「AWS アカウントアクセスキーの管理方法に関する重要な変更」の影響

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

よく訓練されたアップル信者、都元です。

今日の話題はこちら。【重要なお知らせ】2014年4月21日より、既存のAWSアカウントのシークレットアクセスキーを取得できなくなります。: Amazon Web Services ブログ

2014-03-18_1024

なんだかびっくりしますよね。さて、この変更によって窮地に追い込まれるのはどういう人でしょうか。また、これは一体どういう変更なんでしょうか。考えて行きましょう。

この変更で窮地に追い込まれる人は誰か

えーと、必死に考えたんですが、通常思いつく範囲で窮地に陥るようなケースを想定できませんでした。つまり概ね「そんな人いない」という結論で問題無いと思います。

無茶苦茶と言えるような特殊で理不尽な状況を言い出したらキリがありませんが、そういうケースであっても恐らく「それってそもそもセキュリティ的に大問題なわけで、別次元で窮地だしww」というような論破が可能な気がしています。

むしろ「こういう人はヤバいんじゃ?」というのが思いついた方は、是非教えてください。

この変更は一体何なのか

まずは過去エントリIAMによるAWS権限管理運用ベストプラクティス (1)を見てください。今回の話題で対象になるのは「AWSアカウントAccess Credentials(いわゆるAPIキー)」です。つまりプラクティス2で示した、そもそも通常「使うべきではない」クレデンシャルです。まぁ百歩譲って使っていたとしても、前述の通り概ね問題は発生しなさそうです。さてその理由とは。

APIキーというのはアクセスキーとシークレットキーの組み合わせで、発行の操作をしたタイミングで、この両者が取得できます。その後も、アクセスキーはAWSのManagement Consoleより随時確認できます。一方、シークレットキーについても今までは【随時確認することが出来ました】が、4/21以降は【発行のタイミング以外では確認できない】という変更が適用されます。

つまり、発行時に示されたアクセスキーとシークレットキーを(安全な場所に)保管している場合は、全く影響がありません。万一発行済のキーを紛失してしまったとしても、Access Credentialsはキーローテート(削除して新しいキーを発行)できます *1ので、影響は無いはずです。

まとめ

以上をまとめますと。

  1. AWSアカウントAccess Credentialsをそもそも使っていなければ影響は無い
  2. 使っていたとしても、初回発行時にきちんと保管をしていれば影響は無い。
  3. シークレットキーを紛失したとしても、キーローテート(再発行)すれば良い。
  4. 失くしたにもかかわらずキーローテートが許されないとはどういう状況? そんなのある? 無ければ問題ない。

という感じです。ちなみに弊社メンバーズのお客様につきましても、前述のプラクティス2に従って、このキーはお渡ししておりませんので、一切影響はございません。

脚注

  1. ちなみにAccess Credentialsは一方的にAWSからあてがわれるもので、利用者の意思でパスワード変更のようなことはできません。