【Security Hub修復手順】[IAM.1] IAM ポリシーでは、完全な「*」管理者権限を許可しないでください

AWS SecurityHub 基礎セキュリティのベストプラクティスコントロール修復手順をご紹介します。

AWS Security Hub 基礎セキュリティのベストプラクティスコントロール修復手順

おつまみ

2022.11.28

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは！AWS事業本部のおつまみです。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか？

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。

本記事の対象コントロール

[IAM.1] IAM ポリシーでは、完全な「*」管理者権限を許可しないでください

[IAM.1] IAM policies should not allow full "*" administrative privileges

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

このコントロールは、ユーザーが作成するカスタマー管理のIAMポリシーに、下記のAWS管理ポリシーAdministratorAccessと同等の権限を持つアクセス権があるかどうかをチェックします。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

このコントロールは、ユーザーが作成するカスタマー管理のIAMポリシーのみをチェックします。インラインおよび AWS管理ポリシーはチェックされません。

基本方針として、IAMポリシーは最小特権のみを付与することを推奨しております。カスタマー管理のIAMポリシーで完全な管理者権限を提供すると、リソースが不要なアクションにさらされる可能性があります。
意図しないアクションを防止するためにも、可能な限り対応しましょう。　　

修正手順

1. 非準拠のカスタマー管理ポリシーを特定

AWS 基礎セキュリティのベストプラクティス v1.0.0にて、「IAM.1」を検索します。タイトルを選択します。
失敗しているIAMポリシーを選択します。
[ポリシーの使用状況]タブを選択し、IAMエンティティの適用有無を確認します。
- 適用されていた場合、同等の権限を持つAWS管理ポリシーのAdministratorAccessに変更します。[2.AWS管理ポリシーの追加][3.ポリシーのデタッチ・削除]を実施して下さい。
- 適用されていなかった場合、カスタマー管理ポリシーは不要です。そのため、[3.ポリシーのデタッチ・削除]を実施して下さい。

2. AWS管理ポリシーの追加

対象のIAMエンティティを選択します。今回はIAMユーザーを例にします。
[アクセス権限の追加]を選択します。
[既存のポリシーを直接アタッチ]を選択し、AWS管理ポリシーのAdministratorAccessを選択します。[次のステップ：確認]を選択します。
[アクセス権限の追加]を選択します。
ポリシーが追加されたことを確認します。
該当した他のIAMエンティティに対しても、同様にAWS管理ポリシーのAdministratorAccessを付与します。

3. ポリシーのデタッチ・削除

再度、非準拠のカスタマー管理ポリシーの[ポリシーの使用状況]タブを選択します。
ポリシーに紐付いているIAMエンティティを選択し、[デタッチ]を選択します。
注意確認画面が表示されます。[デタッチ]を選択します。
「エンティティが (非準拠のIAMポリシー名) からデタッチされました。」と表示され、紐付いているIAMエンティティがないことを確認します。
次に[ポリシーの削除]を選択します。
注意喚起画面にて、[削除]を選択します。
非準拠のカスタマー管理ポリシーが削除されたことを確認します。
SecurityHubにて、失敗しているリソースが0になっていること及びステータスが[成功]になっていることを確認します。 ※リソースの更新には数分、ステータスの更新には1日程度かかります。