Upgrade to Pro — share decks privately, control downloads, hide ads and more …

IAMAccessAnalyzer_Security-JAWS

Koheiawa
PRO
November 15, 2023
Technology
1
1k

 IAMAccessAnalyzer_Security-JAWS

Koheiawa
PRO

November 15, 2023
Tweet

More Decks by Koheiawa

See All by Koheiawa
AWS VerifiedAccess
koheiawa
PRO
1
14
SecurityHub_FinJAWS
koheiawa
PRO
8
690
DirectConnectSiteLink_みのるんさん勉強会
koheiawa
PRO
1
1.9k

Other Decks in Technology

See All in Technology
使われないものを作るな!出口から作るデータ分析基盤 / Data Platform Development Starting from the User Needs
amaotone
15
3.3k
テストコードを書きながらCompose Multiplatformを乗りこなす
subroh0508
0
130
TiDBにおけるテーブル設計と最適化の事例
cygames
0
760
エンジニアゼロの組織から内製開発の DX をどう実現したのか / How did we achieve DX in in-house development in an organization with zero engineers?
genkiogasawara
2
790
回り回って効いてくる副次的効果としての技術広報/techpr
nishiuma
1
140
【TSkaigi】2024/05/11 当日スライド
kimitashoichi
14
3.8k
Prisma ORMを2年運用して培ったノウハウを共有する
tockn
19
4.9k
複雑なビジネスルールに挑む:正確性と効率性を両立するfp-tsのチーム活用術 / Strike a balance between correctness and efficiency with fp-ts
kakehashi
5
3.4k
生成AIと産業向けソフトウェアの自動生成 〜 ハノーバーメッセ2024より〜
kioto
2
410
AWS Observability ベストプラクティス 大紹介
o11yfes2023
0
150
データ基盤を支える技術
chanyou0311
5
2.9k
Step by Stepで学ぶ、ADT(代数的データ型)、モナドからEffect-TSまで
leveragestech
1
2.6k

Featured

See All Featured
VelocityConf: Rendering Performance Case Studies
addyosmani
321
23k
Happy Clients
brianwarren
92
6.4k
Fashionably flexible responsive web design (full day workshop)
malarkey
398
65k
Ruby is Unlike a Banana
tanoku
96
10k
The MySQL Ecosystem @ GitHub 2015
samlambert
244
12k
Docker and Python
trallard
35
2.7k
Unsuck your backbone
ammeep
664
57k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
188
16k
RailsConf 2023
tenderlove
9
580
Intergalactic Javascript Robots from Outer Space
tanoku
266
26k
Building a Modern Day 
E-commerce SEO Strategy
aleyda
22
6.4k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
15
1.6k

Transcript

  1. IAM Access Analyzer を利用した 最小権限への旅

  2. 粟ケ窪 康平 2020年に某大手証券グループのシンクタンクに新卒入社。 配属から1年はオンプレネットワークの設計をやっていたが、 ひょんなことから社内初のAWS全冠になってしまいネットワーク から引退。 現在は某金融機関様向けのAWSセキュリティ設計に従事。 CISSP(Associate)/SC/NW/CCNA あわ が

    くぼ

  3. おことわり 本資料の内容や見解は所属の組織を代表するものではございません

  4. 本日話さないこと 最小権限とは何かという哲学的な問い IAMポリシー/ロールの基本

  5. IAM Access Analyzer とは IAM Access Analyzer を利用した最小権限への旅

  6. リソースポリシーを分析して証明可能なセキュリティを提供することで、最小特権のアク セス権限を簡単に実装できるようにするとともに、 意図しないパブリックアクセスまたはクロスアカウントアクセスを特定するためのサービス IAM Access Analyzer を利用した最小権限への旅 IAM Access Analyzer

    とは

  7. IAM Access Analyzer は特に機能拡張が激しいサービスのひとつ IAM Access Analyzer を利用した最小権限への旅 2019 2021

    2023 2020 2022 IAM Access Analyzer の進化 ➢ re:Inventで発表 ➢ Access Analyzer for Amazon S3 ➢ Security Hub と統合 ➢ S3アクセスポイントポリシーの公開アクセス許可の検 出をサポート ➢ IAM Access Analyzer が既存の調査結果のアー カイブルールをサポート ➢ Secrets Manager への意図しないアクセスの検出 をサポート ➢ アクセス権限変更前のパブリックアクセスとクロスアカウ ントアクセスを検証可能に ➢ 100を超えるサービスでポリシーチェックのサポート ➢ アクセスアクティビティに基づくポリシー生成をサポート ➢ オーサリング中のポリシーチェックをサポート ➢ ポリシー生成対象サービスの強化、クオータ引き上げ ➢ ポリシー検証がロール信頼ポリシーまで拡張 ➢ 140を超えるサービスでアクティビティに基づくポリシー 生成が可能に ➢ SNSなど6つのサービスが公開アクセス検出の対象に 追加 ➢ 200を超えるサービスでアクティビティに基づく ポリシー生成が可能に

  8. IAM Access Analyzer を利用した最小権限への旅 権限の設定 権限の確認 権限の修正 IAM Access Analyzer

    でできること IAM Access Analyzer は 権限管理ライフサイクルのあらゆるステージを支える各種機能を提供

  9. IAM Access Analyzer を利用した最小権限への旅 権限の設定 権限の確認 権限の修正 IAM Access Analyzer

    でできること IAM Access Analyzer は 権限管理ライフサイクルのあらゆるステージを支える各種機能を提供 ステージカットで機能をご紹介します

  10. IAM Access Analyzer を利用した最小権限への旅 権限の確認 権限の修正 IAM Access Analyzer でできること

    IAM Access Analyzer は 権限管理ライフサイクルのあらゆるステージを支える各種機能を提供 権限の設定 権限を 正しく 設定するための機能

  11. IAM Access Analyzer policy validation IAMをポリシーの文法およびベストプラクティスに照らして検証 権限の設定 IAM Access Analyzer

    を利用した最小権限への旅 文法的な誤りを指摘 過度に広いアクセス権限を指摘 ベストプラクティスに沿っていないポリシーを指摘 改善のための推奨事項 Security Errors Warnings Suggestions

  12. IAM Access Analyzer を利用した最小権限への旅 権限の修正 IAM Access Analyzer でできること IAM

    Access Analyzer は 権限管理ライフサイクルのあらゆるステージを支える各種機能を提供 権限の設定 権限の確認 過剰な権限 が設定されていないか確認するための機能

  13. IAM Access Analyzer external access findings 外部エンティティと共有されている組織とアカウントのリソースを識別 権限の確認 IAM Access

    Analyzer を利用した最小権限への旅 外部公開している(されている) S3バケットを一覧表示した例

  14. IAM Access Analyzer を利用した最小権限への旅 IAM Access Analyzer でできること IAM Access

    Analyzer は 権限管理ライフサイクルのあらゆるステージを支える各種機能を提供 権限の設定 権限の確認 権限の修正 過剰な権限を削除し 洗練 させるための機能

  15. IAM Last accessed information(1/2) 最後にアクセスされた情報をもとに不要なアクセス許可の特定を支援 IAM Access Analyzer を利用した最小権限への旅 最大400日間の

    アクセス情報を追跡 権限の修正

  16. IAM Last accessed information(1/2) 最後にアクセスされた情報をもとに不要なアクセス許可の特定を支援 IAM Access Analyzer を利用した最小権限への旅 最大400日間の

    アクセス情報を追跡 追跡期間中は アクセスされていない 権限の修正

  17. IAM Last accessed information(1/2) 最後にアクセスされた情報をもとに不要なアクセス許可の特定を支援 IAM Access Analyzer を利用した最小権限への旅 最大400日間の

    アクセス情報を追跡 追跡期間中は アクセスされていない 不要なサービス許可 権限の修正

  18. IAM Last accessed information(2/2) サービスのリンクを押すとアクションレベルまで確認可能 IAM Access Analyzer を利用した最小権限への旅 S3のアクションレベルの

    アクセス情報の例 フィルタを使うと 不要アクションの見通しがよくなる 権限の修正

  19. IAM Access Analyzer policy generation CloudTrailログを分析し、ポリシー生成を支援 IAM Access Analyzer を利用した最小権限への旅

    期間を選択(最長90日) リージョンを選択 サービスロールを設定 権限の修正

  20. IAM Access Analyzer を利用した最小権限への旅 権限の設定 権限の確認 権限の修正 IAM Access Analyzer

    でできること IAM Access Analyzer は 権限管理ライフサイクルのあらゆるステージを支える各種機能を提供 再掲 ✓ IAM Access Analyzer policy validation ✓ IAM Access Analyzer external access findings ✓ IAM Last Accessed information ✓ IAM Access Analyzer policy generation

  21. IAM Access Analyzer を利用した最小権限への旅 権限の設定 権限の確認 権限の修正 IAM Access Analyzer

    でできること IAM Access Analyzer は 権限管理ライフサイクルのあらゆるステージを支える各種機能を提供 再掲 ✓ IAM Access Analyzer policy validation ✓ IAM Access Analyzer external access findings ✓ IAM Last Accessed information ✓ IAM Access Analyzer policy generation 銀の弾丸というわけにはいかなかった

  22. IAM Access Analyzer の悩み 大きく2点悩ましいところがあった IAM Access Analyzer を利用した最小権限への旅 公開アクセスの検知結果が多すぎて

    どこから手を付ければいいかわからない コードで展開するIAMリソースの 事前検証ができない 個人的に

  23. IAM Access Analyzer の悩み 大きく2点悩ましいところがあった IAM Access Analyzer を利用した最小権限への旅 コードで展開するIAMリソースの

    事前検証ができない 個人的に 公開アクセスの検知結果が多すぎて どこから手を付ければいいかわからない

  24. IAM Access Analyzer 検出結果におけるノイズ 環境の規模が大きいほど多数のノイズが含まれる IAM Access Analyzer を利用した最小権限への旅 このS3バケットは

    公開されていていいのか? 謎のエラー フェデレーションユーザー の検出結果がいっぱい

  25. IAM Access Analyzer 検出結果におけるノイズの軽減 AWSから検出結果に優先順位をつけるための以下の指針が示されている IAM Access Analyzer を利用した最小権限への旅 1.

    パブリックアクセスに関する調査結果を確認する 2. 権限エラーを削除してフィルタリングする 3. 既知の ID プロバイダーのフィルター 4. 信頼できるクロスアカウントアクセスの検出結果をフィルタリングする

  26. 1. パブリックアクセスに関する調査結果を確認する IAM Access Analyzer を利用した最小権限への旅 IAM Access Analyzer は以下のようなリソースの外部公開を検知する

    ✓ 「Principal:*」権限があるS3バケットポリシー ✓ リソース許可フラグが設定されたEBSスナップショット

  27. IAM Access Analyzer を利用した最小権限への旅 IAM Access Analyzer は以下のようなリソースの外部公開を検知する ✓ 「Principal:*」権限があるS3バケットポリシー

    ✓ リソース許可フラグが設定されたEBSスナップショット 公開が意図したものであるならばアーカイブする 1. パブリックアクセスに関する調査結果を確認する

  28. IAM Access Analyzer を利用した最小権限への旅 IAM Access Analyzer は以下のようなリソースの外部公開を検知する ✓ 「Principal:*」権限があるS3バケットポリシー

    ✓ リソース許可フラグが設定されたEBSスナップショット 意図した公開の場合 リソース名等を条件 にしてアーカイブ 1. パブリックアクセスに関する調査結果を確認する

  29. IAM Access Analyzer を利用した最小権限への旅 IAM Access Analyzer は以下のようなリソースの外部公開を検知する ✓ 「Principal:*」権限があるS3バケットポリシー

    ✓ リソース許可フラグが設定されたEBSスナップショット 意図した公開の場合 公開を意図していないなら是正する リソース名等を条件 にしてアーカイブ 1. パブリックアクセスに関する調査結果を確認する

  30. IAM Access Analyzer を利用した最小権限への旅 IAM Access Analyzer は以下のようなリソースの外部公開を検知する ✓ 「Princial:*」権限があるS3バケットポリシー

    ✓ リソース許可フラグが設定されたEBSスナップショット 意図した公開の場合 意図していない公開の場合 1. パブリックアクセスに関する調査結果を確認する PrincipalOrgID 等でポリシーを是正 リソース名等を条件 にしてアーカイブ

  31. IAM Access Analyzer を利用した最小権限への旅 IAM Access Analyzer はサービスにリンクされたロールを利用するが、リソース側で明 示的な拒否を行っているとリソースメタデータを読み取れないことがある 2.

    権限エラーを削除してフィルタリングする { "Sid":"Deny unintended access to KMS key", "Effect":"Deny", "Principal":"*", "Action":[ "kms:DescribeKey", "kms:GetKeyPolicy", "kms:List*" ], "Resource":"*", "Condition":{ "ArnNotLikeIfExists":{ "aws:PrincipalArn":[ "arn:aws:iam::<ACCOUNT_ID>:role/aws-service-role/access-analyzer.amazonaws.com/AWSServiceRoleForAccessAnalyzer", "arn:aws:iam::*:role/<YOUR-ADMIN-ROLE>" ] } } } 拒否の例外条件に サービスにリンクされたロールを追加

  32. 3. 既知のIDプロバイダーのフィルター IAM Access Analyzer を利用した最小権限への旅 IAM Access Analyzer は

    IAM Identity Center 等のIdPをプリンシパルとして許 可する信頼ポリシーを持つロールを検知してしまう Control Tower を 展開した時の検知例 アカウントが増えるごとに 検出結果も増えていく

  33. IAM Access Analyzer を利用した最小権限への旅 IAM Access Analyzer は IAM Identity

    Center 等のIdPをプリンシパルとして許 可する信頼ポリシーを持つロールを検知してしまう Control Tower を 展開した時の検知例 アカウントが増えるごとに 検出結果も増えていく IAM Identity Center の予約パスを使用して アーカイブルールを作成する 3. 既知のIDプロバイダーのフィルター

  34. IAM Access Analyzer を利用した最小権限への旅 IAM Identity Center によって作成されたロールは、以下の予約パスを利用する 「arn:aws:iam:: <ACCOUNT_ID>

    :role/aws-reserved/sso.amazonaws.com/」 Federated User を saml-provider/AWSSSO Resource を aws-reserved/sso.amazonaws.com 3. 既知のIDプロバイダーのフィルター

  35. 4. 信頼できるクロスアカウントアクセスの検出結果をフィルタリングする IAM Access Analyzer を利用した最小権限への旅 IAM Access Analyzer はリソースベースのポリシーが信頼ゾーン外からのクロスアカウ

    ントアクセスを許可している場合に検知する アカウントID等で アーカイブルールを作成する

  36. IAM Access Analyzer の悩み 大きく2点悩ましいところがあった IAM Access Analyzer を利用した最小権限への旅 個人的に

    公開アクセスの検知結果が多すぎて どこから手を付ければいいかわからない コードで展開するIAMリソースの 事前検証ができない

  37. IAM Policy Validator for AWS CloudFormation の利用 IAM Access Analyzer

    を利用した最小権限への旅 CI/CDパイプラインにPolicy Validator を組み込むことで展開前に事前検証が可能 https://catalog.us-east-1.prod.workshops.aws/v2/workshops/fff8e490-f397-43d2-ae26-737a6dc4ac68/en-US ワークショップが 用意されている https://github.com/awslabs/terraform-iam-policy-validator Terraform用Validatorも 用意されている

  38. 最小権限への旅のはじめ方 IAM Access Analyzer を利用した最小権限への旅

  39. IAM Access Analyzer とセキュリティ成熟度モデル IAM Access Analyzer の段階的活用にあたって、 セキュリティ成熟度モデルを一つの拠り所にすることができる IAM

    Access Analyzer を利用した最小権限への旅 https://maturitymodel.security.aws.dev/en/

  40. IAM Access Analyzer とセキュリティ成熟度モデル IAM Access Analyzer の段階的活用にあたって、 セキュリティ成熟度モデルを一つの拠り所にすることができる IAM

    Access Analyzer を利用した最小権限への旅 https://maturitymodel.security.aws.dev/en/ 4段階の成熟度レベル

  41. IAM Access Analyzer とセキュリティ成熟度モデル IAM Access Analyzer の段階的活用にあたって、 セキュリティ成熟度モデルを一つの拠り所にすることができる IAM

    Access Analyzer を利用した最小権限への旅 https://maturitymodel.security.aws.dev/en/ セキュリティ推奨事項の 優先順位付けに役立つ

  42. IAM Access Analyzer とセキュリティ成熟度モデル IAM Access Analyzer の段階的活用にあたって、 セキュリティ成熟度モデルを一つの拠り所にすることができる IAM

    Access Analyzer を利用した最小権限への旅 https://maturitymodel.security.aws.dev/en/ 費用対効果を考慮して 各推奨事項を分類

  43. IAM Access Analyzer とセキュリティ成熟度モデル IAM Access Analyzer の段階的活用にあたって、 セキュリティ成熟度モデルを一つの拠り所にすることができる IAM

    Access Analyzer を利用した最小権限への旅 https://maturitymodel.security.aws.dev/en/ AWSの公式ドキュメント ではない旨の注意書き

  44. IAM Access Analyzer とセキュリティ成熟度モデル IAM Access Analyzer に関連する部分を抜粋すると以下のようになる IAM Access

    Analyzer を利用した最小権限への旅 1. Quick Wins(即効性) ✓ IAM Access Analyzer を使用して、アカウントまたは組織の外部で共有されているリ ソースを検出 2. Foundational(基礎) ⁻ 該当なし 3. Efficient(効率化) ✓ IAMポリシーのレビュー(機能の実行に必要な最小限の権限が付与) ✓ 意図しないアクセスの審査(ポリシー内のアスタリスク確認) ✓ IAM Access Advisor(未使用の許可設定の削除) ✓ IAM Access Analyzer を利用したポリシーの生成 4. Optimized(最適化) ✓ IAMパイプライン

  45. IAM Access Analyzer を利用した最小権限への旅 参考文献 ➢ https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/what-is-access-analyzer.html ➢ https://aws.amazon.com/jp/blogs/security/validate-iam-policies-in-cloudformation-templates-using-iam-access- analyzer/

    ➢ https://github.com/awslabs/terraform-iam-policy-validator ➢ https://aws.amazon.com/jp/blogs/security/refine-permissions-for-externally-accessible-roles-using-iam-access- analyzer-and-iam-action-last-accessed/ ➢ https://maturitymodel.security.aws.dev/en/model/ ➢ https://catalog.us-east-1.prod.workshops.aws/v2/workshops/fff8e490-f397-43d2-ae26-737a6dc4ac68/en-US ➢ https://d1.awsstatic.com/events/Summits/awsreinforce2023/IAM321_Move-toward-least-privilege-with-IAM- Access-Analyzer.pdf

  46. ありがとうございました!