次世代のパーミッション管理について「AWS identity: Next-generation permission management」視聴レポート

記事タイトルとURLをコピーする

AWS re:Invent 2020 のセッション「AWS identity: Next-generation permission management(次世代のパーミッション管理について)」の視聴レポートです。

当該セッションはこちらのリンクになります。

感想

AWSはアップデートが早く、結局今はどういう方法が良いの?と悩むことがありますよね。 組織のパーミッション管理について、2020年10月現在のベストプラクティスが大まかに確認できましたので良いセッションでした。 様々な方法、様々な組み合わせでとても柔軟にパーミッション管理を行うことができます。 とても便利ではありますが、使いこなすにはある程度学習も必要になりますので、詳しく確認したい場合は個別に深堀りしていきましょう。

セッションの概要

  • こちらのセッションでは、アプリケーションのパーミッションを管理するセントラルセキュリティチームと開発者を対象としています。
  • パーミッション管理を自信を持って拡張できる権限モデルを確認します。
  • パーミッションガードレールを使用してアクセス管理を成功させるために組織を設定する方法を学びます。
  • 次に、属性に基づいて従業員の権限を付与することで、ユーザやチームの調整に合わせて拡張できるようにする方法を学びます。
  • 最後に、アクセス解析ツールとその使用方法について学び、幅広い権限を特定して削減し、ユーザーやシステムに必要なものだけにアクセスできるようにします。

Permission management model

AWSにおけるパーミッションモデルのお話

f:id:swx-kumagai:20201208193625p:plain

  • Separate workloads using multiple accounts
    複数のAWSアカウントを使用してワークロードを分ける
  • Federation using Identity and Access Management (IAM) roles
    IAMロールを使用したフェデレーション
  • Prevent Access using permission guardrails
    パーミッションのガードレールを使用してアクセスを防止する
  • Review and Refine Permissions using access
    アクセス解析を利用したパーミッションのレビューと改善
  • Fine-grained permissions using attribute-based access control (ABAC)
    属性ベースのアクセス制御(ABAC)を利用したきめ細かなパーミッション

Review permission tools

アクセス管理のツールとしまして下記がありますというお話 f:id:swx-kumagai:20201208194723p:plain

様々なポリシーがありますが、こちらのポリシーを使うときはこのように許可しなければならないと説明してくれます。 f:id:swx-kumagai:20201208195819p:plain

Start with permission guardrails [簡単なデモあり]

SCPを使ったパーミッション管理方法をデモしてくれます。

Embark on least privilege journey with access analysis (アクセス解析を利用して、最小権限の旅にでよう) [簡単なデモあり]

Access Analyzer の使い方や last activity から不要なリソースを削除する方法などのデモをしてくれます。 最小権限に設定していく方法を確認できます。

Remove unused permissions with confidence

ほんとそうですね。思い切って不要なパーミッションは削除しないと、いつまでも整理できません。

Pro tip: Channel your inner Marie Kondo

こんまり の影響力はすごいですねw

Use attributes for fine-grained permission (きめ細かなパーミッション管理のために属性を使用する)

attribute-based access control (ABAC) を利用して、きめ細かなパーミッション管理をしましょうというお話。
ABACのメリットを解説してくれます。AWSでは [attribute] は [タグ] のことです。IAMユーザやIAMロール、そしてAWSリソースにはタグをつけましょう。例えばプロジェクトやチーム毎にタグを付け、タグ条件でパーミッションを管理することで一元管理が可能です。リソースが多くなると、個々に制限することは大変ですのでタグを利用しましょう。

f:id:swx-kumagai:20201208203023p:plain

キーポイント

  • パーミッションのガードレールから始めよう
  • アクセス解析を利用して範囲の広いアクセスを減らそう
  • きめ細かなパーミッション管理のため属性(タグ)を活用しよう

繰り返しとなりますが、当該セッションはこちらのリンクになりますので、詳しい内容が知りたい方はぜひご確認ください。