[アップデート] “ついに” IAM ユーザーのデフォルトパスワードポリシーが強化されました

IAMユーザーのパスワードポリシーをデフォルトのまま使用している方は要注意
2020.11.22

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

ちゃだいん(@chazuke4649)です。

先日のアップデートで、"ついに"IAM ユーザーのデフォルトパスワードポリシーが強化されました。

AWS Identity and Access Management (IAM) now introduces new policy defaults for passwords of IAM users. This policy improves the default security for all AWS customers by ensuring customers set stronger passwords for IAM users in their AWS accounts.

AWS Identity and Access Management introduces new policy defaults for IAM user passwords

詳細は以下公式ブログで解説されていますので、ご一読いただくことをオススメします。

AWS IAM introduces updated policy defaults for IAM user passwords | AWS Security Blog

何が変わったのか?

IAM ユーザーのパスワードポリシーは、アカウント単位で設定できます。特に何もしていない場合は、デフォルトのパスワードポリシーが適用されます。これをカスタムのパスワードポリシーとして任意の制限をかけることができます。

いままで

デフォルトのパスワードポリシーとしては主に以下条件のみでした。

  • 6文字以上

これから

デフォルトのパスワードポリシーとして、以下が自動的に適用されます。

  • 8文字以上
  • 次の4種のうち少なくとも3種を使用する。英字大文字、英字小文字、数字、英数字以外の記号(!@#$%^&*()_ +-[] {} | '
  • AWSアカウント名またはメールアドレスと同一ではない

"ついに"とは?

以下公式ブログによると、どうやらこのアップデート自体は元々5月発表、8月適用予定でしたが、何度か日程が変更になり、11月18日にようやく適用されたようです。

November 2, 2020: This post has been updated to reflect the change in date for the default password policy from October 28 to November 18.

October 20, 2020: This post has been updated to reflect the change in date for the default password policy from October 2 to October 21 to October 28.

July 27, 2020: This post has been updated to reflect the change in date for the default password policy from August 3 to October 2.

AWS IAM introduces updated policy defaults for IAM user passwords | AWS Security Blog

これは個人の憶測ですが、このアップデートは全アカウントに大して広く適用されるため、場合によってはパスワードが変更できなくなるIAMユーザーが 出てくる可能性があるため、度々延期されたのではと思ったりしています。

確認してみる

普段利用するIAMアカウントにはカスタムパスワードポリシーが適用されているので、普段使用しないIAMアカウントを見てみました。

IAMコンソールから「アカウント管理」を開くと以下のように、デフォルトパスワードポリシーが適用されていることが確認できました。

これを変更するには「パスワードポリシーを変更する」を押して、以下の画面で設定できます。

終わりに

IAMユーザーのパスワードポリシー変更は、あらゆる方面からセキュリティ対策の必須事項・ベストプラクティスとして実施が推奨されているため、意識的・無意識的に変更されていることの方が多いのではと思ったりしています。ただ、一度もセキュリティチェックを実施したことがない場合にデフォルトのままだったというパターンもありうると思います。

いい機会なので、このタイミングで一度確認し、パスワードの安全性を一度確認してみてはいかがでしょうか?

それではこの辺で。ちゃだいん(@chazuke4649)でした。

参考URL

Setting an account password policy for IAM users - AWS Identity and Access Management

AWSアカウントのパスワードポリシー | Developers.IO

AWSアカウントを作ったら最初にやるべきこと ~令和元年版~ | Developers.IO

AWSを使うときに確認すべき52のセキュリティチェック項目と15分でできる簡単なチェックの方法 | Developers.IO