強化されたAWS IAMパスワード管理を理解する

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

ども、大瀧です。
本日IAMの新機能としてパスワード管理の機能追加とクレデンシャルレポートの出力がリリースされました。IAMユーザーの管理をよりセキュアにする良い機能拡張だと思うので、アップデート内容をまとめてみます。

パスワード管理の機能追加

従来からIAMユーザーのパスワード設定として、最小文字数などが設定できたのですが、今回の機能拡張で設定項目が大幅に増えました!一般的なパスワード管理で必要とされる項目は一通り網羅されているのではないかと思います。設定画面は従来通り、Management ConsoleのIAMのメニューにある[Password Policy]で確認、設定出来ます。

iam-enhanced01

設定名 はたらき
Minimum password length パスワードの最小文字数 既定値は6で、6〜128文字が設定できます
Require at least one uppercase letter パスワード文字列に英大文字を必須とするか
Require at least one lowercase letter パスワード文字列に英小文字を必須とするか
Require at least one number パスワード文字列に数字を必須とするか
Require at least one non-alphanumeric character パスワード文字列に記号を必須とするか
(記号には ! @ # $ % ^ & * ( ) _ + - = [ ] { } | 'が使用できます)
Allow users to change their own password ユーザー自身のパスワード変更を許可するか 既定で有効
Enable password expiration パスワード有効期限を設定するか 有効の場合、1〜1095日を設定します
Prevent password reuse 過去のパスワード使用を禁止するか 有効の場合、1〜24世代を設定します
Password expiration requires administrator reset パスワード期限切れの際に管理者による解除を必要とするか

クレデンシャルレポートの出力

こちらは、パスワード設定を含む、現在の権限設定をCSVファイルに出力、ダウンロードする機能です。使い方は簡単で、Management ConsoleのIAMのメニューに[Credential Report]が追加されていますので、そこにある[Download Report]ボタンをクリックするとCSVファイルのダウンロードが実行されます。

iam-enhanced02

ダウンロードできるCSVファイルの内容は以下のフォーマットになります。

user,arn,user_creation_time,password_enabled,password_last_changed,password_next_rotation,mfa_active,access_key_1_active,access_key_1_last_rotated,access_key_2_active,access_key_2_last_rotated,cert_1_active,cert_1_last_rotated,cert_2_active,cert_2_last_rotated
<root_account>,arn:aws:iam::123456789012:root,2013-07-03T07:14:10+00:00,not_supported,not_supported,not_supported,true,false,N/A,false,N/A,false,N/A,false,N/A
user1,arn:aws:iam::123456789012:user/user1,2014-04-12T08:17:35+00:00,false,N/A,N/A,false,true,2014-04-12T08:17:35+00:00,false,N/A,false,N/A,false,N/A
user2,arn:aws:iam::123456789012:user/user2,2014-04-12T08:17:35+00:00,false,N/A,N/A,false,true,2014-04-12T08:17:35+00:00,false,N/A,false,N/A,false,N/A
  : 

AWSアカウントの管理者が、各ユーザーちゃんとパスワード設定をしているか、MFA(多要素認証)を設定しているかなどチェックするために有用ですね。

まとめ

本機能を紹介しているAWS Security Blogでは、以下の説明があります。セキュリティ認証の取得や日々のよりセキュアな運用管理に役立てていただければと思います。

These enhancements are designed to help you comply with security standards such as PCI DSS v2.0, ISO 27001, and FedRAMP.