングルサインオン（SSO）を実現できる • AWS リ ソ ー ス に 対 す る 短 期 的 な 認証情報が付与される 13

13. ガードレー ルとは

14. ガードレール AWS環境でセキュリティ統制を実現する重要な要素の１つ 利用者がセキュリティ上で問題のある操作をできないようにする仕組み 基本的な考え方 利用者が手を止めることなく、セキュアに利用できる状態を目指す 15

15. ガードレールを作る観点 16 サービスを守る セキュリティリスク から守る サ ー ビ ス に

    致 命 的 な 影 響 を与えかねない操作を禁止 する セキュリティ的なリスクが ある設定をさせない

16. Organizations環境のユーザーアクセスについて 考えていきましょう 17

17. 権限を作る 18 ロールごとの権限 環境ごとの権限

18. ロールごとの権限

19. 許可セットの作成 • IAM Identity Center を用いたユーザーアクセスの方法 • 許可セットと呼ばれる権限をAWSアカウントへユーザーまたはグループとともに紐づける ガードレールの考え方を使って、許可セットを作成していく 20

20. 許可セットの作成 • IAM Identity Center を用いたユーザーアクセスの方法 • 許可セットと呼ばれる権限をAWSアカウントへユーザーまたはグループとともに紐づける ガードレールの考え方を使って、許可セットを作成していく サービスを守る

    セキュリティリスク から守る 21

21. ロールごとに権限を作る 管理者 開発者 運用者 22

22. 管理者 • AWSアカウントの管理をする • コスト管理を行う • 各リソースの作成は行わないが、どのようなリソースがあるかは確認できるようにする 必要がある 23

23. 管理者 • AWSアカウントの管理をする • 各セキュリティサービスに関する権限 • IAMに関する権限 • CloudTrail、Configなどの管理サービスの権限 •

    コスト管理を行う • Billingの権限 • 各リソースの作成は行わないが、どのようなリソースがあるかは確認できるようにする 必要がある • すべてのリソースのRead権限 24

24. 開発者 • サービスの開発を行う • 新しいAWSサービスがリリースされた際にすぐに利用をしたい要件がある • セキュリティ・ガバナンス系のサービスの変更は許可されていない 25

25. 開発者 • サービスの開発を行う • 開発に必要な各リソースの起動・削除などの権限 • 新しいAWSサービスがリリースされた際にすぐに利用をしたい要件がある • すべてのリソースへの許可を入れた上で、不要な権限を拒否する •

    セキュリティ・ガバナンス系のサービスの変更は許可されていない • 各セキュリティサービスの拒否 • 各ガバナンス系サービスの拒否 26

26. 運用者 • サービスの運用を行う • 日常の運用業務やメンテナンス、障害対応等のために既存リソースの一部の変更権限が 必要 27

27. 運用者 • サービスの運用を行う • CloudWatchなどの監視サービスの権限 • Systems Managerなどの管理サービスの権限 • 日常の運用業務やメンテナンス、障害対応等のために既存リソースの一部の変更権限が

    必要 • 既存リソースの変更権限 • 例） EC2の起動・停止、RDSのバックアップ・起動・停止 など 28

28. ロール(役割)によって権限を設定する 29

29. 環 境 ご と の 権 限

30. Project OU Project1 OU Security OU Payer Audit Logs Sandbox

    OU Sandbox １ Sandbox 2 Project 1-Dev Project 1-Prod Project2 OU Project 2-Dev Project 2-Prod 31

31. 開発者ロールの権限を考える Project OU Project1 OU Security OU Payer Audit Logs

    Sandbox OU Sandbox １ Sandbox 2 Project 1-Dev Project 1-Prod Project2 OU Project 2-Dev Project 2-Prod 32

32. Sandbox環境 • 検証用の環境 • あらゆるサービスの利用ができる必要がある Sandbox OU Sandbox １ Sandbox

    2 33

33. Sandbox環境 • 検証用の環境 • あらゆるサービスの利用ができる必要がある • すべてのサービスの許可 • ただし、管理者の設定している管理サービスの変更・削除を禁止する Sandbox

    OU Sandbox １ Sandbox 2 34

34. Dev(開発用)環境 • サービス開発用の環境 • 品質担保のために、管理者が設定した統制は 変更してはいけない 35 Project1 OU Project

    1-Dev Project 1-Prod Project2 OU Project 2-Dev Project 2-Prod

35. Dev(開発用)環境 • サービス開発用の環境 • 品質担保のために、管理者が設定した統制は 変更してはいけない • セキュリティ系、各種管理系サービスの変更の 禁止 36

    Project1 OU Project 1-Dev Project 1-Prod Project2 OU Project 2-Dev Project 2-Prod ロールごとの権限で考えた 「開発者用ロール」

36. Prod(本番用)環境 • サービス提供用のアカウント • 利 用 す る サ ー

    ビ ス が 決 定 し て い る た め 、 ある程度利用できるリソースを限定する • Dev 環 境同様 、 組 織の統 制 のた め の サ ー ビ ス への変更は禁止されている 37 Project1 OU Project 1-Dev Project 1-Prod Project2 OU Project 2-Dev Project 2-Prod

37. 環境に合わせて権限を設定する 38

38. 私 の 結 論

39. ロールごとのログインアカウントと権限 管理者 開発者 運用者 40 すべてのアカウントへ ログイン可能 管理者ロールを使用 する Sandbox、Dev、Prod

    ア カ ウ ン ト へ ロ グ イ ン 可能 権限は次ページ Prod ア カ ウ ン ト へ ログイン可能 運用者ロールを使用 する

40. 開発者ロールの権限 Project OU Project1 OU Security OU Payer Audit Logs

    Sandbox OU Sandbox １ Sandbox 2 Project 1-Dev Project 1-Prod Project2 OU Project 2-Dev Project 2-Prod 41 Sandbox用ロール 開発者ロール 本番用ロール

41. 開発者ロールの権限 Project OU Project1 OU Security OU Payer Audit Logs

    Sandbox OU Sandbox １ Sandbox 2 Project 1-Dev Project 1-Prod Project2 OU Project 2-Dev Project 2-Prod 42 Sandbox用ロール 開発者ロール 閲覧のみの権限 ＋ 開発者ロール (AssumeRole)

42. 権限の割り当て方に正解はない 自分の組織に合った権限セットの作成を! 43

43. Thank you!