Recommended
Recommended
More Related Content
What's hot
What's hot (20)
Similar to Security-JAWS #21 Well-ArchitectedなIAMポリシーに挑戦する(改) 〜最小権限の原則を実装ってどゆこと?〜
Similar to Security-JAWS #21 Well-ArchitectedなIAMポリシーに挑戦する(改) 〜最小権限の原則を実装ってどゆこと?〜 (20)
Recently uploaded
Recently uploaded (9)
Security-JAWS #21 Well-ArchitectedなIAMポリシーに挑戦する(改) 〜最小権限の原則を実装ってどゆこと?〜
- 2. Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~ 自己紹介 名前:大竹孝昌 職歴:とある電気メーカー 業務歴:社製ft ServerとかHAクラスタリングSWとか開発 ⇒ なんやかんやあってAWSJとのアライアンス業務 JAWS-UG歴:初心者支部の勉強会に3回くらい参加 ⇒ ご縁があって(?) Security-JAWS のコアメンバ 好きなAWSサービス:Amazon S3 SORACOM UG Tokyo https://www.facebook.com/soracomug/ Security-JAWS https://s-jaws.doorkeeper.jp/ コミュニティ放送部 https://community-bc.connpass.com/ 個人活動
- 3. 今日のお話 JAWS DAYS 2021 のハンズオン資料がベース ※ハンズオン資料:https://www.slideshare.net/TakamasaOhtake/jaws-days-2021-handson-wellarchitectediam セッション内容は下記の観点で再編集 ・最小権限の原則 って何? ・具体的な権限の絞り込み方 Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
- 6. 原理原則の理解 『最小権限の原則』を理解する https://wa.aws.amazon.com/index.ja.html クリックすると、、、 Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
- 7. 原理原則の理解 『最小権限の原則』を理解する ベストプラクティス 最小権限のアクセスを付与する: 特定の条件下で特定の AWS リソースに対する特定のアクションを行えるよ うにして、ID に必要なアクセスのみを付与します。グループと ID 属性を利用 して、個々のユーザーのアクセス許可を定義するのではなく、規模に応じて アクセス許可を動的に設定します。たとえば、開発者のグループに、扱うプ ロジェクトのリソースのみを管理することを許可できます。これにより、開発 者がグループから削除されると、アクセスポリシーに変更を加えることなく、 そのグループがどこでアクセスコントロールに使用されたかを問わず、開発 者のアクセスが取り消されます。 Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
- 8. 原理原則の理解 『最小権限の原則』を理解する ベストプラクティス 最小権限のアクセスを付与する: 特定の条件下で特定の AWS リソースに対する特定のアクションを行えるようにして、ID に必要なアクセスのみを付与します。グループ と ID 属性を利用して、個々のユーザーのアクセス許可を定義するのではなく、規模に応じてアクセス許可を動的に設定します。たとえ ば、開発者のグループに、扱うプロジェクトのリソースのみを管理することを許可できます。これにより、開発者がグループから削除さ れると、アクセスポリシーに変更を加えることなく、そのグループがどこでアクセスコントロールに使用されたかを問わず、開発者のアク セスが取り消されます。 改善計画 ・最小権限ポリシーを実装する: IAM グループおよびロールに最小権限のアクセスポリシーを割り当てて、定義したユーザーのロール または機能を反映します。 ・必要でないアクセス許可を削除する: 不要なアクセス許可を削除して、最小権限を実装します。 ・アクセス許可の境界を考慮する: アクセス許可の境界は、アイデンティティベースのポリシーが IAM エンティティに付与できるアクセス 許可の上限を設定する管理ポリシーを使用するための高度な機能です。エンティティのアクセス許可の境界では、アイデンティティベー スのポリシーとそのアクセス許可の境界の両方で許可されているアクションのみを実行できます。 ・アクセス許可のリソースタグを検討する: タグを使用して、タグ付けをサポートする AWS リソースへのアクセスを制御できます。また、 IAM ユーザーとロールにタグ付けして、ユーザーがアクセスできる内容を制御することもできます。 ベストプラクティスの具体的な解釈(考え方) ベストプラクティスを実現するための具体的な対応策 Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
- 9. 原理原則の理解 『最小権限の原則』を実装する 下記の3点を定義する必要あり 1) アクセス権限が必要となる条件 ⇒ 役割(ロール) 2) 実行する具体的なアクション ⇒ API 3) 操作対象のAWSリソース ⇒ ARN(AWS Resource Name) あの 権限 その 権限 この 権限 『この人に与える権限は何?』 特定ユーザーに様々な権限が集まる ま ぜ る な 危 険 『この人が担う役割は何?』 ⇒ 『その役割に必要な権限は何?』 あの 権限 その 権限 この 権限 『役割』 状況で切り替え あの 役割 その 役割 この 役割 ロールごとに必要な権限を割り当てる まずはココの定義から ば ら し て 安 心 Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
- 10. どうやって権限を絞り込むの?
- 11. 絞り込み例 その1 まずは役割(ロール)を定義 役割:EC2インスタンスの運用 1) AWS Management Console にて、EC2やVPCなどサービスの状態や設定値を確認(目視) API:閲覧に関係するもの全般 ARN:特に制限なし Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
- 12. 絞り込み例 その1 役割:EC2インスタンスの運用 1) AWS Management Console にて、EC2やVPCなどサービスの状態や設定値を確認(目視) API:閲覧に関係するもの全般 ⇒ ReadOnlyAccess ARN:特に制限なし IAM Policyの中身 { "Version": "2012-10-17", "Statement": [ { "Action": [ (略) "ec2:Describe*", "ec2:Get*", "ec2:SearchTransitGatewayRoutes", "ec2messages:Get*", (略) ], "Effect": "Allow", "Resource": "*" } ] } EC2の閲覧系全般 すべてのAWSリソース Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
- 13. 絞り込み例 その1 役割:EC2インスタンスの運用 1) AWS Management Console にて、EC2やVPCなどサービスの状態や設定値を確認(目視) 2) EC2インスタンスの起動と停止(手動実行) API:閲覧に関係するもの全般 + EC2インスタンスの起動と停止 ⇒ ReadOnlyAccess + カスタムポリシー ARN:特に制限なし New 要追加 Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
- 14. 絞り込み例 その1 カスタムポリシーを作成する EC2インスタンスの起動と停止に 必要なアクションのみを指定する 最小権限の実装を阻む壁 (ぶっちゃけ面倒) Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
- 15. 【朗報】 AWS CloudShell + AWS CLI ↑ この組み合わせが超便利
- 16. 絞り込み例 その1 AWS CLI を活用する 画面操作の洗い出し ・EC2インスタンスの起動 ・EC2インスタンスの停止 ↓ AWS CLI で再現 ・aws ec2 start-instances ・aws ec2 stop-instances ↓ IAMポリシーに反映 ・EC2 : StartInstances ・EC2 : StopInstances 命名規則は比較的シンプル (眺めて傾向をつかもう) https://awscli.amazonaws.com/v2/documentation/api/latest/index.html インスタンスの起動と停止 ・start-instances ・stop-instances 似てるので類推可能 Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
- 17. 絞り込み例 その1 AWS CLI を活用する $ aws ec2 start-instances --instance-ids <インスタンスID> $ echo $? $ aws ec2 stop-instances --instance-ids <インスタンスID> $ echo $? EC2インスタンスの起動 EC2インスタンスの停止 Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
- 18. 絞り込み例 その1 カスタムポリシーを作成する(再挑戦) 2つだけ許可 Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
- 19. 閑話休題
- 20. ちょっと補足 AWS管理ポリシー ReadOnlyAccess は安全? IAM Policyの中身 { "Version": "2012-10-17", "Statement": [ { "Action": [ (略) "ec2:Describe*", "ec2:Get*", "ec2:SearchTransitGatewayRoutes", "ec2messages:Get*", (略) ], "Effect": "Allow", "Resource": "*" } ] } 閲覧系全般 すべてのAWSリソース 必要が無いデータにもアクセス可能! ⇒ 情報漏洩のリスクと考えることができる AWS Well-Architected フレームワーク SEC 8: 保管時のデータをどのように保護していますか? ベストプラクティス 人をデータから遠ざけるメカニズムを使用する: 通常の運用状況で、すべてのユーザーが機密データおよびシス テムに直接アクセスできないようにします。たとえば、クエリを実 行するデータストアに直接アクセスする代わりにダッシュボードを 提供します。CI/CD パイプラインを使用しない場合は、通常無効 になっている特権アクセスメカニズムを適切に提供するために必 要な制御とプロセスを決定します。 Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
- 21. ちょっと補足 厳密には最小権限のIAMポリシーとは『最も絞り込んだ権限』 例)許可:特定のEC2インスタンスの起動/停止のみ { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances" ], "Resource": "*" } ] } 【 改善ポイント】 AWSリソースはARNで明示すべし ピンポイントな操作は AWS CLI が捗るやつ! 【注意】 CloudWatch での監視やパフォーマンス分析など AWS ManagementConsole を利用した方が捗る ケースもあるので、使い方はよく吟味しよう。 ワイルドカードは要注意! Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
- 22. それはそうと
- 26. 絞り込み例 その2 AWS CloudTrail を活用する 画面操作=APIの実行 (画面の操作履歴=APIの実行履歴) ↓ 『どんなAPIを実行されたのか?』は イベント履歴から判明するのでは!? Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
- 27. 絞り込み例 その2 AWS CloudTrail を活用する ■ AWS CLI を活用 画面操作の洗い出し ↓ AWS CLI で再現 ↓ IAMポリシーに反映 ■ AWS CloudTrail を活用 画面操作の洗い出し&実行 ↓ AWS CloudTrail から発掘 ↓ IAMポリシーに反映 Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
- 28. 絞り込み例 その2 AWS CloudTrail を活用する お題:CloudFormationでEC2インスタンスをデプロイするのに必要な権限は何? Launch Stack Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
- 30. 絞り込み例 その2 抽出したいイベント(操作)の前後でマーカーイベントを仕込む! 何も考えず下記コマンドを3回連続で実行 $ aws accessanalyzer list-analyzers このアイコンをクリック! AWS CloudShellを起動 (初回実行は起動完了まで少々待つ) 別に他のコマンドでも OKなんですけどね。 Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~ 気分は sync sync sync
- 31. 絞り込み例 その2 AWS CloudTrail を活用する 何も考えず3回連続で実行したコマンド イベント名=ListAnalyzers $ aws accessanalyzer list-analyzers マーカーイベント 発掘したいイベント(API)はこの隙間に眠っている! Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
- 32. 絞り込み例 その2 AWS CloudTrail を活用する Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
- 33. 絞り込み例 その2 AWS CloudTrail を活用する マーカーイベント ユーザー名とイベントソースを眺めて 関連しそうなイベント(API)を発掘する Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
- 34. 絞り込み例 その2 AWS CloudTrail を活用する イベントソースより AWS CloudShell のものと判断 → スタック作成とは無関係なので無視でOKなハズ(仮説) イベントソースよりEC2のものと判断 → IAMポリシーのビジュアルエディタで発見できず → 一旦無視していいんじゃね?(仮説) 仮説が正しいかどうかは 実際に試して確認すること! Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
- 36. 絞り込み例 その2 イベントソース イベント名 ec2.amazonaws.com AuthorizeSecurityGroupIngress CreateSecurityGroup CreateTags RunInstances cloudformation.amazonaws.com DescribeStackEvents DescribeStacks ListStacks CreateStack EC2-Management-Policy_CreateSecurityGroupSample { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupIngress", "cloudformation:ListStacks", "cloudformation:DescribeStackEvents", "cloudformation:CreateStack", "ec2:CreateSecurityGroup", "ec2:CreateTags", "ec2:RunInstances", "cloudformation:DescribeStacks" ], "Resource": "*" } ] } ※AWS IAMのビジュアルエディタで作成した結果 Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
- 37. めでたし、めでたし。
- 38. 衝撃ニュースが!
- 40. 次のセッションへ続く!