こんにちは。
本日は、IAMの最小権限を簡単な手順で設定した後、必要な権限、不要な権限の追い込みをかけたい時にどういうアプローチができるかについて記載します。
そもそものIAM最小権限の原則については以下をご覧ください。
IAMユーザーガイド > IAM でのセキュリティのベストプラクティス
1. IAMの最小権限を簡単な手順で設定する
まず、簡単に最小権限を設定する手順について振り返ります。
以下のページに記載されている IAM Access Analyzer を活用すると、
現在利用している IAMロールで必要なポリシー、不要なポリシーを分析して、
そのロールで必要と想定されるポリシーを簡単に生成することができます。
かいつまんで記載すると、以下のサービスを有効にすることで、IAMロールのページから、
CloudTrail イベントに基づいてポリシーを生成 という機能でポリシーを生成できます。
▼前提となるサービス
- CloudTrail
- IAM Access Analyzer
▼実際のIAMロールの画面
CloudTrail イベントに基づいてポリシーを生成 の画面で、
ポリシーを生成 ボタンを押下するとポリシーの分析が始まります。
ポリシーは数分で生成されます。
生成されたポリシーを表示 ボタンを押下すると、ポリシーのひな型が提示されます。
2. 生成されたポリシーをカスタマイズする
注意点として、 CloudTrail イベントに基づいてポリシーを生成 で提示されるポリシーのひな型は、以下のような制限事項があることがあげられます。
- 取得できるIAMアクションは CloudTrail で取得できる管理イベントに限られ、
データイベントは取得できないため、
生成されるポリシーでは権限が不足する可能性が高い - iam:PassRole アクションは CloudTrail によって追跡できないため、
iam:PassRole ポリシーの要/不要を判断できない
詳細は以下のページに記載がありますので、必ずご確認ください。
そのため、生成されたポリシーは、以下の手順でカスタマイズするとよいかと思います。
▼生成されたポリシーのカスタマイズ手順
- 生成されたポリシーをいったんIAMロールに付与して、
実際にそのIAMロールで操作をする - 権限が足りないというエラーが出たら権限を追加する
この手順で、最小権限のポリシーをひとまず設定することは可能です。
3. カスタマイズしたポリシーを改善する
ひとまず動く状態で最小権限にすることはできますが、必要なアクションをどのリソースの範囲に絞るか等、より厳密に改善していきたいケースも多々あると思います。
そういった権限設定の追い込みをしたい場合には、以下のブログ記事をまずご覧ください。
とても参考になります。
参考記事
2021.9.28 AWSブログ
最小権限実現への4ステップアプローチ 前編
2021.9.28 AWSブログ
最小権限実現への4ステップアプローチ 後編
こちらのブログで、IAMのアクションを分類しています。
ここで、
『AWS サービスごとに権限の名称や実装が異なるため、
サービスによっては以下の例とは異なるアクセスレベルにアクションが分類される』
と記載があります。
この後どのように分類していったらいいか。
IAMアクションの分類を自分でやるとなると、とても大変です。
そこで調べていたら、以下のページにたどり着きました。
このページで、マネージドサービスごとにIAMアクションの分類が記載されています。
ECSを例にすると、以下のようにまとめられています。
より厳密にポリシーを定義していきたい場合には、サービス認証リファレンス のページをみていくことでIAMのアクションごとに定義を深堀していくことが可能になります。
ポエム的な
なかなかこのページにたどり着くことができなかったので、
ぜひ紹介したかったのがこの記事の動機です。
IAMの最小権限を簡単な手順で設定した後、必要な権限、不要な権限の追い込みをかけたい時にどういうアプローチをするかの話は以上で終わりです。
どなたかのお役に立てれば幸いです。
それでは、Happy AWS Life!!