内容についての注意点本資料料では 2016 年年 9 月 21 日時点のサービス内容および価格についてご説明しています最新の情報は AWS 公式ウェブサイト ( にてご確認ください資料料作成には十分注意しておりますが資料料内の価格と AWS 公式

AWS Black Belt Online Seminar AWS Identity and Access Management (AWS IAM) 1 アマゾンウェブサービスジャパン株式会社プロフェッショナルサービス本部高田智己 2016.09.21

内容についての注意点本資料料では 2016 年年 9 月 21 日時点のサービス内容および価格についてご説明しています最新の情報は AWS 公式ウェブサイト (http://aws.amazon.com) にてご確認ください資料料作成には十分注意しておりますが資料料内の価格と AWS 公式ウェブサイト記載の価格に相違があった場合 AWS 公式ウェブサイトの価格を優先とさせていただきます価格は税抜表記となっています日本居住者のお客様が東京リージョンを使用する場合別途消費税をご請求させていただきます AWS does not offer binding price quotes. AWS pricing is publicly available and is subject to change in accordance with the AWS Customer Agreement available at http://aws.amazon.com/agreement/. Any pricing information included in this document is provided only as an estimate of usage charges for AWS services based on certain information that you have provided. Monthly charges will be based on your actual use of AWS services, and may vary from the estimates provided. 2

アジェンダ IAMの概要 IAMによる認証 (Authentication) IAMによる権限設定 (Authorization) IAMによる監査 (Audit) AWS Security Token ServiceとIAMロール IAMによるFederation まとめ 3

アジェンダ IAMの概要 IAMによる認証 (Authentication) IAMによる権限設定 (Authorization) IAMによる監査 (Audit) AWS Security Token ServiceとIAMロール IAMによるFederation まとめ 4

AWS Identity and Access Management (IAM) AWS 操作をよりセキュアに行行うための認証認可の仕組み AWS 利利用者の認証とアクセスポリシーを管理理 AWS 操作のためのグループユーザーロールの作成が可能グループユーザーごとに実行行出来る操作を規定できるユーザーごとに認証情報の設定が可能開発チーム運用チーム 5

IAM 動作イメージ API やマネジメントコンソールからのアクセスに対して権限をチェック全操作可能 S3 はすべて操作可能 S3 参照だけ 6

AWS アカウント (root) ユーザー AWS アカウント作成時の ID アカウントの全ての AWS サービスとリソースへの完全なアクセス権限を持つアカウントの作成に使用したメールアドレスとパスワードでサインイン日常的なタスクにはそれが管理理者タスクであっても root ユーザーを使用しないことを強く推奨 7

AWS の root 権限が必要な操作の例例以下の操作には AWS のルート権限が必要となります (2016 年年 9 月現在 ) AWS ルートアカウントのメールアドレスやパスワードの変更更 IAM ユーザーの課金金情報へのアクセスに関する activate/deactivate 他の AWS アカウントへの Route53 のドメイン登録の移行行 CloudFront のキーペアの作成 AWS サービス ( サポート等 ) のキャンセル AWS アカウントの停止コンソリデイテッドビリングの設定脆弱性診断フォームの提出逆引き DNS 申請 8

IAM ユーザー AWS 操作用のユーザー 1AWS アカウントで 5000 ユーザーまで作成可能ユーザーごとに設定可能な情報ユーザー名 IAM ユーザーの識識別とマネジメントコンソールへのログインに使用 64 文字までのアルファベット数字 +=,.@- _ パス ( オプション ) ユーザーにオプションとしてセットできる情報パスを元にユーザーの検索索が可能組織階層やプロジェクトなどをセット例例 )/aws/sa/ 512 文字までの Basic Latin 文字 ( アルファベット数字!"#$%&'()=~ - ^\@` {[}]*:+;?_ ) 開始と終了了が / であること所属グループ 10 のグループまで設定可能パーミッション AWS サービスへのアクセス権限 JSON 形式でポリシーを記述 9

IAM グループ Group IAM ユーザーをまとめるグループ 1AWS アカウントで 100 グループまで作成可能グループに設定可能な情報グループ名グループの識識別に使用最大 128 文字パス ( オプション ) 組織階層などをセット例例 )/aws/ パーミッショングループに設定したパーミッションは IAM ユーザーに付与したパーミッションと同時に評価評価方法は後述 10

アジェンダ IAMの概要 IAMによる認証 (Authentication) IAMによる権限設定 (Authorization) IAMによる監査 (Audit) AWS Security Token ServiceとIAMロール IAMによるFederation まとめ 11

IAM で使用する認証情報アクセスキー ID/ シークレットアクセスキー REST,Query 形式の API 利利用時の認証に使用 12 2 つまで生成可能 Active/Inactive の切切り替え情報の置き場には注意 GitHUB AMI の中への埋め込みワード文書等に記述非暗号化メールの中に記述コードの中への直接書き込み AWS 認証情報ファイル環境変数 X.509 Certificate SOAP 形式の API リクエスト用 OpenSSL などで証明書を作りアップロード

13 IAM で使用する認証情報 AWS マネジメントコンソールへのログインパスワードデフォルトは未設定 ( ログインできない ) 128 文字までの Basic Latin 文字パスワード変更更時のポリシー設定が可能 AWS アカウントごとに設定最低パスワード長大文字小文字等 MFA( 多要素認証 ) ハードウェア MFA 仮想 MFA SMS MFA より選択ハードウェア MFA Gemalto 社から AWS 用のデバイスを購入 Token タイプカードタイプ (2016 年年 9 月現在利利用できません ) 仮想 MFA スマートフォンや PC にインストール Google Authenticator など TOTP 実装のソフトが利利用可能 SMS MFA( プレビュー ) モバイルデバイスの SMS を利利用

強度度の強いパスワードポリシーの利利用 AWS の管理理コンソールにログインするために必要となる IAM ユーザーのパスワードには以下のようなパスワードポリシーを持たせることが可能パスワードの最小文字数大文字英字の要求小文字英字の要求数字を含めることの要求特殊文字の要求ユーザー自身によるパスワード変更更の許可パスワードの有効期限の設定パスワードの再利利用の制限パスワードが期限切切れになった場合管理理者によるリセットの有無 AWS ルートアカウントには適用されないことに注意 14

AWS ルートアカウントは極力力利利用しない AWSルートアカウントはIAMで設定するアクセスポリシーが適用されない強力力なアカウント十分に強度度の強いパスワードを設定した上通常は極力力利利用しないような運用を Security CredentialのページからAccess Keyの削除 ( ただしAccess Keyを使用していないか確認が必要 ) 15

MFA によるアカウントの保護多要素認証 (MFA) によるなりすましの防止 AWSルートアカウントはMFAで保護し通常利利用しない運用に 2016 年年 9 月現在カード型のハードウェア MFA は利利用できませんハードウェアソフトウェア ( 認証情報コピー不不可 ) ソフトウェア ( 認証情報コピー可能 ) SMS( プレビュー ) 製品 Gemalto Google Authenticator Authy N/A 形式トークン型 /( カード型 ) スマホアプリスマホアプリモバイルデバイスの SMS コスト有料料 (2,000 円程度度 ) 無料料無料料 SMS 料料金金 / データ料料金金保管持ち歩くことも可能だし金金庫などに厳重に保管も可能常に持ち歩く常に持ち歩く常に持ち歩く交換紛失 / 故障時は再登録交換時のために予備の準備が必要紛失 / 機種変更更時は再登録機種交換時に認証情報を引き継げる同じ電話番号を持つ新しいモバイルフォンを取得する場合支障なしルートアカウント IAM ユーザーサポートサポートサポートサポートしていないサポートサポートサポートサポート 16

認証情報の定期的なローテーション IAM ユーザーのパスワードや Access Key/ Secret Access Key は定期的にローテーションすることを推奨認証情報の利利用状況はIAMのCredential Report 機能で確認可能ユーザーの作成日時最後にパスワードが使われた日時最後にパスワードが変更更された日時 MFAを利利用しているか Access KeyがActiveか Access Keyのローテートした日時 Access Keyを最後に使用した日時 Access Keyを最後に利利用したAWSサービス証明書はActiveか証明書のローテートした日時 17

IAM 認証情報レポート (Credential Report) パスワードやアクセスキーのローテーションなど認証情報ライフサイクルの要件の結果を監査可能認証情報レポートはカンマ区切切り値 (CSV) ファイルとしてダウンロード可能使用していない認証情報は削除! Credential Report レポートは 4 時間毎に一回生成可能 18 https://blogs.aws.amazon.com/security/post/tx1gzchqc7lr3ut/new- in- IAM- Quickly- Identify- When- an- Access- Key- Was- Last- Used

IAM ユーザーのパスワードローテーション IAM のパスワードポリシーでユーザーがパスワードを変更更できるように設定パスワードに有効期限を設けることで利利用者が自分で定期的にパスワードをローテーションできるようにする 19

アクセスキーのローテーション IAMユーザーの認証情報のアクセスキーからアクセスキーの管理理を選択アクセスキーの作成で新しい認証情報の作成 (2つまで) 新しい認証情報でテストを行行い古いAccess KeyはInactiveにする万が一問題が起きた時は再び Activateすることが可能 20 http://docs.aws.amazon.com/ja_ jp/iam/latest/userguide/using_ RotatingCredentials.html

アジェンダ IAMの概要 IAMによる認証 (Authentication) IAMによる権限設定 (Authorization) IAMによる監査 (Audit) AWS Security Token ServiceとIAMロール IAMによるFederation まとめ 21

IAM ポリシー AWS アクセスに対する権限設定 JSON 形式のアクセスポリシー言語でアクセス条件を記述 http://docs.aws.amazon.com/ja_ jp/iam/latest/userguide/policy- reference.html このブロックを 1 条件としてアクセス権限をチェック 22 { "Statement { "Effect": "Allow", "Action": [ " s3:listbuckets ", " s3:get * " ], "Resource": [ " arn:aws:s3:::mybucket " ], "Condition": { "IpAddress": { "aws:sourceip": [ 176.32.92.49/32 ] } } } ] }

管理理ポリシーとインラインポリシー 2015 年年より従来からのインラインポリシーに加え管理理ポリシーが IAM ポリシーの分類として追加管理理ポリシーは独立立したポリシーであり複数のユーザーやグループ等にアタッチして利利用することが可能分類管理理ポリシー : AWS 管理理ポリシー : AWS アカウント内の複数のユーザーグループ AWS が作成および管理理する管理理ポリシーおよびロールに最大10 個までアタッチできるスタンドアロンポリシー 5 世代まで変更更を保管カスタム管理理ポリシー : できロールバックも可能 AWS アカウントで作成および管理理する管理理ポリシー詳細インラインポリシー : 従来の IAM ポリシーと同じ内容自身で作成および管理理するポリシーで単一のユーザーグループまたはロールに直接埋め込まれる http://docs.aws.amazon.com/ja_ jp/iam/latest/userguide/policies- managed- vs- inline.html 23

AWS 管理理ポリシー AWS 管理理ポリシーは AWS が作成および管理理するスタンドアロンポリシー一般的なユースケースに基づいた AWS 管理理ポリシーが用意されており利利用者は事前に定義された AWS 管理理ポリシーを選択して利利用することが可能 24 AWS アカウント 1 Group Admins User Dave Role EC2- App User Susan User Alice AWS 管理理ポリシー Policy AdministratorAccess Policy PowerUserAccess Policy AWSCloudTrailRead OnlyAccess AWS アカウント 2 User John User Mike 管理理者用 ( すべてのアクセス ) パワーユーザー用 (IAM を除くすべてのアクセス ) および AWS サービスへのその他のさまざまなレベルアクセス用の一般的なアクセス権限を定義新しい AWS サービスがリリースされたり既存のサービスで新しい API が利利用できるようになったりポリシーに新しいサービスまたは API のアクセス権限を含める必要が発生した場合に AWS 管理理ポリシーが対応事前定義されているものなので 1 つの AWS 管理理ポリシーを複数の AWS アカウントの IAM エンティティにまた 1 つの AWS アカウントの複数の IAM エンティティにアタッチ可能

カスタマー管理理ポリシーカスタマー管理理ポリシーは自身の AWS アカウントで管理理できるスタンドアロンポリシー AWS アカウントの複数の IAM エンティティにカスタマー管理理ポリシーをアタッチすることが可能カスタマー管理理ポリシー AWS アカウント利利用者がカスタム可能な管理理ポリシー Group Admins User Dave User Susan User Alice Policy Account- admins Policy Limited- admins 同じポリシーを複数の IAM エンティティにアタッチできる用意されているポリシーでは要件を満たせない場合等にカスタマー管理理ポリシーを適用 Role EC2- App Policy EC2- access 25

インラインポリシーインラインポリシーは 1 つの IAM エンティティ ( ユーザーグループまたはロール ) に埋め込まれたポリシー IAM エンティティの一部であり IAM エンティティの作成時またはそれ以降降にポリシーを作成して IAM エンティティに埋め込まれる AWS アカウントインラインポリシーユーザーグループまたはロールの一部 Group Admins Policy Account- admins 一つのポリシーを共有することはできない User Susan User Alice ポリシーの変更更に関して該当するインラインポリシー全てを個々に変更更する必要がある Role EC2- App Policy EC2- access Policy Dynamo- access 26

管理理ポリシーの使い分け管理理ポリシーのメリット再利利用性変更更管理理の一元化バージョニングとロールバック AWS 管理理ポリシーの自動更更新管理理ポリシーの制限 AWS アカウントあたりのカスタマー管理理ポリシー数 : 1000 管理理ポリシーあたりのバージョン数 : 5 IAM のユーザーグループロールごとにアタッチされる管理理ポリシー数 : 10 管理理ポリシーに関する留留意点管理理ポリシーの制限が問題となるケース意図しない IAM エンティティに管理理ポリシーが誤ってアタッチされるリスクを許容できないケース AWS 管理理ポリシーに関しては AWS による変更更が問題となるケース 27 http://docs.aws.amazon.com/ja_ jp/iam/latest/userguide/policies- managed- vs- inline.html

管理理ポリシーの使用例例 ( アクセス権限管理理の委任 ) AWS Account カスタマー管理理ポリシー AWS 管理理ポリシーユーザーの作成や削除等 IAM の運用管理理の一部を委任する場合制限付き IAM 管理理者限定された IAM の運用権限ベースラインになる IAM の Read Only 権限は事前定義されている AWS 管理理ポリシーを利利用 IAM ユーザーの作成削除等特定の管理理ポリシーのアタッチやデタッチ IAM の Read Only 権限委譲したい特定業務はカスタマー管理理ポリシーを作成開発者 S3 の特定バケットへの権限 DynamoDB への Full Access 権限どの管理理ポリシーを操作できるといった細かいアクセスコントロールも可能 28 http://aws.typepad.com/sajp/2015/04/how- to- create- a- limited- iam- administrator- by- using- managed- policies.html

29 アクセス条件の記述 { "Effect": "Allow", "Action": [ " s3:listbuckets ", " s3:get * " ], "Resource": [ "arn:aws:s3:::mybucket" ], "Condition": { "IpAddress": { "aws:sourceip": [ 176.32.92.49/32 ] } } } Effect: 許可の設定なら Allow 拒否の設定なら Deny Action: 対象となる AWS 操作を指定 Resource: 対象となる AWS リソースを指定 Condition: このアクセス制御が有効になる条件の設定この例例の場合アクセス元 IP が 176.32.92.49 だったら S3 の ListBuckets と Get 系の操作を許可するという意味

Action Action は操作自体に対する設定 ec2:runinstances ec2:attachvolume s3:createbucket s3:deleteobject ワイルドカード指定可能例例 )ec2:describe* 指定の操作以外の場合は NotAction を使用例例 ) NotAction : iam:* (IAM の操作以外を許可する ) "Action": [ " s3:listbuckets", " s3:get*" ] 30

Resource Resource は操作対象を指定する設定 EC2 インスタンス EBS ボリューム S3 バケット S3 オブジェクト ARN(Amazon Resource Name) で記述 arn:aws: で始まる文字列列 arn:aws:service:region:account:resource 例例 ) arn:aws:s3:::mybucket 指定リソース以外の場合は NotResource を使用例例 ) NotResource : arn:aws:s3:::hoge http://docs.aws.amazon.com/ja_ jp/general/latest/gr/aws- arns- and- namespaces.html "Resource": [ " arn:aws:s3:::mybucket" ] 31

Condition Resource に対する Action を許可 ( もしくは拒否 ) するかどうかの条件設定ポリシー変数 ( 条件キー ) に対して演算子を用いて条件を指定 "Condition": { "IpAddress": {"aws:sourceip": 176.32.92.49/32 } } 演算子ポリシー変数条件値 32 http://docs.aws.amazon.com/ja_ jp/iam/latest/userguide/accesspolicylanguage_ ElementDescriptions.html#Condition

ポリシー変数全てのリクエストで利利用できるキーポリシー変数用途 aws:currenttime 日時の確認 aws:epochtime エポック (UNIX) 時間で表した日付 aws:tokenissuetime 一時的認証情報が発行行された日付 aws:multifactorauthpresent MFAの確認 aws:multifactorauthage MFA 認証済み認証が発行行された時間 aws:principaltype プリンシパルタイプの確認 aws:referer クライアントブラウザーの確認 aws:securetransport SSLによるリクエストの確認 aws:sourceip 接続元 IPの確認 aws:sourcearn ソースのARNの確認 aws:sourcevpc ソースのVPCの確認 aws:useragent クライアントアプリケーション aws:userid ユーザー ID aws:username ユーザー名 AWS サービス固有のキーの例例ポリシー変数 s3:prefix sns:protocol ec2:resourcetag/tag 名用途 Prefix の確認配信プロトコルの確認タグ名の確認 "Condition": { "IpAddress": {"aws:sourceip": 176.32.92.49/32 } } 例例えば API 呼び出し / コンソール利利用を指定の IP アドレスだけに絞りたい場合に利利用注 ) コンソールに関してはログインはできても操作する権限がないという状態になります 33 https://docs.aws.amazon.com/ja_ jp/iam/latest/userguide/reference_ policies_ variables.html

Condition の演算子文字列列完全一致部分一致など数値一致以上以下など日付および時間一致日付の後先など Boolean バイナリ IP アドレス指定のアドレス指定範囲など Amazon リソース名完全一致部分一致など...IfExists 上記演算子に付与変数がない場合無視条件キーの有無 "Condition": { "StringEquals": {"ec2:resourcetag/stack": prod"} } "Condition": { streq": {"ec2:resourcetag/stack": prod"} } 34 https://docs.aws.amazon.com/ja_ jp/iam/latest/userguide/reference_ policies_ elements.html#condition

35 複数 Condition の OR と AND AND AND "Condition" : { "DateGreaterThan" : { "aws:currenttime" : "2013-07- 16T12:00:00Z" }, "DateLessThan": { "aws:currenttime" : "2013-07- 16T15:00:00Z" }, "IpAddress" : { "aws:sourceip" : ["192.168.176.0/24","192.168.143.0/24"] } } Condition 下のブロックは AND 演算子に対する値は OR この例例の場合 2013/7/16 の 12:00 から 15:00 の間にソース IP192.168.176.0/24 もしくは 192.168.143.0/24 のネットワークからアクセスしたリクエストを意味する OR

アクセス可否の決定ロジックアクセス制御の条件は複数設定可能ユーザーグループごとに複数相反する条件の設定も可能すべてのアクセスはデフォルトで拒否 ( デフォルト Deny) アクセス権限に Allow の条件があった場合アクセス許可ただしアクセス権限に 1 つでも Deny の条件があった場合アクセス拒否 ( 明示的な Deny) デフォルト Deny < Allow < 明示的な Deny グループの Statement Allow ユーザーのStatement 該当なし ( デフォルトDeny) 結果 :Allow グループの Statement Deny ユーザーの Statement Allow 結果 :Deny 36

IAM と連携する AWS サービス連携のカテゴリアクションレベルのアクセス許可リソースレベルのアクセス許可リソースベースのアクセス許可タグベースのアクセス許可一時的なセキュリティ認証のサポート内容ポリシーの Action エレメントでの個別のアクションの指定をサポートポリシーの Resource 要素での個別のリソースの指定 (ARN を使用 ) をサポートする 1 つ以上の API がある IAM ユーザーグループロールに加えてサービスのリソースにもポリシーをアタッチ可能 Condition エレメントのリソースタグのテストをサポートユーザーは AssumeRole または GetFederationToken などの AWS STS API を呼び出して取得した一時的なセキュリティ認証情報を使用してリクエストを作成 37 http://docs.aws.amazon.com/ja_ jp/iam/latest/userguide/using_ SpecificProducts.html

IAM と連携する AWS サービスサポートされるアクセス権限のカテゴリは各 AWS サービスによって異異なるためドキュメントにて最新の状況を確認するようにして下さいコンピューティングサービスの例例 (2016 年年 9 月現在 ) サービスおよび関連する IAM 情報次のアクセス権限をサポートしますアクションレベルリソースレベルリソースベースタグベース一時認証情報 Amazon Elastic Compute Cloud (Amazon EC2) Yes Yes¹ No はい ¹ Yes Amazon EC2 Container Service (Amazon ECS) Yes Yes² No No Yes Auto Scaling Yes No No No Yes Elastic Load Balancing Yes Yes³ No No Yes AWS Lambda Yes Yes⁴ Yes No Yes 38 http://docs.aws.amazon.com/ja_ jp/iam/latest/userguide/using_ SpecificProducts.html

IAM と連携する AWS サービスリソースレベルやタグベースのアクセス許可は各 AWS サービスのアクションによりサポート状況が異異なるためドキュメントでの確認を行行ってください Amazon EC2 API アクションでサポートされるリソースレベルのアクセス許可の例例 (2016 年年 9 月現在 ) Stopinstance がサポートするリソースと条件キー 39 https://docs.aws.amazon.com/ja_ jp/awsec2/latest/userguide/ec2- supported- iam- actions- resources.html

ユーザーベースとリソースベースポリシーはユーザーやグループ以外にリソースにも紐紐付け可能 S3 バケット SQS のキューなどに対してポリシーが適用可能特定の IP アドレスからしかアクセスできないバケットなどの設定が可能ユーザーベースリソースベース 40

リソースベースのポリシーによるクロスアカウントアクセス AWS アカウントを超したアクセス許可 S3,SQS,SNSなどで利利用可能 1.Account Aのバケットに以下のポリシーを設定 { } "Statement" : { "Effect":"Allow", "Principal" : { AWS : arn:aws:iam::account B の番号 :root" }, "Action":"s3:*", "Resource":"arn:aws:s3:::mybucket/*" } Principal は実行行をしているユーザーに対する条件設定 2.Account B に mybucket へアクセス権限付与 http://docs.aws.amazon.com/ja_ jp/iam/latest/userguide/roles- resourcebasedpolicies- compare.html 41

IAM ポリシーの作成を支援するツール群 AWS Policy Generator:http://awspolicygen.s3.amazonaws.com/policygen.html AWS のサービスについて必要情報を入力力するとポリシー文書を自動作成してくれるツールポリシー言語の文法チェック機能ポリシー保管時にポリシー言語の文法チェック自動フォーマットを実施 Validate Policy により明示的な確認が可能 IAM Policy Validator 自動的に既存の IAM ポリシーを調べ IAM ポリシーの文法に準拠しているか確認ポリシーに対する推奨の変更更を提示 Policy Validator を使用できるのは準拠していないポリシーがある場合のみ IAM Policy Simulator:https://policysim.aws.amazon.com/home/index.jsp 42 プロダクションへの実装前にポリシーをテスト可能パーミッションのトラブルシューティング Condition ポリシー変数リソースベースのポリシーを入れたテスト

アジェンダ IAMの概要 IAMによる認証 (Authentication) IAMによる権限設定 (Authorization) IAMによる監査 (Audit) AWS Security Token ServiceとIAMロール Federation まとめ 43

ユーザーのアクティビティの記録 AWS CloudTrail は AWS アカウントで利利用された API Call を記録し S3 上にログを保存するサービス AWS のリソースにどのような操作が加えられたか記録に残す機能であり全リージョンでの有効化を推奨適切切なユーザーが与えられた権限で環境を操作しているかの確認と記録に使用記録される情報には以下のようなものが含まれる API を呼び出した身元 (Who) API を呼び出した時間 (When) API 呼び出し元の Source IP(Where) 呼び出された API(What) API の対象となる AWS リソース (What) 管理理コンソールへのログインの成功失敗 (root アカウントの失敗は 2016 年年 9 月現在未サポート ) 44

Access Advisor と Service Last Accessed Data IAM エンティティ ( ユーザーグループロール ) が最後に AWS サービスにアクセスした日付と時刻を表示する機能 IAM の最小限の特権に関する設定に利利用 IAM ポリシー内で未使用または最近使用されていないアクセス許可を識識別未使用のサービスに関するアクセス許可を削除したり類似の使用パターンを持つユーザーをグループに再編成アカウントのセキュリティを改善 Service Last Accessed Data は下記のリージョンでは 2016 年年 9 月現在提供されていません中国 ( 北北京 ) (cn- north- 1) AWS GovCloud (US) (region- gov- us- west- 1) 45

Service Last Accessed Data の利利用例例ユーザーやグループロールに与えられた権限で利利用されていないものを発見見 IAM ポリシーの利利用状況と利利用しているエンティティの識識別 46 IAM ポリシーを利利用しているのが誰で最後にアクセスしたのがいつか容易易に識識別可能

IAM 認証情報レポート (Credential Report) ユーザーの作成日時最後にパスワードが使われた日時最後にパスワードが変更更された日時 MFA を利利用しているか Access Key が Active か Access Key のローテートした日時 Access Key を最後に使用した日時 Access Key を最後に利利用した AWS サービス証明書は Active か証明書のローテートした日時 47

AWS Config の IAM サポート IAM の User Group Role Policy に関して変更更履履歴構成変更更を管理理確認することが可能 The image cannot be displayed. Your computer may not have enough memory to open the image, or the image may have been corrupted. Restart your computer, and then open the file again. If the red x still appears, you may have to delete the image and then insert it again. 48

アジェンダ IAMの概要 IAMによる認証 (Authentication) IAMによる権限設定 (Authorization) IAMによる監査 (Audit) AWS Security Token ServiceとIAMロール IAMによるFederation まとめ 49

IAM ロールとは? AWS サービスやアプリケーション等エンティティに対して AWS 操作権限を付与するための仕組み例例えば実行行するアプリケーションにロールを付与する事でそのアプリケーションから AWS を操作出来るようになる IAM ユーザーやグループには紐紐付かない設定項目はロール名と IAM ポリシー EC2 ほか Beanstalk,Data Pipeline などでも利利用 50

EC2 には IAM ロールを利利用 EC2 のような AWS サービスに対して AWS 操作権限を付与するための仕組み IAM ユーザーの認証情報のようなものを OS/ アプリケーション側に持たせる必要がなく認証情報の漏漏えいリスクを低減可能 IAM ロールによる認証情報は AWS が自動的にローテーション IAM ロール利利用の利利点 EC2 上のアクセスキーの管理理が容易易認証情報は STS(Security Token Service) で生成自動的に認証情報のローテーションが行行われる EC2 上のアプリケーションに最低権限を与えることに適している AWS SDK 及び AWS CLI のサポート IAM ユーザーの認証情報を外部に漏漏えいしてしまうリスクを低減させる IAM Role IAM ユーザー利利用プログラム IAM ロール利利用プログラム認証情報を EC2 内に持たせる認証情報の保管ローテーション等の検討が必要 IAM ロールによる権限は EC2 上に恒久的に保管されるものではなくテンポラリローテーション等は自動で行行われるメタデータ 51 http://docs.aws.amazon.com/ja_ jp/iam/latest/userguide/roles- resourcebasedpolicies- compare.html

メタデータからの認証情報取得 IAM Role を設定した EC2 インスタンス内から取得 curl http://169.254.169.254/latest/meta- data/iam/security- credentials/ec2_ Admin { "Code" : "Success", "LastUpdated" : "2016-09- 18T05:15:39Z", "Type" : "AWS- HMAC", "AccessKeyId" : "ASIAJY2YJ5S2ZYK25BLQ", "SecretAccessKey" : "Kp1NblZ7mov/4ln7GLu8dqvN5GztXXXXXXXXXXXXXX", Role 名 "Token" : "AQoDYXdzELP//////////wEa0ANmvPx2CpTfOWjuPSMQ+/XXXXXXXXXXXXXXXX", "Expiration" : "Expiration" : "2016-09- 18T11:27:40Z" } 有効期限 STS のセッショントークン 52

AWS SDK を利利用する場合認証情報取得と有効期限切切れ前の再取得を自動的に実施可能 AWSCredentials credentials = new BasicAWSCredentials( アクセスキー, シークレットキー ID ); AmazonEC2 ec2 = new AmazonEC2Client(credentials); ec2.describeinstances(); AmazonEC2 ec2 = new AmazonEC2Client(); ec2.describeinstances(); IAM Role 利利用後 AWS CLI は IAM Role に対応済み http://aws.amazon.com/jp/cli/ IAM Role 適用のインスタンス上では認証情報の設定が不不要 53

AWS Security Token Service(STS) とは一時的に利利用するトークンを発行行するサービス動的に IAM ユーザーを作成しポリシーを適用できる IAM Role for EC2 はこの STS を利利用 54

Temporary Security Credentials とは AWS に対する一時的な認証情報を作成する仕組み期限付きの認証情報 ( 認証チケット ) ユーザーに対して以下の 3 つのキーを発行行アクセスキー :(ASIAJTNDEWXXXXXXX) シークレットアクセスキー :(HQUdrMFbMpOHJ3d+Y49SOXXXXXXX) セッショントークン (AQoDYXdzEHQakAOAEHxwpf/ozF73gmp9vZDWDPkgFnzwSG/ 3ztBw9Z4IUslNNn503+3SeN0nwI3wcdLR8y8Ulv9cnksMrBGjRVrJl2xg+/ CRnI9nJ1tteHp6yso3sP0BVvnxLpNwyIUpHrcTHt+8v2P6Y9/VX2zl8Hc/cy6La0r1/ GuiHb9NEwqt6VIgjPWCZzHXzX8XsUObKhMnAUkY2IdTMrNKXcqVk8VbC6BNTqWsMIIfQPz9fDjKK1ifA FmHVSWvUxio94n+ebXXpy1NuHnt5JEGV34VPLMsrpZ86b+eulKNE1suoQ8TM5E1O66rYwizkq6w +cjovunmxg6esasbvolsreiolip+se7cx1i8grrsg9/ KT59GYTlhTzStjjFroCAqZu4KYplGUMCDl1g0twrdXeymsu3GG70Qwu0wSi3WjkW8VPiajahJXCEgp6gI gxelwkrbo01h5y9nndeyqaq8ocogbpvru+ds9lms9shasximnnvein +1FVkXXXXXXXXXXXXXXXXXXXXXXXX) 55

IAM の権限階層 AWS アカウント全てのサービスへのアクセス課金金設定へのアクセス管理理コンソールおよび API へのアクセスカスタマーサポートへのアクセス IAM ユーザー許可されたサービスへのアクセス管理理コンソールおよび API へのアクセスカスタマーサポートへのアクセス DO NOT USE after initial set- up ドアキー従業員バッジ Temporary Security Credentials / IAM Roles 許可されたサービスへの一時的なアクセス管理理コンソールおよび API へのアクセスホテルキー 56

認証情報を取得する方法 Session Access Key Id Secret Access Key Session Token Expiration Temporary Security Credentials Self- sessions (GetSessionToken) Federated sessions (GetFederationToken) Assumed- role sessions AssumeRole AssumeRoleWithWebIdentity AssumeRoleWithSAML 57

認証情報取得のための API STS で利利用できる API Action 概要 GetSessionToken GetFederationToken AssumeRole AssumeRoleWithWebIdentity AssumeRoleWithSAML 自身で利利用する IAM ユーザーの temporary security credentials を取得するためのアクション認証を受けた Federated ユーザーの temporary security credentials を取得するためのアクション既存の IAM ユーザーの認証情報を用いて IAM Role の temporary security credentials を取得するためのアクション Amazon や Facebook Google による承認情報を使用してロールを引き受け temporary security credentials を取得するためのアクション idp による認証と SAML のアサーションを AWS にポストすることでロールを引き受け temporary security credentials を取得するためのアクション 58 http://docs.aws.amazon.com/sts/latest/usingsts/welcome.html

認証情報の有効期限 Session Access Key Id Secret Access Key Session Token Expiration トークンのタイプにより有効期限は様々 [Min/Max/Default] Self (Account) [15 min / 60 min / 60 min] Self (IAM User) [15 min / 36 hrs / 12 hrs] Federated [15 min / 36 hrs / 12 hrs] Assumed- role [15 min / 60 min / 60 min] 発行行したチケットは延長や期間短縮は出来ない即座にアクセス制御したい場合は発行行に使用した IAM ユーザーや IAM ロールの権限を変更更する 59

AWS STS in all AWS regions STS のエンドポイントが全リージョンに拡張デフォルトでは STS はグローバルサービスとして利利用単一エンドポイント :https://sts.amazonaws.com IAM の Account Settings より各リージョンで STS 機能をアクティベート可能レイテンシーの低減冗長性の構築有効化したリージョンでの CloudTrail の使用を忘れない 60 http://docs.aws.amazon.com/ja_ jp/sts/latest/usingsts/sts- enableregions.html

ユースケース : IAM ロールによるクロスアカウントアクセスあるアカウントのユーザーに別のアカウントの IAM ロールに紐紐づける機能例例えば開発アカウントを使って本番環境の S3 データを更更新するようなケースで利利用開発アカウント本番アカウント AssumeRole 認証情報開発アカウント用ロール開発者アカウント用ロールの権限でアクセス 61 http://docs.aws.amazon.com/ja_ jp/iam/latest/userguide/roles- walkthrough- crossacct.html

IAM ロールによるクロスアカウントアクセスの動作開発アカウント Acct ID: 123456789012 開発者 A(IAM User) 開発者 A のアクセスキーによる認証 S3- role を引き受け一時的なアクセスキーを取得本番アカウント Acct ID: 111122223333 STS s3- role s3- role に付与されているポリシー { "Statement": [ { "Effect": "Allow", "Action": s3:*", "Resource": "*" } ] } 一時的なアクセスキーによる S3API の呼び出し { "Statement": [{ "Effect": "Allow", "Action": sts:assumerole", "Resource": "arn:aws:iam::111122223333:role/s3- role" } ] } 本番アカウントの s3- role の引き受けを許可するポリシーを開発者 A に設定 { "Statement": [{ "Effect":"Allow", "Principal":{"AWS":"arn:aws:iam::123456789012:root"}, "Action":"sts:AssumeRole" } ] } S3- role を誰が引き受けられるか定義したポリシーを s3- role に設定 62

クロスアカウントアクセスのための MFA 保護 AWS アカウント間でのアクセスのための MFA 保護を追加する機能 AWS マネージメントコンソールで role を作成する際に Require MFA のチェックボックスを選択することで設定可能 MFA 認証されたユーザーのみが認証情報を受けとることが可能に AssumeRole GetSessionToken { "Version": "2012-10- 17", "Statement": [ { "Effect": "Allow", "Principal": {"AWS": "Parent- Account- ID"}, "Action": "sts:assumerole", "Condition": {"Null": {"aws:multifactorauthage": false}} } ] } 63 http://docs.aws.amazon.com/iam/latest/userguide/mfaprotectedapi.html

Switch Role IAM ユーザーからクロスアカウントアクセス用 IAM ロールにコンソールから切切替が可能必ずしも別アカウントである必要はなく同じアカウントでも OK 必要な時のみ IAM ユーザーの権限を昇格させる IAM ユーザーには読み取り権限のみを付与 IAM ロールには更更新権限を付与 https://aws.amazon.com/blogs/aws/new- cross- account- access- in- the- aws- management- console/ 64

アジェンダ IAMの概要 IAMによる認証 (Authentication) IAMによる権限設定 (Authorization) IAMによる監査 (Audit) AWS Security Token ServiceとIAMロール IAMによるFederation まとめ 65

Identity Federation(ID 連携 ) とは企業組織の認証機能と AWS の認証を紐紐づける機能例例えば LDAP 認証したユーザーに対して S3 のアクセス権をつけるといった連携が可能認証したユーザーごとに Temporary Security Credentials( 一時的なアクセスキー ) を発行行 IAM は OpenID Connect または SAML 2.0 (Security Assertion Markup Language 2.0) と互換性のある IdP をサポート 66

ユースケース : SAML2.0 ベースの Federation SAML2.0 を使用した ID フェデレーション組織内の全員について IAM ユーザーを作成しなくてもユーザーは AWS を利利用可能組織で生成した SAML アサーションを認証レスポンスの一部として使用し一時的セキュリティ認証情報を取得ユーザーは一時的セキュリティ認証情報で AWS のリソースにアクセス 67

SAML2.0 ベースの Federation 動作例例 Enterprise (Identity Provider) AWS (Service Provider) ユーザーの認証 Identity provider AssumeRoleWithSAML の呼び出し S3 Bucket with Objects Amazon DynamoDB Amazon EC2 Active Directory IdP に認証情報のリクエスト認証応答の受け取り一時的な認証情報の受け渡し AWS Resources Client Application APP 認証情報を用いた API の呼び出し 68 https://docs.aws.amazon.com/ja_ jp/iam/latest/userguide/id_ roles_ providers_ saml.html

ユースケース : SAML2.0 による SSO Federation SAML 2.0 互換 IdP および IAM ロールを使用した管理理コンソールへのフェデレーションアクセス AssumeRoleWithSAML API を直接呼び出す代わりに AWS SSO エンドポイントを使用エンドポイントはユーザーの代わりに API を呼び出し URL を返すとそれによってユーザーのブラウザーが AWS マネジメントコンソールへ自動的にリダイレクト 69

SAML による Console Federation の動作例例 Enterprise (Identity Provider) AWS (Service Provider) Identity provider 認証応答の受け取り新しい AWS のサインインエンドポイントに対して SAML アサーションをポスト AWS SSO Endpoint STS エンドポイントが一時的な認証情報をリクエストしサインイン URL を作成 Corporate identity store サインイン URL をクライアントにリダイレクトとして送信内部ポータルへのアクセスポータルは IdP としても機能 70 Browser Interface ブラウザが AWS 管理理コンソールへリダイレクト認証レスポンスの一部としてコンソールが使用される時間を制限する時間枠およびユーザーが認証情報を更更新する前にコンソールにアクセスできる最大時間 ( 最大 12 時間 ) を指定することができます https://docs.aws.amazon.com/ja_ jp/iam/latest/userguide/id_ roles_ providers_ enable- console- saml.html

ユースケース : Console Federation (Sample - http://aws.amazon.com/code/4001165270590826) 既存の IdP による管理理コンソールへのシングルサインオン STS より一時的な認証情報を取得するためのカスタムフェデレーションブローカーを利利用 AssumeRole API の利利用 71

Console Federation の動作例例 Customer (IdP) List RolesResponse AWS (Relying Party) ユーザーの認証 Federation ロールを選択でき proxy るcombo Boxの作成 List RolesRequest AssumeRole Request Assume Role Response Temp Credentials Access Key Secret Key Session Token 72 Corporate directory Browser Interface AD グループの提示ログインURLの作成コンソールへのリダイレクト 10 URL にアクセス Federation proxy AWS Management Console AssumeRoleRequest() を利利用するため Proxy 上の IAM ユーザーのクレデンシャルを利利用 IAM ユーザーの権限は ListRoles と assume role を行行えるものが必要 Proxy はこのクレデンシャルをセキュアに保管する必要がある

Console Federation のメリットアカウント管理理が統合されリスクが低減する既存のユーザ情報をそのまま利利用既存の権限ベースでの管理理が可能既存と同様のポリシーの利利用が可能アカウントロックポリシーやパスワード管理理ポリシー入退社など一元的な管理理が可能イントラネットからのみアクセス可能なログイン画面 73

ユースケース: Web Identity Federation モバイルアプリから一時的なAWSセキュリティ認証情報を必要に応じて動的にリクエスト認証を確認するサーバが不不要 74 例例えばスマートフォンアプリとS3だけでシステムが作成可能現在Google,Facebook,Amazon(Login with Amazon), twitter, Amazon Cognito及びOIDC準拠のIdPに対応

モバイルアプリへの Amazon Cognito の使用例例エンドユーザーアプリケーションの利利用 ID Token から Cognito token の取得リダイレクトして認証の実施 ID Token の取得アプリケーション Cognito token を用い STS より認証情報の取得 Security Token Service Cognito STS の認証情報を用いて AWS サービスにアクセス DynamoDB OpenID Connect 準拠の IdP us- east- 1 Developerʼ s AWS Account https://docs.aws.amazon.com/ja_ jp/iam/latest/userguide/id_ roles_ providers_ oidc_ cognito.html 75

Federation/SSO を提供するパートナーソリューション http://aws.amazon.com/jp/iam/partners/ 76

アジェンダ IAMの概要 IAMによる認証 (Authentication) IAMによる権限設定 (Authorization) IAMによる監査 (Audit) AWS Security Token ServiceとIAMロール IAMによるFederation まとめ 77

IAM のベストプラクティス 1. AWS アカウント ( ルート ) のアクセスキーをロックする 2. 個々の IAM ユーザーを作成する 3. IAM ユーザーへのアクセス許可を割り当てるためにグループを使います 4. 最小限の特権を認める 5. ユーザーのために強度度の高いパスワードポリシーを設定する 6. 特権ユーザーに対して MFA を有効化する 7. Amazon EC2 インスタンスで作動するアプリケーションに対しロールを使用する 8. 認証情報を共有するのではなくロールを使って委託する 9. 認証情報を定期的にローテーションする 10. 不不要な認証情報の削除 11. 追加セキュリティに対するポリシー条件を使用する 12. AWS アカウントのアクティビティの監視 13. IAM ベストプラクティスについてのビデオ説明 78 http://docs.aws.amazon.com/ja_ jp/iam/latest/userguide/iambestpractices.html

まとめ IAM を利利用することでよりセキュアに AWS サービスを利利用できます権限を適切切に設定することでセキュリティが向上しオペレーションミスも低減できます STS をうまく利利用すると AWS サービスをアプリケーションやモバイルから直接扱えますサーバコストの削減が可能 IAM 自体には利利用料料が必要ありません積極的に活用を! 79

追加のリソース IAM ドキュメント群 http://aws.amazon.com/jp/documentation/iam/ IAM ベストプラクティス http://docs.aws.amazon.com/iam/latest/userguide/iambestpractices.html AWS Security Blog http://blogs.aws.amazon.com/security/ 80

オンラインセミナー資料料の配置場所 AWS クラウドサービス活用資料料集 http://aws.amazon.com/jp/aws- jp- introduction/ 81 AWS Solutions Architect ブログ最新の情報セミナー中の Q&A 等が掲載されています http://aws.typepad.com/sajp/

公式 Twitter/Facebook AWS の最新情報をお届けします @awscloud_ jp 検索索もしくは http://on.fb.me/1vr8ywm 最新技術情報イベント情報お役立立ち情報お得なキャンペーン情報などを日々更更新しています! 82

AWS の導入お問い合わせのご相談 AWS クラウド導入に関するご質問お見見積り資料料請求をご希望のお客様は以下のリンクよりお気軽にご相談ください https://aws.amazon.com/jp/contact- us/aws- sales/ 83 AWS 問い合わせで検索索してください