AWS re:Invent2013参加レポート #16 (Japan Track) IAM 10のベストプラクティス

はじめに

AWS玉川さん曰く「IAMの鬼」と呼ばれるAndersさんの同時通訳セッションでした。 IAMをどのように使うか実践的な10のベストプラクティスを実例つきで紹介してくれました。 AWSの堀内さんのWrapupセッションの資料も参考にして10のプラクティスを訳してみました。オリジナルは最後にのっています。Wrapup資料、是非一般公開してほしいです。とても参考になります。

10のベストプラクティス

1. Users - 個別にユーザーを作る
2. Groups - グループを作り管理する
3. Permissions - 与えるのは最小権限のみ
4. Password - ポリシーを設定して、脆弱なパスワードを許さない
5. MFA - 特権ユーザーにはMFAをつかう
6. Roles - EC2はIAM rolesを利用する
7. Shareing - 共有アクセスのためにIAM roleを利用する
8. Rotate - セキュリティクレデンシャルは定期的にローテーションするようにする
9. Conditions 特権ユーザーは、IPやSSLなどの条件を付けアクセスを制限する
10. Root - Root(最初のユーザー)の権限を最小、もしくは、削除する

最初緩くして後から厳しくするのは非常に難しいので、方針として最初に出来るだけ絞るということでした。たしかにそうですよね。

セミナー終了後、Windowsのユーザー管理のように過去のパスワードを許さなかったり、アカウントロックをしたりといった機能はないのか? という質問をしました。案件のRFPで調べたことがあり、ないのは知っていたのですが、Andersさんは "Now Working"と親指たてて答えてくれたので、すぐに使えるようになるのだと思います。たのしみに待っています。

Japan Trackは、翻訳のおかげで理解が進みます。参加者が少ないのはみなさん英語ができるからだと思いますが、もったいない気もします。

余談1

合間に通訳の方と話すことができました。機密保持上資料がぎりぎりまでもらえないので、通訳はとても大変とのことです。事前の用意がなくてあそこまで翻訳できるって、すごいです。

余談2

セミナーの最後にカードを配るということだったのですが質問していたらいつの間にかなくなっていました。残念とおもっていたところ、AWS堀内さんが「私のをあげます」ということで頂きました。ありがとうございました。ちなみにカードはこんな感じです。

会社でIAM管理している方へのプレゼントにしたいと思います。