CDKにおけるPermissions Boundaryの適用と運用時の課題

Transcript

1. CDKにおける Permissions Boundary の適用と運用時の課題 2025.11.08 Security-JAWS IAMスペシャル！ Hisashi Ikenogami 1

2. 自己紹介 2 池ノ上 寿志 / Hisashi Ikenogami 株式会社エヌデーデー CCoE支援

3. アジェンダ 3 1. 本日のキーワード 2. IAMエンティティに境界を設ける方法 3. Permissions Boundaryを利用した背景 4.

   CDKに関連するロール 5. CDKへのPermissions Boundary適用方法 6. Permissions Boundary適用パターン 7. AWSアカウントという境界 8. まとめ

4. アジェンダ 4 1. 本日のキーワード 2. IAMエンティティに境界を設ける方法 3. Permissions Boundaryを利用した背景 4.

   CDKに関連するロール 5. CDKへのPermissions Boundary適用方法 6. Permissions Boundary適用パターン 7. AWSアカウントという境界 8. まとめ

5. 本日キーワード 5 • CDK • Permissions Boundary

6. CDK 6 • プログラミング言語でAWSリソースを定義 • CloudFormationを通じてプロビジョニング • あるべき状態を定義するIaCに柔軟性を持たせられる Source code

   User CDK Resource CloudFormation

7. Permissions Boundary 7 • 日本語で「権限の境界」 • Permissions Boundary自体は権限を付与しない • Identity-based

   policyと合わせて利用する • 権限の最大範囲を設定できる Permissions Boundary Identity-based policy

8. アジェンダ 8 1. 本日のキーワード 2. IAMエンティティに境界を設ける方法 3. Permissions Boundaryを利用した背景 4.

   CDKに関連するロール 5. CDKへのPermissions Boundary適用方法 6. Permissions Boundary適用パターン 7. AWSアカウントという境界 8. まとめ

9. IAMエンティティに境界を設ける方法 9 • SCP (Service Control Policy) • Permissions Boundary

   AWS account SCP User Permissions Boundary Role

10. IAMエンティティに境界を設ける方法 10 • SCP (Service Control Policy) • Permissions Boundary

    AWS account SCP User Permissions Boundary Role アカウント に適用

11. AWS account IAMエンティティに境界を設ける方法 11 • SCP (Service Control Policy) •

    Permissions Boundary SCP User Permissions Boundary Role IAMエンティティ に適用

12. アジェンダ 12 1. 本日のキーワード 2. IAMエンティティに境界を設ける方法 3. Permissions Boundaryを利用した背景 4.

    CDKに関連するロール 5. CDKへのPermissions Boundary適用方法 6. Permissions Boundary適用パターン 7. AWSアカウントという境界 8. まとめ

13. Permissions Boundaryを利用した背景 13 • ゲートキーパー • 境界防御 • 事前承認 •

    一元管理 • ガードレール • はみ出してはいけない境界を定める • 境界内で自由に動く

14. Permissions Boundaryを利用した背景 14 • ゲートキーパー • 境界防御 • 事前承認 •

    一元管理 • ガードレール • はみ出してはいけない境界を定める • 境界内で自由に動く 開発スピードの阻害 ボトルネックになりやすい

15. Permissions Boundaryを利用した背景 15 • ゲートキーパー • 境界防御 • 事前承認 •

    一元管理 • ガードレール • はみ出してはいけない境界を定める • 境界内で自由に動く 自律性を保ちながら 安全性を確保 開発スピードの阻害 ボトルネックになりやすい

16. Permissions Boundaryを利用した背景 16 • ゲートキーパー • 境界防御 • 事前承認 •

    一元管理 • ガードレール • はみ出してはいけない境界を定める • 境界内で自由に動く 「開発スピード」×「セキュリティ担保」を実現するためには ガードレールの考え方が重要 自律性を保ちながら 安全性を確保 ※文脈としては、ゲートキーパーだけでは開発スピードを阻害するため、 基本をガードレールとし、局面によってゲートキーパーで押さえる、のように併用するイメージ 開発スピードの阻害 ボトルネックになりやすい

17. IAMの変更権限を誰が持つか 17 1. 管理者が全てのIAMを管理 ➢ゲートキーパー 2. 開発者が全てのIAMを管理 ➢過剰な自由 3. 管理者がアプリに必要なIAMの管理だけを開発者に委任

    ➢ガードレール

18. IAMの変更権限を誰が持つか 18 1. 管理者が全てのIAMを管理 ➢ゲートキーパー 2. 開発者が全てのIAMを管理 ➢過剰な自由 3. 管理者がアプリに必要なIAMの管理だけを開発者に委任

    ➢ガードレール これを Permissions Boundary を用いて実現する

19. Permissions Boundaryで実現したかったこと 19 • 開発者がアプリに必要なロールを自身で作成できる • 開発者が権限昇格できない • 管理者が必要な制限を入れられる 管理者

    開発者 アプリ Permissions Boundary Role Role 管理者の管理範囲 開発者の管理範囲

20. アジェンダ 20 1. 本日のキーワード 2. IAMエンティティに境界を設ける方法 3. Permissions Boundaryを利用した背景 4.

    CDKに関連するロール 5. CDKへのPermissions Boundary適用方法 6. Permissions Boundary適用パターン 7. AWSアカウントという境界 8. まとめ

21. CDKに関連するロール 21 1. CDKが使うロール 2. CDK利用者が作るロール 3. CDKが暗黙的に作るロール

22. CDKに関連するロール 22 ImagePublishing Deployment Action FilePublishing Lookup IAM Credential ECR

    S3 CloudFormation CloudFormation Execution Contextとして 参照するリソース User AssumeRole AssumeRole AssumeRole AssumeRole PassRole Deploy

23. 1. CDKが使うロール 23 ImagePublishing Deployment Action FilePublishing Lookup IAM Credential

    ECR S3 CloudFormation CloudFormation Execution Contextとして 参照するリソース User AssumeRole AssumeRole AssumeRole AssumeRole PassRole Deploy 用途ごとに5種類 Bootstrapにて作成

24. 2. CDK利用者が作るロール 24 ImagePublishing Deployment Action FilePublishing Lookup IAM Credential

    ECR S3 CloudFormation CloudFormation Execution Contextとして 参照するリソース User AssumeRole AssumeRole AssumeRole AssumeRole PassRole Deploy Lambda等に 付与するロール

25. 3. CDKが暗黙的に作るロール 25 ImagePublishing Deployment Action FilePublishing Lookup IAM Credential

    ECR S3 CloudFormation CloudFormation Execution Contextとして 参照するリソース User AssumeRole AssumeRole AssumeRole AssumeRole PassRole Deploy CloudFormation カスタムリソース用Role 【例】 aws_s3.Bucketコンストラクトの autoDeleteObjectsをtrueにすると CloudFormationカスタムリソースとして LambdaとRoleが作成される

26. アジェンダ 26 1. 本日のキーワード 2. IAMエンティティに境界を設ける方法 3. Permissions Boundaryを利用した背景 4.

    CDKに関連するロール 5. CDKへのPermissions Boundary適用方法 6. Permissions Boundary適用パターン 7. AWSアカウントという境界 8. まとめ

27. 1. CDKが使うロール 27 ① Bootstrapオプション ② Bootstrapテンプレートをカスタマイズ cdk bootstrap --custom-permissions-boundary

    policy-name cdk bootstrap --template cutom-template.yaml

28. 1. CDKが使うロール 28 ImagePublishing Deployment Action FilePublishing Lookup IAM Credential

    ECR S3 CloudFormation CloudFormation Execution Contextとして 参照するリソース User AssumeRole AssumeRole AssumeRole AssumeRole PassRole Deploy 用途ごとに5種類 Bootstrapにて作成

29. 1. CDKが使うロール 29 ImagePublishing Deployment Action FilePublishing Lookup IAM Credential

    ECR S3 CloudFormation CloudFormation Execution Contextとして 参照するリソース User AssumeRole AssumeRole AssumeRole AssumeRole PassRole Deploy ① Bootstrapオプション cdk bootstrap --custom-permissions-boundary policy-name

30. 1. CDKが使うロール 30 ImagePublishing Deployment Action FilePublishing Lookup IAM Credential

    ECR S3 CloudFormation CloudFormation Execution Contextとして 参照するリソース User AssumeRole AssumeRole AssumeRole AssumeRole PassRole Deploy ② Bootstrapテンプレートをカスタマイズ cdk bootstrap --template custom-template.yaml

31. 2. CDK利用者が作るロール 31 ① 個々のIAMエンティティへ適用 ② グローバルにCDKアプリ全体へ適用 new aws_iam.Role(this, 'Role',

    { assumedBy: new iam.ServicePrincipal('lambda.amazonaws.com'), permissionsBoundary: iam.ManagedPolicy.fromManagedPolicyName(this, 'Policy', 'policy-name'), }); { "context": { "@aws-cdk/core:permissionsBoundary": { "name": “policy-name" } } } new App({ context: { [PERMISSIONS_BOUNDARY_CONTEXT_KEY]: { name: ' policy-name', }, }, }); cdk.json Appコンストラクター

32. 2. CDK利用者が作るロール 32 ImagePublishing Deployment Action FilePublishing Lookup IAM Credential

    ECR S3 CloudFormation CloudFormation Execution Contextとして 参照するリソース User AssumeRole AssumeRole AssumeRole AssumeRole PassRole Deploy ※説明用に Role2個作成 する例に変更

33. 2. CDK利用者が作るロール 33 ImagePublishing Deployment Action FilePublishing Lookup IAM Credential

    ECR S3 CloudFormation CloudFormation Execution Contextとして 参照するリソース User AssumeRole AssumeRole AssumeRole AssumeRole PassRole Deploy ① 個々のIAMエンティティへ適用 new aws_iam.Role(this, 'Role', { assumedBy: new iam.ServicePrincipal('lambda.amazonaws.com'), permissionsBoundary: iam.ManagedPolicy.fromManagedPolicyName(this, 'Policy', 'policy-name'), });

34. 2. CDK利用者が作るロール 34 ImagePublishing Deployment Action FilePublishing Lookup IAM Credential

    ECR S3 CloudFormation CloudFormation Execution Contextとして 参照するリソース User AssumeRole AssumeRole AssumeRole AssumeRole PassRole Deploy ② グローバルにCDKアプリ全体へ適用 { "context": { "@aws-cdk/core:permissionsBoundary": { "name": “policy-name" } } } new App({ context: { [PERMISSIONS_BOUNDARY_CONTEXT_KEY]: { name: ' policy-name', }, }, });

35. 2. CDK利用者が作るロール 35 ImagePublishing Deployment Action FilePublishing Lookup IAM Credential

    ECR S3 CloudFormation CloudFormation Execution Contextとして 参照するリソース User AssumeRole AssumeRole AssumeRole AssumeRole PassRole Deploy ② グローバルにCDKアプリ全体へ適用 { "context": { "@aws-cdk/core:permissionsBoundary": { "name": “policy-name" } } } new App({ context: { [PERMISSIONS_BOUNDARY_CONTEXT_KEY]: { name: ' policy-name', }, }, }); ※グローバルだけど 「CDKが暗黙的に作るロール」には適用されない

36. 3. CDKが暗黙的に作るロール 36 ① Aspects import { Aws, IAspect, aws_iam

    as iam } from 'aws-cdk-lib'; import { IConstruct } from 'constructs'; export class PermissionsBoundaryAspect implements IAspect { public visit(node: IConstruct): void { if (node instanceof iam.CfnRole) { node.addPropertyOverride('PermissionsBoundary', `arn:${Aws.PARTITION}:iam::${Aws.ACCOUNT_ID}:policy/policy-name`, ); } } } Aspects.of(app).add(new PermissionsBoundaryAspect()); lib/aspect.ts bin/app.ts

37. 3. CDKが暗黙的に作るロール 37 ImagePublishing Deployment Action FilePublishing Lookup IAM Credential

    ECR S3 CloudFormation CloudFormation Execution Contextとして 参照するリソース User AssumeRole AssumeRole AssumeRole AssumeRole PassRole Deploy CloudFormation カスタムリソース用Role 【例】 aws_s3.Bucketコンストラクトの autoDeleteObjectsをtrueにすると CloudFormationカスタムリソースとして LambdaとRoleが作成される

38. 3. CDKが暗黙的に作るロール 38 ImagePublishing Deployment Action FilePublishing Lookup IAM Credential

    ECR S3 CloudFormation CloudFormation Execution Contextとして 参照するリソース User AssumeRole AssumeRole AssumeRole AssumeRole PassRole Deploy ① Aspects import { Aws, IAspect, aws_iam as iam } from 'aws-cdk-lib'; import { IConstruct } from 'constructs'; export class PermissionsBoundaryAspect implements IAspect { public visit(node: IConstruct): void { if (node instanceof iam.CfnRole) { node.addPropertyOverride('PermissionsBoundary', `arn:${Aws.PARTITION}:iam::${Aws.ACCOUNT_ID}:policy/policy-name`, ); } } } Aspects.of(app).add(new PermissionsBoundaryAspect());

39. • crossRegionReference 3. CDKが暗黙的に作るロール（例外） 39

40. Custom Resource • crossRegionReference Custom Resource us-east-1 ap-northeast-1 Stack Stack

    3. CDKが暗黙的に作るロール（例外） 40 Parameter Store Role CloudFront WAF Exports Writer Exports Reader Role 書き込み インポート済 タグ付与 参照 ARN取得 リージョンを跨いで スタック間の値を参照する方法

41. Custom Resource • crossRegionReference Custom Resource us-east-1 ap-northeast-1 Stack Stack

    3. CDKが暗黙的に作るロール（例外） 41 Parameter Store CloudFront WAF Exports Writer Exports Reader 書き込み インポート済 タグ付与 参照 CloudFormation カスタムリソース用Role Role Role CloudFormation カスタムリソース用Role ARN取得

42. Custom Resource ARN取得 Custom Resource • crossRegionReference us-east-1 ap-northeast-1 Stack

    Stack 3. CDKが暗黙的に作るロール（例外） 42 Parameter Store CloudFront WAF Exports Writer Exports Reader 書き込み インポート済 タグ付与 参照 Role Role CloudFormation カスタムリソース用Role CloudFormation カスタムリソース用Role Aspectsでも適用できない Aspectsでも適用できない

43. 3. CDKが暗黙的に作るロール（例外） 43 • Issueに上がっていて未解決の状況 • コメントにある回避策（※）で適用できることは一応確認できた ※Permissions Boundary未設定ロールに対してPermissions Boundaryを設定する

    ベーススタッククラスを利用するというもの

44. CDKアプリ内のロールへの適用方法 44 方法 シンプル度 CDKアプリ内のロール CDK利用者が作るロール CDKが暗黙的に作るロール カスタムリソース crossRegion Reference

    cdk.json 高 ◦ × × Aspects 中 ◦ ◦ × 回避策 低 ◦ ◦ ◦

45. アジェンダ 45 1. 本日のキーワード 2. IAMエンティティに境界を設ける方法 3. Permissions Boundaryを利用した背景 4.

    CDKに関連するロール 5. CDKへのPermissions Boundary適用方法 6. Permissions Boundary適用パターン 7. AWSアカウントという境界 8. まとめ

46. Permissions Boundaryで実現したかったこと 46 • 開発者がアプリに必要なロールを自身で作成できる • 開発者が権限昇格できない • 管理者が必要な制限を入れられる 管理者

    開発者 アプリ Permissions Boundary Role Role 管理者の管理範囲 開発者の管理範囲

47. • 最大限許可した上で必要最小限の拒否をリストアップ ブラックリスト方式 47 [Allow] Admin [Deny] Permissions Boundary identity-based

    policy [Allow] PowerUser+IAM Full ユーザに許可する操作

48. • 最大限許可した上で必要最小限の拒否をリストアップ ブラックリスト方式 48 [Allow] Admin [Deny] Permissions Boundary identity-based

    policy [Allow] PowerUser+IAM Full ユーザに許可する操作 以下を拒否 ① PB無しロール/ユーザ作成 ② PB自体の削除/解除 ③ その他管理者が制限したい操作

49. ブラックリスト方式（一部抜粋） 49 • Permissions Boundary有りロールだけ作成可とする - Sid: AllowAdminAccess Effect: Allow

    Action: '*' Resource: ‘*’ - Sid: DenyCreateOrChangeRoleWithoutBoundary Effect: Deny Action: - iam:CreateRole - iam:AttachRolePolicy - iam:DetachRolePolicy - iam:PutRolePolicy - iam:DeleteRolePolicy - iam:PutRolePermissionsBoundary Resource: !Sub arn:${AWS::Partition}:iam::${AWS::AccountId}:role/* Condition: StringNotEquals: iam:PermissionsBoundary: !Sub arn:${AWS::Partition}:iam::${AWS::AccountId}:policy/${BoundaryPolicyName}

50. ブラックリスト方式（一部抜粋） 50 • Permissions Boundary有りロールだけ作成可とする - Sid: AllowAdminAccess Effect: Allow

    Action: '*' Resource: ‘*’ - Sid: DenyCreateOrChangeRoleWithoutBoundary Effect: Deny Action: - iam:CreateRole - iam:AttachRolePolicy - iam:DetachRolePolicy - iam:PutRolePolicy - iam:DeleteRolePolicy - iam:PutRolePermissionsBoundary Resource: !Sub arn:${AWS::Partition}:iam::${AWS::AccountId}:role/* Condition: StringNotEquals: iam:PermissionsBoundary: !Sub arn:${AWS::Partition}:iam::${AWS::AccountId}:policy/${BoundaryPolicyName} 全て許可 Permissions Boundary無しロール作成を拒否

51. ブラックリスト方式の問題点 51 • PassRoleアクションは条件キーでPermissions Boundary を指定できない

52. ブラックリスト方式の問題点 52 • PassRoleとは • AWSサービスにロールを渡すことができる権限 • PassRoleだけでは何もできない（API呼出ではない） Administorator User

    Permissions Boundary Role Create Lambda { "Effect": "Deny", "Action": [ "iam:PassRole" ], "Resource": [ "*" ] } PassRole権限が無いと AdminでもLambdaが作成 できない ⇒リソース作成権限に加えて PassRoleが必要

53. ブラックリスト方式の問題点 53 • PassRoleアクションは条件キーでPermissions Boundary を指定できない - Sid: DenyPassRoleWithoutBoundary Effect:

    Deny Action: - iam:PassRole Resource: !Sub arn:${AWS::Partition}:iam::${AWS::AccountId}:role/* Condition: StringNotEquals: iam:PermissionsBoundary: !Sub arn:${AWS::Partition}:iam::${AWS::AccountId}:policy/${BoundaryPolicyName}

54. ブラックリスト方式の問題点 54 • PassRoleアクションは条件キーでPermissions Boundary を指定できない - Sid: DenyPassRoleWithoutBoundary Effect:

    Deny Action: - iam:PassRole Resource: !Sub arn:${AWS::Partition}:iam::${AWS::AccountId}:role/* Condition: StringNotEquals: iam:PermissionsBoundary: !Sub arn:${AWS::Partition}:iam::${AWS::AccountId}:policy/${BoundaryPolicyName}

55. PassRoleをどう制限するか 55 No 対応案 メリット デメリット 1 Roleのパスを利用する アプリごとのPBが不要 Role再作成+差替が必要(※)

    2 リソース名にアプリ識別子が含まれ るものを制限対象とする Role再作成+差替が不要(※) アプリごとのPBが必要 3 開発者以外によって作成された ロールに対する操作をホワイトリス ト形式でDENYする ・アプリごとのPBが不要 ・Role再作成+差替が不要(※) リストアップしきれない、増減した ときに追随しきれない可能性あり ※Roleのパスは新規作成時しか指定できない⇒既存アプリの場合、Role再作成+差替が必要になる

56. PassRoleをどう制限するか 56 No 対応案 メリット デメリット 1 Roleのパスを利用する アプリごとのPBが不要 Role再作成+差替が必要(※)

    2 リソース名にアプリ識別子が含まれ るものを制限対象とする Role再作成+差替が不要(※) アプリごとのPBが必要 3 開発者以外によって作成された ロールに対する操作をホワイトリス ト形式でDENYする ・アプリごとのPBが不要 ・Role再作成+差替が不要(※) リストアップしきれない、増減した ときに追随しきれない可能性あり 新規アプリに適用 既存アプリに適用 ※Roleのパスは新規作成時しか指定できない⇒既存アプリの場合、Role再作成+差替が必要になる

57. PassRoleをどう制限するか 57 • Roleのパスを利用する - Sid: AllowPassRoleForApp Effect: Allow Action:

    - iam:PassRole Resource: !Sub arn:${AWS::Partition}:iam::${AWS::AccountId}:role/app/* デフォルト ： /policy-name 開発者用のパスを設ける ： /app/policy-name

58. • IAM以外を許可 • IAMはホワイトリストで許可 • その他制限したい操作をブラックリストで拒否 ハイブリッド方式 58 [Allow] PowerUser+IAM

    Full Permissions Boundary identity-based policy [Deny] [Allow] IAM以外 ユーザに許可する操作 [Deny] [Allow] IAMのみ Permissions Boundary

59. アジェンダ 59 1. 本日のキーワード 2. IAMエンティティに境界を設ける方法 3. Permissions Boundaryを利用した背景 4.

    CDKに関連するロール 5. CDKへのPermissions Boundary適用方法 6. Permissions Boundary適用パターン 7. AWSアカウントという境界 8. まとめ

60. AWSアカウントという境界 60

61. AWSアカウントという境界 61 • AWSアカウント内は自由 • SCPでアカウントの外から制限 AWS account SCP User

    Role

62. アジェンダ 62 1. 本日のキーワード 2. IAMエンティティに境界を設ける方法 3. Permissions Boundaryを利用した背景 4.

    CDKに関連するロール 5. CDKへのPermissions Boundary適用方法 6. Permissions Boundary適用パターン 7. AWSアカウントという境界 8. まとめ

63. まとめ 63 • CDKでPermissions Boundaryを使った経験の共有 • スモールスタートで使い始めた • とりあえず使い始めてみたらいっぱい壁にぶつかった •

    未だに最善策はわからず（IAMは奥が深い・・・） • フィードバックいただけるとうれしいです