【レポート】AWSアイデンティティ: 次世代の権限管理 #SEC308 #reinvent

re:Invent 2020にて行われたSEC308「AWS identity: Next-generation permission management」のセッションレポートです。詳細は是非セッションを直接ご確認下さい。
2020.12.04

こんにちは、臼田です。

みなさん、re:Invent 2020に参加してますか?(挨拶

今回はre:Invent 2020で行われた以下セッションのレポートです。

概要

AWS identity: Next-generation permission management

This session is for central security teams and developers who manage application permissions. This session reviews a permissions model that enables you to scale your permissions management with confidence. Learn how to set your organization up for access management success with permission guardrails. Then, learn about granting workforce permissions based on attributes, so they scale as your users and teams adjust. Finally, learn about the access analysis tools and how to use them to identify and reduce broad permissions and give users and systems access to only what they need.

[翻訳]このセッションは、アプリケーションのアクセス許可を管理する中央セキュリティチームと開発者を対象としています。 このセッションでは、権限管理を自信を持って拡張できる権限モデルを確認します。 アクセス許可ガードレールを使用してアクセス管理を成功させるために組織を設定する方法を学びます。 次に、属性に基づいて従業員の権限を付与する方法を学びます。これにより、ユーザーやチームの調整に応じて従業員の権限が拡大します。 最後に、アクセス分析ツールと、それらを使用して幅広いアクセス許可を識別および削減し、ユーザーとシステムに必要なものだけにアクセスできるようにする方法について学習します。

Speakers Brigid Johnson, AWS Speaker

セッションの再演やアーカイブが後ほど公開されると思われるので詳細の内容はこちらをご確認下さい。この記事では見どころを中心にレポートします。

レポート

アジェンダ

  • 権限のモデル
  • 権限管理のツール
  • 権限のガードレールから始める
  • アクセス分析で最小権限に着手する
  • きめ細かい管理のために属性(attributes)を使用する
  • Recap

権限のモデル

AWSでの権限モデルはいろいろあるよーという話。

マルチアカウントやフェデレーション、権限のガードレールとアクセス分析の話をして、より細かい管理をするためにABAC(attribute-based access control)について説明します。

権限管理のツール

まずアクセス管理で利用できるガードレールとしてSCP, permission boundariesが利用でき、リソースによりVCP EndpointのポリシーやBlock public access(S3)などがある。

権限付与するものはIAMプリンシパルとリソースのポリシーを利用する。

権限の評価方法を認識する必要がある。

権限のガードレールから始める

AWS Organizationsで組織を管理している場合にSCPを利用してガードレールを展開できる。

SCPの特性・利用方法などを説明してデモしています。

デモの内容は以下のSCPを利用したネットワーク管理者のみ操作が許可されるガードレールの動作確認。

その後permission boundaryの説明もあります。

アクセス分析で最小権限に着手する

どのように最小権限を実現するかということで、IAM Access Analyzerを利用して広い外部アクセスの許可を検知して絞ります。

更にアクセスアドバイザーを利用して権限の棚卸しを行うデモもします。

きめ細かい管理のために属性(attributes)を使用する

様々なユーザーやリソースが増えてくると、RBACでは乗算的に権限管理の手間が増えます。これを解決するのがABAC(attribute-baced access control)です。ABACについて説明しています。

感想

IAMを始めとした権限管理を組織の中で行っていく際に、学ぶべき内容が一通りまとまっているセッションでした!

セッションの再演やアーカイブが後ほど公開されると思われるので詳細の内容はこちらをご確認下さい。