AWS Well-Architectedフレームワークの最初の柱: IAM(アイデンティティ管理とアクセス管理)
トピック: AWS Well-Architectedフレームワークの5本の柱
2019年10月28日、Rich Turner
このブログはAWS Well-Architectedフレームワークの5本の柱に関するシリーズ(7つのブログ)の第2の記事です。シリーズ全体については、Five Pillars for well-architected AWS securityをご参照ください。
IAMはユーザの観点から考えられています。ユーザは、グループに分類でき、ユーザにはロールが関連付けられ、ロールには権限が関連付けられます。
たとえば、1つの企業に複数のグループがあり、そのグループがグループより大きい開発部門に属している場合は、部門が類似していても、ロールとグループの両方にそれぞれ異なる権限が関連付けられます。この関係は必ずしも直線的ではありません。
同様に、クラウド内の企業はサービスがユーザと同じIAMに依存する可能性があることを理解するようになっています。企業がクラウドサービスを変革のために活用しようとしている場合は、この構造が重要であり、このようなサービスのアクセス方法と管理方法を理解する必要があります。
AWSでは、IT管理者が、IAMによって、特定のリソースを操作し、AWSインフラストラクチャ全体を可視化および管理できます。部門、ワークグループ、およびプロジェクトの数が多い場合、このような管理は、すぐに複雑になる可能性があります。しかし、IT管理者は、IAMによって、どのユーザがどの操作を行っているかを可視化できます。
AWSインフラストラクチャでは、権限管理が主にAWS IAMによってサポートされており、AWSのサービスとリソースへのユーザアクセスとプログラムアクセスを制御できます。AWSでは、高い複雑度、再利用の禁止、MFA(多要素認証)などの強力なパスワードプラクティスが必要です。
適切に設計された #IAMの柱 #CloudSecurity を開発するために必要な3つのことをご覧ください。
設計が優れたIAMを開発するには、下記を行う必要があります。
- 認証情報と認証の管理
- ユーザアクセスの制御
- プログラムアクセスの制御
AWS Well-Architectedフレームワークの詳細については、AWS Well-Architected LabsのQuest: Managing Credentials & Authenticationをご参照ください。
来週は、発見的統制とその実装方法について説明します。シリーズ全体については、Five Pillars for well-architected AWS securityをご参照ください。
Barracuda Cloud Security Guardianは、AWSと統合されており、組み込みのセキュリティおよびアラート機能を適用するように、新規に設計されています。無料のスキャンについては、このページをご参照ください。
製品のご紹介:Barracuda Cloud Security Guardian
原文はこちら:
The first pillar for well-architected AWS cloud security – IAM (identity access management)
October 28, 2019 Rich Turner
