IAM Access Analyzerと既存の機能を比較してどう使っていくか考察してみた #reinvent

こんにちは、臼田です。

みなさん、セキュリティ運用してますか?(挨拶

re:Invent 2019でリリースされた新機能のIAM Access Analyzerは簡単に無料で便利に公開設定を確認できる機能です。ただ、既存の機能でも決して出来なかったわけではないです。みなさんご存知AWS ConfigとConfig Rulesを利用すればね。

というわけでその違いからどうやって使っていくかという考察をしていきたいと思います。

そもそもIAM Access Analyzerどんな感じ?

IAM Access Analyzerについてはまず下記を見ていただくといいと思います。

[速報] AWS Identity and Access Management Access Analyzerがリリースされました! #reinvent

しかしリリースの内容だけだと正直良くわからん、と思ったので私の個人的にわかりやすいと感じた解釈を説明します。

IAM Access Analyzerはとにかく外部公開できるサービスが、不要に公開されていないかを確認することに重点を置いたサービスです。

対象となるリソースの種別は下記のようになっています。

  • Amazon S3バケット
    • 外部公開可能
  • AWS KMSキー
    • 外部から参照可能
  • Amazon SQSキュー
    • 外部からキューを入れることが可能
  • AWS IAMロール
    • クロスアカウントでRoleを引き受けることが可能
  • AWS Lambda関数
    • 外部から関数を実行可能

という感じで、それぞれ外部から利用するリソースベースのポリシーなどを持っているため、絶対にそこが間違ってないよね?という確認を徹底するサービスだと私は考えています。

そして、このサービスといっしょに出てきたAccess Analyzer for S3はこの情報を更にS3に特化して見やすくして、ボタン一発で是正もできるようにしたサービスです。詳細は下記へ。

【速報】新機能!S3 Access Analyzerがリリースされました!【導入5分 / ノーコスト】 #reinvent

というわけで、このサービスが非常に特定の用途に尖った機能であることが感じられたと思います。

AWS Configとの比較

AWS Config及びConfig RulesではAWS上の変更履歴を管理し、設定したルールから逸脱したらアラートを出したり自動で修復したりできます。サービスの柔軟性が高く利用範囲も広いですが、この用途でAccess Analyzerと比較した場合、私は以下のようなメリットデメリットがあると考えています。

  • AWS Config / Config Rulesのメリット
    • 柔軟なアクションが可能
    • ほぼリアルタイムの検知が可能
  • AWS Config / Config Rulesのデメリット
    • IAM Role / KMS / SQSについてはマネージドルールで監視できない。個別のカスタマイズが必要。
    • S3の是正アクションが簡単に行えない。個別のカスタマイズが必要。
    • 信頼する外部アカウント等の条件を柔軟に設定できない。都度カスタマイズが必要。
    • ちょびっと費用がかかる

Configの機能を使うことによりリアルタイム性は増しますが、どちらかというと作り込みが必要な部分が多くなってしまいます。

逆に言うと、Access Analyzerは外部公開の設定を監視したり、運用でそれが適切か否かを振り分けて監視設定に落とし込むところはめちゃくちゃやりやすくなっています

結論

というわけで私の結論は、外部公開を管理し始めるならAccess Analyzerで始めるとハッピー。ガッツリ全体的な監視を作り込めるなら全部Configでいいかも?という感じです。

使い方のイメージは湧きましたか?

Access Analyzerは無料で利用できるので、とりあえず有効にしておいて、とりあえず通知の設定を入れて、とりあえず最初の振り分けを済ませておけばいい感じに運用できると思いますのでぜひ使ってみてください!