「Dome9～IAMSaftyで考えるIAMベストプラクティス」というテーマで話をしました！AKIBA.SaaS

2022年3月9日に行われたAKIBA.SaaS ONLINEに「Dome9～IAMSaftyで考えるベストプラクティス」というテーマで登壇しました！

本記事はその登壇資料の公開＆まとめ記事になります。

セッション概要

今回はDome9をIAMベストプラクティスの実現に役立てようという観点で発表をしました。

Dome9には様々なサービスが用意されていますが、今回はIAMSafetyというIAMUserやRoleに特権の付与ができるサービスについてフォーカスして話しています。

権限の一時昇格を行うには様々な方法がありますが、STSを使ったスイッチロールとの比較も簡単にしてみました！

資料

Dome9とは

今回紹介したDome9は、IaaSの設定情報の可視化をし人為的ミスの回避、コンプライアンス遵守を支援するサービスです。

実はクラウドのセキュリティインシデントの一番の原因は人為的設定ミスによるものだといわれています。

できるだけ人為的設定ミスを減らすことがよりセキュアにクラウドを運用するカギとなります。

こちらのブログでご紹介したAWS 設計のベストプラクティスで最低限知っておくべき 10 のことにも環境の自動化に関しての項目がある通り、できるだけセキュリティやコンプライアンスに関する考慮事項のチェックなども自動化をすれば、管理者の負担が減るだけでなく結果としてよりセキュアに環境を運用することができます。

最小特権の原則

AWSが公表しているIAMでのセキュリティベストプラクティスには、「最小の特権を認める」というものがあります。

個人的にもこの項目はそもそも明確な正解がないこともあり実現するのが難しいモノだと思います。

「どこまで権限が必要か、使ってみないとわからない。」

「必要そうだと思って権限を与え過ぎてしまった。」

このような権限の問題に直面し、「権限を一時的に（時間単位で）付与したい」というときに役立つのがIAMSafetyです。

IAMSafetyはアカウントの保護と権限の一時付与を実現するサービスです。

権限の一時付与にはいくつか方法がありますが、本セッションではSTSを使ったスイッチロールとの比較をしていきました。

スイッチロールとIAMSafety

それぞれのしくみから説明していきます。

スイッチロールは、ロールをSTSの力を借りて一次的にロールを切り替える方法です。これによって一時的にそのロールが持つ権限を付与されます。

IAMSafetyでは制限ポリシーがアタッチされたグループと、許可ポリシーがアタッチされたグループの二つを使いどちらに所属させるかで権限の一時付与を可能にしています。

IAMSafetyの利点としては、管理者が特権付与を完全に管理することができ、誰がいつまで権限昇格をしているのか一目瞭然な部分になります。

アカウントの保護設定をすることで、ワンクリックで簡単に権毛の付与をすることが可能です。アカウントの保護設定も簡単で、ポリシーテンプレートも用意されているので10分程度で保護を完了することができます。

まとめ

IAMSafetyをうまく使うことで、IAMベストプラクティスの一つである「最小の特権を付与する」を実現する手助けになります。セキュリティ管理の自動化でよりセキュアなクラウド運用をしていきましょう。

Dome9についての記事はこちらにまとめられています。