TxKxZxWx's blog

AWS SAA、Javaの学習

AWS SAA取得に向けて 4日目 「IAM」

セクション4:IAM

 

14. IAM設計

 

  • IAM設計
    AWSを利用するユーザの役割やアクセス権限を自社の組織構造と合わせて設計することが重要。」

    利用組織、利用している人と社内のセキュリティポリシーを確認しつつ、自社に最適なIAM設計を実現していく。


  • IAM設計のベストプラクティス
    ベストプラクティスに沿ったIAM設計をすることが望ましい。

    1.「 アカウント設定などの必要な場合の除いて、ルートユーザーを利用しない。」
    基本的には管理者権限を持ったIAMユーザーを利用する。

    2.「 ルートユーザーなどの特権ユーザーに対して、MFAを有効化する。」

    3. 「利用者ごとにIAMユーザーを作成する。」

    4.「 組織利用の場合は、役割ごとのIAMグループを作成してグループで管理するのを基本とする。」

    5. 「最小限の権限設定と不要な認証情報は削除を心がける。」
    なるべくつける人の役割の範囲だけの権限を設定し、それ以上の範囲は設定しない。
    漏洩などなんらかの事案が起こった場合に最小限の影響にとどまるようにする。

    6. 「ユーザーのために強度の高いパスワードポリシーを設定する。」
    漏洩などを防止。

    7. 「EC2インスタンスで作動するアプリケーションなどプログラムから利用する場合はなるべくロールを使用する。」

    8. 「モバイルやアプリケーションも含め、一時利用にはSTSなどで最小限の利用許可を与える。」

    9. 「AWSアカウントのアクティビティの常に利用状況を監視する。」
    アクティビティをログとして残し、怪しい動き等がないか捉えられるようにする。


  • IAMユーザー or IAMグループ
    少数利用はIAMユーザーを、組織利用はIAMグループを設定する。」
    また、少数利用がずっと継続する場合を除いて、少数利用も含めて最初からIAMグループで設定する方が良い。

    今は少数だか今後拡大していく予定ならグループで設定して行った方がいい。グループ優先。

  • グループ設計
    「組織別または個人単位にAWS利用者とその役割別の利用範囲を整理して、グループ設計を実施する。」

    まずどのような役割の人がどのように利用するか洗い出す。
    その上でこのようなグループがあるなとグループの単位に集約化していき、それぞれに対して最小限の利用権限はこれだというものを設定していく。

 

 

 

15. IAMグループへのポリシー適用①

 

  1. 自社組織に必要な権限を設計する。

  2. 自分で独自のポリシーを作成する。

  3. グループを作成しポリシーを適用する。

 

 

・IT管理者

IT管理者としてルート ユーザーも保持し、権 限設定などの責任を負っている。

 

・運用管理者

運用管理全般を担っているスタッフで、様々 なモニタリングと障害対応などで直接アプリに触れることもある。

 

アプリ開発

主だったAWSサービスを利用してサービス開発を行っている。

 

 

上記のようなIAM設計を行う組織の場合どのような権限を設定すべきか?

 

                    ⬇︎

・IT管理者

フルアクセスの管理者 権限の付与(MFAが必須)。

 

・運用管理者

運用ツール全般と開発環境へのアクセスも付与して、DevOpsに参加できるようにする。

 

アプリ開発

担当しているアプリの開発範囲でのみアクセス権限を付与する。

 

 

                    ⬇︎

・IT管理者

フルアクセスの管理者権限の付与(MFAが必須)

管理ポリシー Administrator

 

・運用管理者

運用ツール全般と開発環境へのアクセスも付与して、DevOpsに参加できるようにする。

・ELB/EC2/RDB/ S3/Auto-Scaling / VPC ・Config/Trail/ CloudWatch

 

アプリ開発

担当しているアプリの開発範囲でのみアクセス権限を付与する。

・ELB/EC2/RDB/ S3/Auto-Scaling/ VPC

 

 

 

実際にやってみる。
1. マネージメントコンソール→IAM→ポリシー→青いポリシー作成ボタン。

Image from Gyazo

 

2. サービスを検索し選択→すべてのアクション→すべてのリソースを設定→「さらにアクセス許可を追加する」で他必要なサービスを追加した後にポリシーの確認ボタン。

Image from Gyazo

 

3. 名前、説明を入力し、概要に追加したサービスがあるのを確認しポリシー作成。

Image from Gyazo

 

 

 

 

 

15. IAMグループへのポリシー適用②

 

「 グループを作って先ほど作成したポリシーを適用していく。」

 

1. グループ→新しいグループの作成ボタン→グループ名入力。

Image from Gyazo

 

2. 先ほど作ったポリシーを検索しチェックを入れて次のステップ。

Image from Gyazo

 

3. ポリシーが適用されているのを確認し「グループの作成」

Image from Gyazo

 

 

グループによって権限が分かれていることが設定できた。

まだユーザーは設定されていないが、ここにオペレーションスタッフなどのアカウントを設定していくことによって、この権限設定でグループ単位で権限の管理ができるようになる。

Image from Gyazo

 

Image from Gyazo