概要
クラウドサービスの利用する企業への不正アクセス被害が相次いでいます
その主な要因として「アクセスキーの漏洩」の事例が、昨今、多く報告されています
アクセスキーの漏洩は、githubへアクセスキーを含めたコードをコミットを行うことによる漏洩であったり、また、多くの開発者等で、アクセスキーを共用したりした場合にも漏洩が生じる可能性がありえます
CSM (CipherTrust Secrets Management Powered by AKEYLESS) の"アクセスキー"を Dynamic Secret の機能により、一時的なアクセスキーを動的に生成することができます
これにより、"ソースコードや設定ファイルへのハードコード"や、"開発者でのアクセスキー共有"等による"アクセスキー漏洩"を避けることが可能です
目的
Dyanamic Secret により、一時的に有効なAWSのアクセスキーの作成手順を解説します。
参照ドキュメント
- AKEYLESS ドキュメント
手順
前準備
こちらの記事にて、CSMのセットアップを行ってください
AWS Target の作成
Gateway Consoleにログインします
Targets > New を選択します
"AWS"を選択し、"Next"をクリックします
"Name"に任意の名前(例: "awsTarget1")を入力し、"Next"をクリックします
AWSでAkeylessを認証するためのユーザの"Access Key ID", "Secret Access Key"を入力します
"Region"に、作成されたAcces Keyでのアクセスが許可される AWSリージョンを選択します
"Next"をクリックします
CM(Gateway)がAWS EC2上にデプロイされている場合、IAMロールを用い認証することで、"Access Key ID", "Secret Access Key"といったSecret の設定を無くす事が可能です。(今回は検証環境の制限で利用できずませんでした。)
Targetが作成されました
AWS Dynamic Secret の作成
Item > New > Dynamic Secret を選択します
"AWS"を選択し、"Next"をクリックします
Nameに任意の名前(例: "awsDS1")を入力します
"Target Mode"で、作成した Target を選択します
(スクロールダウンします)
"User TTL"で一時的なアクセスキーの有効期間(ディフォルト: 60分)を設定できます
AWSへアクセスを行うGatewayを選択し、"Next"をクリックします
AWS Dynamic Secret の取得
一時的に有効なアクセスキーを取得するために、"Get Dynamic Secret"をクリックします
一時的に有効なアクセスキーを取得できました
”Expire in" で、残りの有効時間が表示されます
右上の"..." > "Temporary redentials"を選択します
現在、有効なアクセスキーの一覧が確認できます
アクセスキーは、有効時間が経過すると、自動的に削除されます
補足
今回、AWSを対象とした"アクセスキー"の漏洩対策として、CSMの Dynamic Secret 利用の方法をご紹介しました。
Azure, GCPにおいても、同様に Dynamic Secretをご利用いただくことが可能です。