AWSに関連するアカウント管理は、非常に重要です。ベストプラクティスを参考にすることで、セキュリティ上のリスクを下げることができます。運用中の管理者権限の利用は避け、必要最小限のIAM発行を行うようにしましょう。
アカウント管理とは
アカウント管理とは
AWSを利用すると、AWSのrootアカウントやIAMユーザー、EC2インスタンスへのログインアカウントなど、様々なアカウントを利用することになります。
管理者権限のアカウントを使うことで、全ての操作が可能です。しかしながら、不必要な権限を与えることは、セキュリティ上のリスクになりえます。
そのため、そのユーザーが必要な権限のみを、必要なタイミングで付与して提供する必要があります。また、退職等で不要になったタイミングで削除をおこなわなければなりません。
このアカウントに関する管理を行うことを、アカウント管理といいます。
お客さまにてアカウント管理する場合のポイント
アカウント管理のポイント
AWSでは、IAMについてセキュリティのベストプラクティスが提示されています。
参考:IAM でのセキュリティのベストプラクティス
AWSを利用するさいは、必ず確認しておきましょう。
初期設定後はAWSの管理者権限を利用するのは避けるべきです。管理者権限の変わりに、必要な権限を割り当てた、IAMユーザー(ロール)を使うようにします。
そうすることで、漏洩した場合のリスクを減らすことが可能です。
さらに、多要素認証(MFA)の利用を義務付けることで、情報が漏洩した場合も、不正利用されるリスクを大きく減らすことが可能です。
アカウント管理の失敗例
アカウント管理失敗例
IAMアカウントの権限は必要最小限のものを利用しましょう。
閲覧が必要であれば閲覧のみに制限しましょう。あるシステム開発会社様では、開発者にアドミン権限を付与した結果、プログラム上のミスで、多数のEC2が自動構築されることになってしまいました。
本来必要な閲覧権限を払い出ししていれば防げた失敗です。必要最小限のアカウントを提供するようにしましょう。
また、アカウントが漏洩すると、「多額の利用料請求」「情報漏洩」「加害者からの脅迫」「犯罪への加担」などビジネス上の大きなリスクが発生します。
特にIAMのアクセスキーを使い、プログラムから利用する場合は注意が必要です。アクセスキーをソース上に埋め込んでしまい、GITの公開リポジトリへプッシュすることで、情報が漏洩する。という事例が多くあります。
もし、見覚えのないインスタンスが作成されているなど、不正利用の可能性に気付いた場合は、下記ページ等を参考にして対処しましょう。
AWS アカウントの不正なアクティビティに気付いた場合、どうすればよいですか?
ディーネットのAWS運用代行サービスでは
ディーネットにお任せいただくメリット
ディーネットが提供するAWS運用代行サービスでは、AWSの管理者権限含め、アカウント管理はすべてディーネットにて行います。
サーバーへのログインアカウントなど、お客様が必要なアカウントを適宜発行し、共有いたします。
まとめ
最後までご覧いただきありがとうございます
AWSに関連するアカウント管理は、非常に重要です。
ベストプラクティスを参考にすることで、セキュリティ上のリスクを下げることができます。運用中の管理者権限の利用は避け、必要最小限のIAM発行を行うようにしましょう。