AWS IAM Identity Center を使わないマルチアカウントのユーザー管理

Transcript

1. 2024.7.31 クラスメソッド AWS事業本部 コンサルティング部 yhana AWS IAM Identity Center を使わない

   マルチアカウントのユーザー管理

2. 自己紹介 yhana クラスメソッド株式会社 AWS事業本部 コンサルティング部 ソリューションアーキテクト 2024 Japan AWS Top

   Engineer (Security) AWS Community Builder (Security and Identity) 2 DevelopersIO ブログのタグ

3. 今日の主題 ユーザーを集約する AWS アカウントを作成して、 マルチアカウント環境のユーザーを一元管理するテクニックを紹介 3 AWS アカウント AWS アカウント

   AWS アカウント ユーザー管理アカウント

4. もくじ 1. マルチアカウントのユーザー管理の課題 2. IAM ユーザーの一元管理の基礎 3. IAM ユーザーの一元管理のテクニック集 4

5. 1. マルチアカウントのユーザー管理の課題 5

6. マルチアカウントのユーザー管理の課題 各アカウントにユーザーを作成する場合の課題 6 AWS アカウント AWS アカウント AWS アカウント 各アカウントに同じ利用者の

   ユーザーを作成する手間 社内ルールが遵守されていない ユーザーの存在 MFA 無し 脆弱な PW 異動・退職により利用していない ユーザーの放置

7. IAM Identity Center による課題解決 AWS Organizations を利用している場合は、 AWS IAM Identity

   Center サービスでユーザーの一元管理が可能 7

8. IAM Identity Center を利用できない場合 AWS IAM Identity Center を利用できない場合もある •

   リセラーの制約 • 社内の制約（社内発行アカウントの制約、別部署が管理など） 8

9. IAM ユーザーを利用した一元管理 IAM ユーザーを一つのアカウントのみに作成して、 他のアカウントには IAM ロールを作成してスイッチロールする 9 パスワード MFA

10. IAM ユーザーを集約するアカウントの呼び方 IAM ユーザーを集約したアカウントの呼び名は様々 • Jump アカウント • 踏み台アカウント •

    ユーザー管理アカウント（本資料ではこの名前を採用） 10

11. 2. IAM ユーザーの一元管理の基礎 11

12. 設定後の利用イメージ 12 マネジメントコンソールにパスワード、MFA でサインイン

13. 設定後の利用イメージ 13 ロールの切り替え（パスワード、MFA は不要）

14. ユーザー管理アカウントの設定例 必要最小限の IAM ポリシーを付与する設定例 • MFA を設定、コンソールパスワードを変更する権限 • スイッチロールする権限 14

15. ユーザー管理アカウントの設定例 MFA 設定、コンソールパスワードを変更する権限 • IAM: IAM ユーザーに MFA デバイスの自己管理を許可する •

    IAM ユーザーに自分のパスワードを変更する権限を付与する スイッチロールする権限 15 { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "*" } }

16. スイッチロール先アカウントの設定例 IAM ロールの設定例 • 許可ポリシー：特権、読み取り権限などの IAM ポリシー • 信頼ポリシー：ユーザー管理アカウントの IAM

    ユーザーを信頼 16

17. 信頼ポリシーの記載例 特定の IAM ユーザーからのスイッチロールを許可 17 { "Version": "2012-10-17", "Statement": [

    { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:user/test-user-01", "arn:aws:iam::111122223333:user/test-user-02" ] }, "Action": "sts:AssumeRole" } ] } • アカウント ID はユーザー管理 アカウントを指定 • user の他に role (IAMロール) の指定も可能 • IAMグループの指定は不可能

18. 信頼ポリシーの記載例 ユーザー管理アカウントにおける すべてのプリンシパル（IAM ユーザー、IAM ロールなど）を許可 18 { "Version": "2012-10-17", "Statement":

    [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "sts:AssumeRole" } ] } • アカウント ID はユーザー管理 アカウントを指定 • root はルートユーザーではなく、 すべての IAM ユーザー/ロール を示す

19. 改めて設定後の利用イメージ 19 マネジメントコンソールにサインイン 最小限の権限のためユーザー管理アカウントの コスト情報は見れない

20. 改めて設定後の利用イメージ 20 ロールの切り替え（スイッチロール） スイッチロールの際に許可された（信頼された） ユーザーであるか判定される

21. 設定後の利用イメージ 21 ロールの切り替え（スイッチロール） 信頼されておらず、 スイッチロールが失敗した例

22. 3. IAM ユーザーの一元管理のテクニック集 22

23. AWS Extend Switch Roles を利用した スイッチロール設定の管理 23 参考ブログ：各種ブラウザでAWS Extend Switch

    Roles #AWSExtendSwitchRoles - Qiita

24. ブラウザ拡張機能によるスイッチロールの管理 AWS Extend Switch Roles は スイッチロールの設定を管理できるブラウザ拡張機能 毎回スイッチ先の情報を入力する手間がなくなる 24 [ReadOnlyAccess]

    aws_account_id = 444455556666 role_name = test-read-only-role region = ap-northeast-1 color = DDDDDD [AdministratorAccess] aws_account_id = 444455556666 role_name = test-admin-role region = ap-northeast-1 color = e26d50 Configuration の設定例

25. スイッチロールの条件として MFA 有無と送信元 IP アドレスを指定 25 参考ブログ：Jumpアカウント環境でIPアドレス制限を行う方法 | DevelopersIO

26. スイッチロールの条件を付与 IAM ロールの信頼ポリシーの Condition により条件を付与 • MFA 有りの場合に許可 • 送信元

    IP アドレスに応じて許可 条件を満たしていない場合はスイッチロールに失敗 26

27. MFA 有りの場合に許可 MFA 有りの場合にスイッチロールを許可する信頼ポリシー例 27 { "Version": "2012-10-17", "Statement": [

    { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "sts:AssumeRole", "Condition": { "Bool": { "aws:MultiFactorAuthPresent": "true" } } } ] }

28. 送信元 IP アドレスに応じて許可 MFA に加えて送信元 IP アドレスに応じてスイッチロールを許可する例 28 { "Version":

    "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "sts:AssumeRole", "Condition": { "Bool": { "aws:MultiFactorAuthPresent": "true" }, "IpAddress": { "aws:SourceIp": [ "192.0.2.1/32", "198.51.100.1/32" ] } } } ] } IP アドレスが下記の場合に許可 • 192.0.2.1/32 • 198.51.100.1/32

29. ユーザー管理アカウントで IP アドレス制限 送信元 IP アドレス制限の別の方法として、ユーザー管理アカウントの IAM ポリシーにおいて制限を設けることも可能 29 マネジメントコンソールへの

    サインイン時に送信元 IP アドレス制限

30. ユーザー管理アカウントで IP アドレス制限 マネジメントコンソールへのサインインを禁止する動作ではなく、 サインインできるが何も操作が許可されていない動作となる 30

31. ユーザー管理アカウントで IP アドレス制限 IAM ユーザー/グループにアタッチする IP 制限の IAM ポリシー例 31

    { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "aws:SourceIp": [ "192.0.2.1/32", "198.51.100.1/32" ] }, "Bool": { "aws:ViaAWSService": "false" } } } } AWS サービスからの利用は 送信元 IP アドレスで制限しない

32. 送信元 IP アドレスに応じて許可 ユーザー管理アカウントの IAM ポリシーで制限する場合と スイッチロール先の IAM ロールで制限する場合の使い分けポイント 32

    ユーザー管理アカウントで制限する場合は、 すべてのスイッチロール先のアカウントに 対して一律で制限できる スイッチロール先のアカウントで制限する場合は、 アカウント毎に異なるポリシーを適用できる

33. スイッチロール先 IAM ロールの 信頼ポリシーで複数ユーザーをまとめて許可 33 参考ブログ：信頼ポリシーにおいてスイッチロールできるIAMユーザーを複数指定する方法 | DevelopersIO

34. IAM ロールの信頼ポリシーで複数ユーザーを許可 IAM ロールの信頼ポリシーは IAM グループの指定に未対応 34 { "Version": "2012-10-17",

    "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:user/test-user-01", "arn:aws:iam::111122223333:user/test-user-02" ] }, "Action": "sts:AssumeRole" } ] } IAMグループの指定は未対応

35. IAM ロールの信頼ポリシーで複数ユーザーを許可 Condition 条件を使うことで次のパターンは実現可能 • IAM ユーザー名をワイルドカードで指定 • IAM ユーザーのパスで指定

    35

36. IAM ユーザー名をワイルドカードで指定 「test-」から始まる IAM ユーザー名のスイッチロールを許可 36 { "Version": "2012-10-17", "Statement":

    [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "sts:AssumeRole", "Condition": { "StringLike": { "aws:PrincipalArn": "arn:aws:iam::111122223333:user/test-*" } } } ] } Principal ではワイルドカ ードは利用できない

37. IAM ユーザーのパスで指定 パスが「/ccoe/」から始まる IAM ユーザーのスイッチロールを許可 37 { "Version": "2012-10-17", "Statement":

    [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "sts:AssumeRole", "Condition": { "StringLike": { "aws:PrincipalArn": "arn:aws:iam::111122223333:user/ccoe/*" } } } ] }

38. IAM ユーザーのパス設定 IAM ユーザーにはユーザー名とは別にパスを設定できる パスはマネジメントコンソールから変更できず、AWS CLI で変更する 38 参考ブログ：IAMユーザーのパス設定を変更してみる |

    DevelopersIO

39. IAM ユーザーのパス設定の注意点 IAM ユーザーのパスは、IAM グループのように一つのユーザーに複数の パスを紐づけることはできない 次のようにパスを階層化することはできる • /company/sales/user01 •

    /company/developer/user02 • /partner/operator/user03 39

40. アクセスキーの利用 40 参考ブログ • IAM初心者がAWS CLIでスイッチロールするまで | DevelopersIO • マネコン起動もできるAWSのスイッチロール用CLIツール「AWSume」の紹介

    | DevelopersIO

41. アクセスキー ユーザー管理アカウントを作成する構成でアクセスキーの作成は 2 通り ① ユーザー管理アカウントの IAM ユーザーでアクセスキーを作成 ② スイッチロール先アカウントでアクセスキーを作成

    41 ① ②

42. ①ユーザー管理アカウントでアクセスキー作成 42 AWS CLI でスイッチロールする例 $ aws s3 ls --profile

    test Enter MFA code for arn:aws:iam::111122223333:mfa/test-user-auth-app: コマンドの実行時に MFA のコードを入力 アクセスキー

43. ①ユーザー管理アカウントでアクセスキー作成 43 AWS CLI でスイッチロールする例 Credentials ファイルの例 [default] aws_access_key_id =

    AKIA5FEXAMPLEEXAMPLE aws_secret_access_key = DrTzlzcMYz2gi49nqEdLZ2jzeexampleexample [test] source_profile = default role_arn = arn:aws:iam::444455556666:role/test-admin-role mfa_serial = arn:aws:iam::111122223333:mfa/test-user-auth-app アクセスキー

44. ②スイッチロール先アカウントでアクセスキー作成 44 プログラム向けのアクセスキーの場合は、スイッチロール先アカウント で個別にアクセスキーを作成する場合もある アクセスキー

45. ②スイッチロール先アカウントでアクセスキー作成 45 人が操作するためのアクセスキーの場合には、 スイッチロール先で AWS CloudShell を利用することもできる アクセスキー

46. ②スイッチロール先アカウントでアクセスキー作成 46 人が操作するためのアクセスキーの場合には、 スイッチロール先で AWS CloudShell を利用することもできる アクセスキー

47. ②スイッチロール先アカウントでアクセスキー作成 47 AWS CloudShell を利用する権限を付与

48. AWS CloudShell 利用時の考慮点 48 セッション時間の制約 > キーボードまたはポインタを使用して 20～30 分間操作しないと、シェルセッションは終了 >

    約 12 時間連続して実行するシェルセッションは、ユーザーがその期間に定期的に操作している場合 でも、自動的に終了 引用元：のサービスクォータと制限 AWS CloudShell - AWS CloudShell インターネットアクセスやファイルのアップロード/ダウンロードが可能 アップロード/ダウンロードはアクションの禁止が可能 ReadOnlyAccess に追加で CloudShell 利用権限を付与する場合に禁止する場合もある 参考ブログ：AWS CloudShell におけるファイルのアップロード・ダウンロードを禁止する権限を試 してみた | DevelopersIO

49. AWS CloudFormation を利用した IAM ロールの設定 49 参考ブログ：CloudFormation StackSetsでスイッチロール用のIAM Roleを一括作成する -

    サーバーワークスエンジニアブ ログ

50. CloudFormation による IAM ロール設定 次のようなシチュエーションでは CloudFormation の利用が便利 • 一つのユーザーが複数のアカウントにアクセスする設定 •

    一時的にアカウントにアクセスする設定 50

51. 複数アカウントにアクセスする設定の展開 StackSets 機能により一つのアカウントから複数アカウントに展開 51 読み取り権限の IAM ロールを作成 読み取り権限の IAM ロールを作成

    読み取り権限の IAM ロールを作成 設定者

52. 一時的なアカウントアクセス設定の依頼 調査や支援のために、一時的にアカウントへのアクセスするための IAM ロール設定依頼を楽にできる 52 依頼者 依頼者のアカウント/ユーザーを 信頼した IAM ロールの作成

53. 外部 ID プロバイダとの連携 （Microsoft Entra ID との連携） 53 参考ブログ：Jump アカウント構成で外部

    ID プロバイダとして Entra ID を利用する | DevelopersIO

54. Microsoft Entra ID との連携例 Microsoft Entra ID とユーザー管理アカウントを連携して、ユーザーを Entra ID

    で管理する構成例 54

55. Microsoft Entra ID との連携例 ユーザー管理アカウントを利用せずに設定することもできるが、 この場合は Entra ID 側の設定頻度が多くなるため、Entra ID

    と AWS の管理 部署が異なると俊敏性が落ちる場合がある 55

56. Entra ID からのアクセスイメージ 56 Microsoft のマイアプリポータルからアカウント管理アカウントにアクセス

57. Entra ID からのアクセスイメージ 57 ユーザー管理アカウントからのスイッチロール手順は Entra ID と連携していないときと同様 ただし、スイッチロール先 IAM

    ロールの信頼ポリシーは異なる （次スライド参照）

58. Microsoft Entra ID との連携例 スイッチロール先 IAM ロールの信頼ポリシー例 58 { "Version":

    "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/test-assume-role" }, "Action": "sts:AssumeRole", "Condition": { "StringLike": { "aws:userid": "*:[email protected]" } } } ] } Entra ID と連携している ユーザー管理アカウントの IAM ロールを指定 Entra ID のユーザープリン シパル名を指定

59. AWS IAM Identity Center と 組み合わせた利用 59 参考ブログ：AWS IAM Identity

    Center から踏み台アカウント経由で AWS Organizations 管理外アカウントにスイッチロール してみる | DevelopersIO

60. IAM Identity Center と組み合わせた利用 AWS Organizations のメンバーアカウントの一つを ユーザー管理アカウントとして運用する構成例 60

61. AWS IAM Identity Center との連携 ユーザー管理アカウントにアタッチするアクセス許可セットのインラインポリシー例 スイッチロールするための権限のみを付与（パスワードと MFA は IAM

    Identity Center で管理しているため変更・設定権限は不要） 61 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sts:AssumeRole" ], "Resource": [ "*" ] } ] }

62. AWS IAM Identity Center との連携 スイッチロール先 IAM ロールの信頼ポリシー例 62 {

    "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/aws- reserved/sso.amazonaws.com/ap-northeast- 1/AWSReservedSSO_AssumeRoleOnlyAccess_22e9e155fexample" }, "Action": "sts:AssumeRole", "Condition": { "StringLike": { "aws:userid": "*iam-idc-user-name" } } } ] } IAM Identity Center が作成した IAM ロールの ARN スイッチロールを許可したい IAM Identity Center の ユーザー名

63. 未利用の IAM ユーザーの無効化 63 参考ブログ：AWS Config ルールの自動修復を利用して一定期間未利用の IAM ユーザーを無効化してみた |

    DevelopersIO

64. 未利用の IAM ユーザーの検出 AWS が提供しているマネージドな Config ルールで ◯ 日間未利用の IAM

    ユーザーを検出できる 64 iam-user-unused-credentials-check を利用して 5 日を超えて未利用の IAM ユーザーを検出した例 5日以内に利用がある 5日以内に利用がない

65. 未利用の IAM ユーザーの無効化 さらに AWS が提供している SSM オートメーション AWSConfigRemediation- RevokeUnusedIAMUserCredentials

    を利用することで 自動 or 手動で IAM ユーザーの無効化も可能 65 手 動 自 動 検出を契機に自動実行 無効化 検出の通知 手動実行 無効化

66. IAM ユーザーが無効化された状態 オートメーション実行後のコンソールアクセス無効化と アクセスキーの無効化（削除ではない） 66

67. ABAC (属性ベースのアクセス制御) の設定 67 参考ブログ • Jump アカウント構成で ABAC を使って

    EC2 インスタンスの起動・停止許可を与える | DevelopersIO • Jump アカウント構成において IAM ユーザーのタグを利用した ABAC により EC2 インスタンスの起動・停止許可を与 える | DevelopersIO

68. スイッチロール時に ABAC で制御する方法 ユーザー管理アカウント構成において ABAC を実現する方法 • スイッチロール先 IAM ロールのタグを利用した

    ABAC • ユーザー管理アカウントの IAM ユーザーのタグも利用した ABAC 68

69. IAM ロールのタグを利用した ABAC スイッチロールした IAM ロールで ABAC を実現する場合は、 IAM ロールに付与したタグを利用する

    69

70. IAM ロールのタグを利用した ABAC 70

71. IAM ロールのタグを利用した ABAC 71 { "Version": "2012-10-17", "Statement": [ {

    "Effect": "Allow", "Action": [ "ec2:DescribeInstances" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances", "ec2:RebootInstances" ], "Resource": "*", "Condition": { "StringEquals": { "ec2:ResourceTag/Project": "${aws:PrincipalTag/Project}" } } } ] } 今回の例では • ec2:ResourceTag は EC2 インスタ ンスのタグ • aws:PricipalTag はスイッチロール している IAM ロールのタグ

72. IAM ユーザーのタグも利用した ABAC IAM ユーザーからスイッチロールできる IAM ロールも ABAC により 制限して連鎖的に制御することもできる

    72

73. IAM ユーザーのタグも利用した ABAC スイッチロール先 IAM ロールと操作対象の EC2 インスタンスの ABAC は上述した「IAM

    ロールをタグを利用した ABAC」と同様のイメージ 73

74. IAM ユーザーのタグも利用した ABAC 74

75. IAM ユーザーをタグも利用した ABAC 75 { "Version": "2012-10-17", "Statement": [ {

    "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "*", "Condition": { "StringEquals": { "iam:ResourceTag/Project": "${aws:PrincipalTag/Project}" } } } ] } 今回の例では • iam:ResourceTag はスイッチ 先の IAM ロールのタグ • aws:PricipalTag は IAM ユー ザーのタグ

76. さいごに 76

77. さいごに AWS IAM Identity Center を利用しないマルチアカウントのユーザー管理方 法を紹介した 基本的には IAM Identity

    Center 推奨だが IAMによる管理には次のような利 点もある • AWS Organizations 外のアカウントへのアクセス設定が比較的容易（IAM Identity Center の場合は IAM ID プロバイダの設定も必要） • AWS Config ルールによる未利用ユーザーの検出と無効化が可能 • ABAC で任意のタグが利用できる（IAM Identity Center は特定の属性の 利用となる） • スイッチロールの表示名が任意のためアカウント ID を含めることも可能 77

78. 78