Closed7
「AWSの薄い本 IAMのマニアックな話」を読む
- AWSアカウントの利用はなるべく避けてIAMユーザーを使う
- MFAを設定しよう
- IAMユーザーの管理はセキュリティの要
- IAMポリシーの文法(https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_policies_elements.html)
- アクセスキーの発行は原則しなくていい
- 行動を追うために、IAMユーザーはプログラムやツールごとに作成するのがいい
- IAMユーザーには直接ポリシーをつけず、IAMグループに権限付与することが推奨されてる
- クロスアカウントロールで別アカウントのAWS
ポリシーのデザインパターン
ブラックリストパターン
ブラックリストで管理すると、自由度が高いが新機能によって思わぬ権限がついてしまうかも。(探索的な開発環境や、管理者権限などがユースケース)
ホワイトリストパターン
ホワイトリストであれば、最小権限を付与できるが、あらかじめ役割がきまっていないと権限が付与できない、新たな機能が追加されるたびに保守が必要(本番環境がユースケース)
ハイブリットパターン
ブラックリストパターンとホワイトリストパターンの組み合わせ。実際の運用はこれが現実的
- IAMの権限がフルだと実質admin権限になってしまう。
- パスワード変更権限とMFAは、ユーザー自身のみに限定するポリシーを作る
- Lambdaの権限範囲が場合、Lambdaの実行を通して、リソースを操作できてしまう。
IAM以外のAWS安全利用のためのサービス
AWS Organization
Cloud Trail
Config
Amazon GuardDuty
AWS Controll Tower
AWS Security Hub
Amazon Inspector
AWS Macie
AWS Key Management Service
AWS CloudHSM
IAM Access Analyzer
Detective
↓しっかり読む
このスクラップは2022/10/11にクローズされました