[レポート] アクセス管理の信頼性 (Access Control Confidence) #SEC316 #reinvent

大阪オフィスのちゃだいんです。

re:Invent2019にて行われた下記セッションについてレポートします。

[SEC316] Access control confidence: Grant the right access to the right things

Speaker

• Brigid Johnson Senior Manager, AWS Identity , Amazon Web Services

概要

組織がAWS上に構築されると、適切なアクションのために適切なリソースに適切なタイミングで適切なアクセス権を開発者とアプリケーションに付与することがセキュリティにとって重要です。 このセッションでは、AWS環境でアクセス許可を設定するアプローチを共有します。 許可ガードレールを構成し、許可管理を開発チームに委任する方法を示します。 属性ベースのアクセス制御（ABAC）を使用して、組織に合わせて細分化されたアクセス許可を設定する方法を示します。 最後に、自信を持ってアクセス許可をダイヤルする方法について説明します。 各ステップをガイドし、例を提供することで、組織でアクセス制御を設定する自信を得るのに役立ちます。

動画

※アップロード後に更新予定

レポート内容

全体は動画で全て参照できるので、ここでは抜粋しお伝えします。

アジェンダ

• Review permissions in AWS （アクセス許可のおさらい）
• Understand a permission framework that fosters growth （成長を促進するアクセス許可フレームワークの理解）
• Set yourself up for success with permission guardrails -demo- （成功のために、アクセス許可ガードレールをセットアップする）
• Rely on attributes for fine-grained permission at scale -demo- （大規模な上手に付与されたアスセス許可の属性を信頼する）
• Use analytics to rein in permissions -demo- （アクセス許可を制御するためにアナリティクスを使用する）

アクセス許可には２段階ある

1. あなたがやること: 仕様を明示すること どのエンティティがどのリソースに対してどんな条件でどんなアクションを実行できるようにするのかを定義する
2. AWSがやること: 強制すること 各リクエストに対し、AWSサービスやアプリケーションがあなたが定義したアクセス許可を評価する

アクセス許可とはマッチング

リクエストの内容と、定義されたポリシーが合うか合わないかで、許可・拒否されるか決まる

最小権限のジャーニー

信頼できるアクセス許可の作り方

• アクセス許可のガードレール
• 属性ベースのアクセス管理
• アクセス許可を制御する

アクセス許可のガードレールを実現するAWSツール

• VPC PrivateLink & VPCEndpointポリシー： トラフィックをVPC内に制限する
• Organizations SCPs： アカウント横断のプリンシパルに対するアクセス管理をするガードレール
• IAM Permission boundaries: 開発者にアクセス許可を作成・管理を許すが、付与できる最大権限は制限する

アクセス許可のガードレールとしての、SPCs

できること

• 具体的なAWSリージョンへのアクセスを制限する
• IAMプリンシパルによるリソース削除を防止する
• 明示したロールを除いた全てのIAMプリンシパルに対してサービスアクションを制限する

Permission boundaries（アクセス許可の境界線）

できること

• 権限をエスカレートさせずに、開発者にロール作成を許可する
• 境界線のあるロール作成を開発者に要求する

Permission boundariesについて

付与可能な最大権限を制限すること。 それにより、管理者は利用者に想定範囲を越えないIAM作成権限を移譲することができる（開発スピード低下防止、管理者の負荷軽減）

以下参考記事

• [新機能]IAMの委譲権限を制限可能なPermissions Boundaryが登場したので試してみた ｜ Developers.IO

• Permissions Boundaryによる利用者へのIAM権限移譲と権限昇格の防止 - Qiita

大規模な属性ベースのアクセス許可

Expamles

• 開発者に、属しているプロジェクトのリソースのみ読み書き権限を付与する
• 開発者に、新しいリソースは属しているプロジェクトに割り当てることを要求する
• 開発者に、チームで共有されているリソースには読み込み権限を付与する
• 属しているプロジェクトのリソースのみ管理する

属性ベースのアクセス管理（ABAC）を適用するAWSツール

• IAMプリンシパルタグ ＆ セッションタグ（NEW）
• AWSリソースタグ
• IAMポリシー
• Organizationsのタグポリシー

セッションタグforABAC

セッションタグforABACの詳細は以下を参照

[UPDATE]フェデレーションでタグを渡せるSTSの新機能Session Tagがリリースされました #reinvent ｜ Developers.IO

アクセス許可制御のためのアナリティクスの使用

アクセス許可制御のためのAWSツール

• ロールとアクセスキーの最後に使用した日時情報
  詳しくはこちらの記事を参照（[アップデート] IAMロールの最終使用日時を確認できるようになりました！ ｜ Developers.IO）
• サービスへの最後にアクセスした情報
• IAMアクセスアナライザー
  詳しくはこちらの記事を参照（IAM Access Analyzerについて調べてみた #reinvent ｜ Developers.IO）

感想

セキュリティにおける現在のAWSのトレンドであるガードレールの概念や、属性ベースのアクセス管理を、具体的にどう実現するのかデモを交えて説明されたプラクティカルなセッションでした。

re:Invent前後で発表された、管理者にとって嬉しいアップデートも盛り込まれた最新ノウハウなので、ぜひ積極的に取り入れていきたいと感じました。

それでは今日はこのへんで。