[アップデート] Amazon EFS ファイルシステム作成時に暗号化を強制する IAM 条件キーが追加されました!

Amazon EFS ファイルシステム作成時の暗号化を強制できるようになりました。統制を効かせたい時にどうぞ。

コンバンハ、千葉(幸)です。

Amazon EFS のファイルシステムを暗号化なしで作成することを、 IAM 条件キーを使用して制限できるようになりました!

暗号化必須の環境では、システム的に制限できるのは嬉しいですね。

目次

何が変わったのか

Amazon EFS では、保管中のデータを AWS KMS を利用して暗号化できます。

暗号化の有無はファイルシステムの作成時にのみ設定可能で、作成後に変更することはできません。今回のアップデートにより、作成時にこの暗号化を強制できるようになりました。

なお、クライアントとファイルシステム間で転送中のデータの暗号化についてはマウントヘルパーで設定するものであり、今回のアップデートとは直接関係しません。

追加された条件キーと使用できるアクション

通常、こういったアップデートがあった際には以下のドキュメントを参照して確認しているのですが、現時点ではまだ反映されていません。

そのため、今回はマネジメントコンソールより IAM ポリシーのビジュアルエディタの画面で確認を行いました。

以下が確認できました。

  • 今回追加された条件キー:elasticfilesystem:Encrypted
  • 使用できるアクション:elasticfilesystem:CreateFileSystem

ビジュアルエディタの活用方法は、以下エントリをご参照ください。

やってみた

今回はまず以下の IAM ポリシーを作成しました。暗号化が無効であればファイルシステム作成を拒否する、というだけのルールです。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": "elasticfilesystem:CreateFileSystem",
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "elasticfilesystem:Encrypted": "false"
                }
            }
        }
    ]
}

このポリシーと AdministratorAccessをアタッチした IAM ロールを用いて操作を行います。

暗号化しないで EFS ファイルシステムを作成

まずは暗号化しないでファイルシステムを作成し、拒否される挙動を確認します。

EFS の画面より、ファイルシステムの作成を押下します。

デフォルトではこのようなシンプルな作成画面が表示されますが、ここでは暗号化の指定ができないため、[ カスタマイズ ] を押下します。

ステップが 4 つに分かれているので、順番に実行していきます。暗号化の有無はこのステップで指定するため、無効を選択し、次に進みます。

適宜選択して次に進みます。

どうせ失敗するんだけどな……と思いながら次に進みます。

最後にこれまでの設定を確認し、[ 作成 ] を押下します。

権限不足のエラーが表示され、ファイルシステムの作成は失敗します。期待通りの挙動を示しました。

暗号化して EFS ファイルシステムを作成

成功するパターンも確認しておきます。

先ほどのシンプルな作成画面でそのまま作成します。

この方式は 2020年 7月に有効になったもので、デフォルトキーを用いた暗号化が自動的に有効になります。詳細は以下エントリを参照してください。

問題なく作成できました。ここでは暗号化が有効になっていることが分かります。

終わりに

ファイルシステムの暗号化を強制する IAM 条件キーが追加されたことを確認しました。

この条件は Organizations の SCP でも利用できますので、マルチアカウントで統制を効かせることもできます。セキュリティポリシーやコンプライアンスで暗号化が高いレベルで求められている環境では、こういった仕組みを活用して、適切にコントロールを実施いただければと思います。

以上、千葉(幸)がお送りしました。