ルートユーザーの活用と管理を徹底的に深掘る

Slide 1

Slide 1 text

ルートユーザーの活用と管理を徹底的に深掘る NRIネットコム TECH AND DESIGN STUDY#60 2025年3月27日 NRIネットコム株式会社デジタルソリューション事業本部クラウド事業推進部大林優斗

Slide 2

Slide 2 text

1 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ◼ 登壇者：大林優斗 ◼ 2024 Japan AWS Jr. Champions ◼ 業務：AWSを活用したシステムの設計・開発を担当 ⚫ 500以上のAWSアカウントに統制を効かせる ◼ AWS認定資格 ◼ 書籍執筆：AWS の薄い本の合本 Vol.01 自己紹介

Slide 3

Slide 3 text

Slide 4

Slide 4 text

3 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ◼ AWSのベストプラクティスから考えるルートユーザーの運用におけるアンチパターン。ルートユーザーの運用におけるアンチパターン No アンチパターン 1 MFAを設定していない ➢ 例：ルートアカウントのログインがパスワードのみ ➢ 危険性：パスワード流出時に即座に不正アクセス ➢ 対策：仮想MFA / ハードウェアMFA / セキュリティキーの導入 2 アクセスキーを発行・放置している ➢ 例：スクリプトやアプリに直書き ➢ 危険性：キー漏洩時の即時アクセス可能状態 ➢ 対策：基本的にアクセスキーは使用しない 3 日常業務にルートユーザーを使用している ➢ 例：初期作成後ずっとルートで操作 ➢ 危険性：権限制御不可・変更記録が曖昧 ➢ 対策：承認を得てからルートユーザーを使用する

Slide 5

Slide 5 text

Slide 6

Slide 6 text

5 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します増加しつづけるルートユーザールートユーザーを適切に管理していくため ◼ 単一アカウントでシステムを管理することの問題点 ⚫ 複数環境のAWSリソースが単一アカウントにあることでリソースの追跡性が損なわれる ⚫ 誤ったリソースの操作が発生する可能性がある ⚫ クォータの制限に引っ掛かりやすくなる ⚫ 攻撃の影響が広がりやすい AWS account Virtual private cloud (VPC) 開発環境 Virtual private cloud (VPC) 検証環境 Virtual private cloud (VPC) 本番環境 Amazon Elastic Compute Cloud (Amazon EC2) Amazon Elastic Compute Cloud (Amazon EC2) Amazon Elastic Compute Cloud (Amazon EC2)

Slide 7

Slide 7 text

6 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します増加しつづけるルートユーザールートユーザーを適切に管理していくため ◼ マルチアカウントでシステムを管理することの重要性 ⚫ リソースの追跡性が容易になる ⚫ 誤ったリソースの操作が発生する可能性を抑えられる ⚫ クォータの制限に引っ掛かりにくい ⚫ 攻撃の影響を制限しやすい ⚫ コスト配分の容易性を強化する ➢ 一方で、その分ルートユーザーが増えてしまう AWS account Virtual private cloud (VPC) 開発環境 Amazon Elastic Compute Cloud (Amazon EC2) AWS account Virtual private cloud (VPC) 検証環境 Amazon Elastic Compute Cloud (Amazon EC2) AWS account Virtual private cloud (VPC) 本番環境 Amazon Elastic Compute Cloud (Amazon EC2)

Slide 8

Slide 8 text

7 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します増加しつづけるルートユーザールートユーザーを適切に管理していくため ◼ AWS IAM Identity Centerを活用することでIAMユーザーに最小権限を付与してを管理することができる ➢ ルートユーザーは管理できない System A OU Account Account Account System B OU Account Account Account System C OU Account Account Account Management account AWS IAM Identity Center

Slide 9

Slide 9 text

8 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します増加しつづけるルートユーザールートユーザーを適切に管理していくため ◼ [ AWS CloudTrail ] ルートユーザーが使用されていることに早期に気づきたい ➢ そのルートユーザーは本当に意図したものなのかを明確にするバージニア北部リージョン東京リージョン Amazon EventBridge Custom event bus AWS Lambda Amazon SNS 管理者 Amazon EventBridge AWS CloudTrail Account A Audit

Slide 10

Slide 10 text

9 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します増加しつづけるルートユーザールートユーザーを適切に管理していくため ◼ [ Amazon GuardDuty ] ルートユーザーが使用されていることに早期に気づきたい ➢ 「IAMUser/RootCredentialUsage」を検出したら通知するバージニア北部リージョン東京リージョン Amazon EventBridge Custom event bus AWS Lambda Amazon SNS 管理者 Amazon EventBridge Account A Audit Amazon GuardDuty

Slide 11

Slide 11 text

10 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します増加しつづけるルートユーザールートユーザーを適切に管理していくため ◼ [ Amazon GuardDuty ] ルートユーザーが使用されていることに早期に気づきたい ➢ GuardDutyはCloudTrailのデータを処理して脅威を検出する保護プラン Amazon GuardDuty VPC Flow Logs AWS CloudTrail DNS Query Logs Amazon EC2 Amazon EKS Amazon ECS Amazon RDS AWS Lambda Amazon S3 Amazon EBS

Slide 12

Slide 12 text

11 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します増加しつづけるルートユーザールートユーザーを適切に管理していくため ◼ [ AWS CloudTrail ] ルートユーザーが使用されていることに早期に気づきたい ➢ 1分1秒でも早くルートユーザーが使用されていることに気付くためにはCloudTrailをもとに通知するバージニア北部リージョン東京リージョン Amazon EventBridge Custom event bus AWS Lambda Amazon SNS 管理者 Amazon EventBridge AWS CloudTrail Account A Audit

Slide 13

Slide 13 text

Slide 14

Slide 14 text

Slide 15

Slide 15 text

14 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止しますルートアクセスの無効化（キー削除）ルート認証情報の一元管理 ◼ 内容： • AWS Organizationsを使用すると、メンバーアカウントのルートユーザーから認証情報を削除できる • これにより、ルートユーザーの長期的なアクセス情報の悪用リスクを排除できる ◼ 背景・課題： • 多くのアカウントでルートユーザーが発行されると管理が煩雑になる ◼ 効果： • 全アカウント横断でルートの認証情報を削除可能 • IAMユーザーやロールベースのアクセスに統一できる • ガバナンス強化 ◼ 活用ポイント： • Control Towerの設定と連携参考： https://aws.amazon.com/jp/blogs/news/centrally-managing-root-access-for-customers-using-aws-organizations/

Slide 16

Slide 16 text

15 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止しますリカバリ防止（再設定不能に）ルート認証情報の一元管理 ◼ 内容： • ルートユーザーの認証情報を削除した後、回復手段（メール変更や再設定）も封じることが可能 • 意図しない再有効化や再設定による誤用・誤操作のリスクを根本から排除 ◼ 背景・課題： • 一時的に無効化しても、再設定されると再びリスクに • 人的ミスや悪意ある内部者による再有効化の恐れ ◼ 効果： • 不可逆なセキュリティ強化（再度使えないことで安心） • 従業員による設定ミスを抑止 • 認証情報の完全無効化が可能に ◼ 活用ポイント： • セキュリティチームがアカウントの責任を持つ体制へ • リカバリメールアドレスや電話番号も一元管理参考： https://aws.amazon.com/jp/blogs/news/centrally-managing-root-access-for-customers-using-aws-organizations/

Slide 17

Slide 17 text

16 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止しますセキュアバイデフォルトアカウントの自動作成ルート認証情報の一元管理 ◼ 内容： • AWS Organizationsでは、ルート認証情報を一切設定せずにアカウントを作成可能 ※ アカウント作成時にメールアドレスが不要になるわけではない • 作成後に不要なセキュリティ設定を追加する必要がない ◼ 背景・課題： • 手動作成ではルートユーザーにパスワードが付与される • MFA未設定や初期パスワードの放置が発生しがち ◼ 効果： • アカウント作成直後からルートアクセス不能 • セキュリティ設定の自動化が容易になる • 後からの対処が不要になる＝運用効率UP ◼ 活用ポイント： • Control Tower + AWS Organizationsで自動プロビジョニング • 追加セキュリティ設定の自動適用（例：SCPでルート利用禁止）参考： https://aws.amazon.com/jp/blogs/news/centrally-managing-root-access-for-customers-using-aws-organizations/

Slide 18

Slide 18 text

17 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止しますルート認証情報の一元的なステータス監視ルート認証情報の一元管理 ◼ 内容： • AWS Organizationsでは、全メンバーアカウントのルートユーザーの状態を一元管理できる • 状態はAPIやConfigルールを通じて継続的に監視可能 ◼ 背景・課題： • アカウントごとにルートユーザーの設定がバラバラ • 確認・是正作業が人手・属人化しやすい ◼ 効果： • ガバナンス強化と監査対応の容易化 • 長期的に「ルート不要」な状態を維持可能参考： https://aws.amazon.com/jp/blogs/news/centrally-managing-root-access-for-customers-using-aws-organizations/

Slide 19

Slide 19 text

Slide 20

Slide 20 text

19 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止しますルートセッションによる管理ルートセッションを活用した運用 ◼ 内容： • AWS Organizations を使用して、管理アカウントからメンバーアカウントに対して短期的に制限されたルートアクセスを取得できる機能 ◼ 実行できるアクション： • ルートユーザー認証情報の監査 • ルートユーザー情報を確認するための読み取り専用アクセス • アカウントリカバリの再有効化 • ルート認証情報なしでのアカウントリカバリの再アクティブ化 • ルートユーザー認証情報の削除 • コンソールパスワード、アクセスキー、署名証明書、および MFA デバイスの削除 • S3 バケットポリシーのロック解除 • 「Deny:*」（すべてのプリンシパルを拒否）を含むS3バケットポリシーの編集または削除 • SQS キューポリシーのロック解除 • 「Deny:*」（すべてのプリンシパルを拒否）を含むAmazon SQSリソースポリシーの編集または削除参考： https://aws.amazon.com/jp/blogs/news/centrally-managing-root-access-for-customers-using-aws-organizations/

Slide 21

Slide 21 text

20 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止しますルートセッションによる管理ルートセッションを活用した運用 ◼ 実行できるアクションをどのように実行するのか ⚫ 実行できるアクションのうち1つのポリシーを指定する必要がある ⚫ S3 バケットポリシーのロック解除を指定したコマンド参考： https://aws.amazon.com/jp/blogs/news/centrally-managing-root-access-for-customers-using-aws-organizations/ aws sts assume-root ¥ --target-principal [account id] ¥ --task-policy-arn arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy

Slide 22

Slide 22 text

Slide 23

Slide 23 text

22 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止しますメンバーアカウントへの影響ルート認証情報の一元管理とルートセッションの注意点 ◼ ルート認証情報の一元管理とルートセッションを有効化後にできるアクション • ルートユーザー認証情報の監査 • アカウントリカバリの再有効化 • ルートユーザー認証情報の削除 • S3 バケットポリシーのロック解除 • SQS キューポリシーのロック解除 ◼ ルート認証情報の一元管理とルートセッションを有効化後にできないアクション（一部） • S3 MFA Delete • 請求情報の表示 • リザーブドインスタンスマーケットプレイスに出品者として登録参考： https://aws.amazon.com/jp/blogs/news/centrally-managing-root-access-for-customers-using-aws-organizations/

Slide 24

Slide 24 text

23 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止しますメンバーアカウントへの影響ルート認証情報の一元管理とルートセッションの注意点 ◼ ルート認証情報の一元管理とルートセッションを有効化後にできないアクション（一部） • S3 MFA Delete • 請求情報の表示 • リザーブドインスタンスマーケットプレイスに出品者として登録 ◼ これらのアクションを実行するには、メンバーアカウントのルートユーザーが必要 ➢ メンバーアカウントで作業が発生するたびにCCoEが作業しなくてはならない参考： https://aws.amazon.com/jp/blogs/news/centrally-managing-root-access-for-customers-using-aws-organizations/

Slide 25

Slide 25 text

Slide 26

Slide 26 text

25 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します CCoEの運用負荷を軽減するのかルートユーザーの一元管理とルートセッションの導入を検討するケース1：とにかく堅牢な環境を構築したい場合 ◼ アクション：ルートユーザーの一元管理とルートセッションの導入してもよい ◼ 影響 ⚫ メンバーアカウントでルートセッションの対象外となっているルートユーザーが必要なアクションが発生するたびにCCoEの運用負荷は増加する ⚫ メンバーアカウントでの開発作業にも開発スケジュールなどの影響が出る可能性がある Account A ルートユーザー Account B ルートユーザー Account C ルートユーザー Management account

Slide 27

Slide 27 text

26 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します CCoEの運用負荷を軽減するのかルートユーザーの一元管理とルートセッションの導入を検討するケース2：ガバナンスを効かせつつ柔軟な環境を構築したい場合 ◼ アクション：ルートユーザーの一元管理とルートセッションの導入は見送る ◼ 影響 ⚫ メンバーアカウントでの開発作業への影響を最小限に抑えられる ⚫ CCoEはメンバーアカウントのルートユーザーが適切に管理されているのかを監視し続ける必要がある Account A ルートユーザー Account B ルートユーザー Account C ルートユーザー Management account

Slide 28

Slide 28 text

27 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止しますルートユーザーの管理ルートユーザーの一元管理とルートセッションの導入を検討するケース2：ガバナンスを効かせつつ柔軟な環境を構築したい場合 ◼ AWS Security Hubを活用して、ルートユーザーを管理する ⚫ ルートユーザーにMFAが設定されていない ⚫ ルートユーザーのアクセスキーが発行されている Security OU Audit System OU Member 01 Member 02 AWS Security Hub AWS Security Hub AWS Security Hub

Slide 29

Slide 29 text

Slide 30

Slide 30 text

29 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ◼ 基本的にはルートユーザーは使用しない ◼ ルートユーザーの使用に早期に気づく仕組みを作成する ◼ ルートアクセスの一元管理はメンバーアカウントでの作業を制限する可能性があるため導入は慎重に行う ➢AWSには便利な機能が多くある。その機能を活用して各環境のベストプラクティスを実現するために取捨選択していく必要があるまとめ

Slide 31

Slide 31 text

No content