10. 10(セキュリティに関する)設計原則
• Implement a strong identity foundation(強固な認証基盤)
• Enable traceability(トレーサビリティの担保)
• Apply security at all layers(全てのレイヤーの保護)
• Automate security best practices(自動化)
• Protect data in transit and at rest(保存・転送時のデータ保護)
• Keep people away from data(人からデータを遠ざける)
• Prepare for security events(セキュリティイベントに備える)
29. 29Multi-Factor Authentication (MFA) の使用を義務化する
{
"Sid": "AllowIndividualUserToManageTheirOwnMFA",
"Effect": "Allow",
"Action": [
"iam:CreateVirtualMFADevice",
"iam:DeleteVirtualMFADevice",
"iam:EnableMFADevice",
"iam:ResyncMFADevice"
],
"Resource": [
"arn:aws:iam::*:mfa/${aws:username}",
"arn:aws:iam::*:user/${aws:username}"
]
} ログインしているIAM User
およびMFAデバイスに対して
これらのアクション
(MFAデバイスの有効化)
実行を許可する
IAM: Allows IAM Users to Self-Manage an MFA Device より抜粋
https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_iam_mfa-selfmanage.html
IAM User
30. 30Multi-Factor Authentication (MFA) の使用を義務化する
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": "sts:AssumeRole",
"Condition": {
"Bool": {
"aws:MultiFactorAuthPresent": "true"
}
}
}
}
多要素認証を利用してログインしてる
IAM Userであれば
特定のAWSアカウントに対して
権限の委譲を許可する
Creating a Role to Delegate Permissions to an IAM User より抜粋
https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html
IAM Role
70. 70組織要件、法的要件、コンプライアンス要件に関する最新情報を入手する
例:PCI DSS 4.0
• 2020年末頃にリリースが予定されている
• NISTのガイダンス (NIST SP 800-63) に基づいてパスワードに関する要件が変
更されるもよう
• パスワードの複雑さ・定期変更の要否、多要素認証について
• 「PCI DSS: Looking Ahead to Version 4.0」
• https://blog.pcisecuritystandards.org/pci-dss-looking-ahead-to-version-4.0
PCI DSS v4.0 will incorporate input received from global PCI SSC stakeholders during the 2017 request for comments
(RFC) period. Some of the specific areas that stakeholders asked PCI SSC to review include:
- Authentication, specifically consideration for the NIST MFA/password guidance
- (以下、割愛)