IAM

AWS Identity and Access Management (IAM) ノート。

Overview

• Identity and Access Management、グローバルサービス
• 最小(さいしょう) 権限(けんげん) の原則(げんそく) (Least Privilege Principle)
• ユーザーまたはグループに ポリシー という JSON ドキュメントを割(わ) り当(あ) て

Permissions

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ec2:Describe*",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloudwatch:ListMetrics",
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:Describe*"
      ],
      "Resource": "*"
    }
  ]
}

Policies

Policies Structure

ARN Format

arn:partition:service:region:account-id:resource-id/path
arn:aws:s3:::com.lex.demo.file/file1

• partition: 常(つね) に “aws”
• region: グローバルサービス（例(れい) : S3）では空(から)
• account-id: 一部(いちぶ) のサービス（例(れい) : S3）では空(から)

Password Policy

• 最小(さいしょう) パスワード長(ちょう) を設定(せってい)
• 特定(とくてい) の文字(もじ) タイプを要求(ようきゅう) （大文字(おおもじ) 、小文字(こもじ) 、数字(すうじ) 、非(ひ) 英数字(えいすうじ) ）
• IAM ユーザーが自分(じぶん) のパスワードを変更(へんこう) 可能(かのう) に
• 有効(ゆうこう) 期限後(きげんご) のパスワード変更(へんこう) を要求(ようきゅう)
• パスワードの再使用(さいしよう) を防止(ぼうし)

MFA (Multi-Factor Authentication)

全(すべ) ての IAM ユーザー、特(とく) にルートアカウントに強(つよ) く推奨(すいしょう) 。

Access Keys

AWS へのアクセス方法(ほうほう) :

• AWS Management Console: パスワード + MFA で保護(ほご)
• AWS CLI: アクセスキーで保護(ほご) （AWS SDK for Python で構築(こうちく) ）
• AWS SDK: コードベース、アクセスキーで保護(ほご)

Roles for Services

ロールにより AWS サービスが代理(だいり) でアクションを実行(じっこう) 可能(かのう) 。

Security Tools

Best Practices

• ルートアカウントは AWS アカウント設定(せってい) 以外(いがい) で使用(しよう) しない
• 1 人(にん) の物理(ぶつり) ユーザー = 1 つの AWS ユーザー
• ユーザーをグループに割(わ) り当(あ) て、グループに権限(けんげん) を割(わ) り当(あ) て
• MFA を使用(しよう)
• AWS サービス用(よう) のロールを作成(さくせい) ・使用(しよう)
• プログラムアクセス (CLI/SDK) にはアクセスキーを使用(しよう)
• IAM Credentials Report で権限(けんげん) を監査(かんさ)

Shared Responsibility Model

AWS

• インフラストラクチャ（グローバルネットワークセキュリティ）
• 設定(せってい) と脆弱性(ぜいじゃくせい) 分析(ぶんせき)
• コンプライアンス検証(けんしょう)

You

• ユーザー、グループ、ロール、ポリシーの管理(かんり) と監視(かんし)
• 全(すべ) てのアカウントで MFA を有効化(ゆうこうか)
• キーを定期的(ていきてき) にローテーション
• IAM ツールで適切(てきせつ) な権限(けんげん) を適用(てきよう)
• アクセスパターンを分析(ぶんせき) し権限(けんげん) を確認(かくにん)