Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

(20200110)AWS IAM Access Analyzer

46 views

Published on

2020-01-10 fun-tech 発表資料

Published in: Technology
  • Be the first to comment

  • Be the first to like this

(20200110)AWS IAM Access Analyzer

  1. 1. AWS re:Invent 2019 Update AWS IAM Access Analyzer 2020-01-10 Ayumu Kaneko
  2. 2. 概要 ● AWS re:Invent 2019にて AWS IAM Access Analyzer が発表された ● 既に利用可能だったので試してみた
  3. 3. 誰? ● 金子 歩 (カネコ アユム) ● 1977年生 神奈川県出身 ● 株式会社オープンストリーム所属 ● クラウド成分強めアーキテクト ● AWS認定四冠 ○ Solutions Architect Associate ○ Cloud Practitioner ○ Developer Associate ○ Solutions Architect Professional ● 他クラウドでもいくつかの認定 ○ Oracle Cloud Infrastructure 2018 Certificated Architect Associate ○ ACP Cloud Computing Professional (Alibaba Cloud) ● ゲーマー
  4. 4. AWS IAM Access Analyzerとは? ● リソースにアタッチされているアクセス制御ポリシーを解析し、 他のアカウントまたはパブリックにアクセス可能なリソースを検出 ● 外部への不要なアクセス許可を除去することでセキュリティを強化できる ● 対応リソースは以下の通り ○ Amazon S3 バケット ○ AWS KMS キー ○ Amazon SQS キュー ○ AWS IAM ロール ○ AWS Lambda 関数 ● 利用料金不要
  5. 5. 仕組み
  6. 6. アナライザーを作成(1) いつの間にかメニューに追加されていた Access Analyzer
  7. 7. アナライザーを作成(2) ● 入力項目は名前とタグのみ ● リージョンごとに作成
  8. 8. アクティブな結果を確認(1) クロスアカウントやフェデレーションユーザのアクセス許可が検出される 全てが悪いという話ではない
  9. 9. アクティブな結果を確認(2) https://aws.amazon.com/jp/blogs/news/identify-unintended-resource-access-with-aws-identity-and-access-management-iam-access-analyzer/ CognitoのIDプールのためのロール引っかかりがち
  10. 10. アクションを実行 ← 問題なければ(想定されたものであれば) アーカイブする ← 是正する場合は それぞれのコンソールへ
  11. 11. まとめ ● AWSアカウントを作成したらとりあえず設定すべき ○ 料金かからないし ● リソースを個別に精査する手間がなくなり、一気に楽になった ● 検出されても放置してしまっては意味がないため継続的な監視が必要 ○ 例えば CloudWatch Events と連携して SNSトピックに通知したり ● ベストプラクティスを提示するだけでなく、ダメな設定(かもしれないもの) を見つけてアクションを促してくれるのは大きい
  12. 12. (おまけ) Access Analyzer for Amazon S3 ● S3のメニューにも Access Analyzer が追加された ● IAM Access Analyzer を有効にすれば表示可能 ○ リージョンに注意
  13. 13. (おまけ2) CloudWatch Eventsで何らかのアクション

×