AWS最小権限での運用に向けた技術調査

Slide 1

Slide 1 text

AWS最小権限での運用に向けた技術調査 2022/05/10 高木建太朗

Slide 2

Slide 2 text

背景 • AWSのプリンシパルを最小権限で運用したい。 • 設計時にポリシーを最適化することは困難。 • 特に開発者に割り当てるポリシーの最適化が困難。 • 試用期間として運用しながら、開発者のAPIコールをベースに権限を作成したい。目的 • 試用期間を設けて開発者に割り当てるポリシーの原型を得る。

Slide 3

Slide 3 text

TRDL 方法は大きく分けて以下の２つが考えられる 1. IAM access Analyzerのポリシー生成リソースに関しての条件を指定しなくていいのであればIAM access Analyzerのポリシー生成を利用する 2. Cloud Trail Lake の利用リソースに関しての条件指定をしたいのであれば Cloud Trail Lake のクエリを実行して開発者の行動履歴を抽出する

Slide 4

Slide 4 text

方法１．IAM access Analyzerのポリシー生成 IAM が提供する機能でユーザの過去のＡＰＩコールからIAMポリシーを生成できる。 • 無料で利用可能 • 事前にCloudTrailの証跡を作成しておく必要がある。＃データイベント（S3のGETなど）は対象外！！ • 同時に実行可能な対象は１つまで • 最大過去９０日の履歴を対象とすることができる • 実行に最大６時間を要する • 生成したポリシーは７日間確認可能 Ref） https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/access-analyzer-policy-generation.html

Slide 5

Slide 5 text

方法１．IAM access Analyzerのポリシー生成 IAMで所望のユーザやロールを選択し、ポリシーの作成を押す

Slide 6

Slide 6 text

方法１．IAM access Analyzerのポリシー生成必要項目を選択してポリシーを生成を押す

Slide 7

Slide 7 text

方法１．IAM access Analyzerのポリシー生成ポリシーの生成がスタートして進行中のステータスになる。この状態にできるのは同時に１つのプリンシパルやロールのみ。

Slide 8

Slide 8 text

方法１．IAM access Analyzerのポリシー生成完了すると生成されたポリシーを表示から確認可能になる。

Slide 9

Slide 9 text

方法１．IAM access Analyzerのポリシー生成左の様に使用されたアクションの一覧が手に入り編集も可能となる。

Slide 10

Slide 10 text

方法１．IAM access Analyzerのポリシー生成次画面で詳細なポリシーの編集が可能。

Slide 11

Slide 11 text

方法１．IAM access Analyzerのポリシー生成名前を付けて保存すればユーザ管理ポリシーとして保存できる。（ちなみに、同時にアタッチもされる）

Slide 12

Slide 12 text

方法2． Cloud Trail Lake の利用 Cloud Trail Lake と呼ばれる機能がCloud Trail で提供されている。内部的にはAthena と連携しており Glue などを利用せずともCloud Trail の証跡に相当するものにクエリがかけられる。 • 重量課金制（ログ取り込みに2.5$/5TB、スキャンに0.005USD/1GB） • クエリをうまく使えばS3のデータイベントなども扱える • 証跡とは別機能。イベントデータストアになりイベントはクエリできない。 • 最大過去７年間の履歴を対象とすることができる • 実行速度はAthenaの性能となる（たぶん） • クエリの結果は７日間確認可能

Slide 13

Slide 13 text

方法2． Cloud Trail Lake の利用 Cloud Trailの左ペインからレイクを選択してイベントデータストアを選択し作成

Slide 14

Slide 14 text

方法2． Cloud Trail Lake の利用諸般入力して次へ

Slide 15

Slide 15 text

方法2． Cloud Trail Lake の利用詳細に解析したければデータイベントにチェックをいれて、データイベントの詳細を設定する。例はS3のデータイベントを対象としている。

Slide 16

Slide 16 text

方法2． Cloud Trail Lake の利用イベントデータストができる。

Slide 17

Slide 17 text

方法2． Cloud Trail Lake の利用イベントに対するクエリ実行の例。

Slide 18

Slide 18 text

方法2． Cloud Trail Lake の利用・例えば監査用、ポリシー作成用に月初にユーザの直近1年APIコールを確認したい EventBridge → Lambda with StartQuery API + GetQueryResults API →メール転送など＃Athena のAPI とは異なり直接S3に出力する機能をもったAPIはない・クエリをうまく設定すれば、現在のCheckサーバをなくすことができる。具体的には既存スクリプトをクエリ化すればよい。

Slide 19

Slide 19 text

今後 CloudTrailLake の定期実行と通知方法を調べる。ユーザやロールの権限を作成するためにいい感じのクエリを作成する。