AWSサービスを安全に利用するには、企業の内部統制やセキュリティ対策強化の観点で適切なアクセス権限の設定が欠かせません。AWSのアクセス制御の設定周りを担っているのが、「AWS IAM」というサービスです。そこでこの記事では、AWS IAMに関する基礎知識や考え方とともに、よりよくAWS IAMを利用するためのベストプラクティスをご紹介します。
目次
AWS IAMとは?
「AWS IAM(Identity and Access Management)」とは、AWSの各種サービスやリソースへのアクセス権限を管理するためのサービスです。IAMは通称「アイアム」と呼ばれています。AWS IAM下にあるユーザーに対して、利用者が本人であることをチェックする「認証」と、利用者に適切な権限を与える「認可」を行います。
なお、AWS IAMを利用するにあたって、月額料金などの追加料金はかかりません。ただし、AWS IAMでアクセス設定したサービスには、それぞれの料金がかかります。
AWS IAMはなぜ必要?
同じ組織内でも部門やプロジェクトなどによって、サービスの利用範囲は異なることがほとんどです。
もし管理者権限を不適切に付与した場合、ユーザーアカウントが乗っ取られ、システムへのアクセスが不正に行われるリスクがあります。そうなれば、システムダウンの発生や、システムを盾に身代金を要求するサイバー攻撃の被害に遭う恐れがあります。また、管理者権限があれば重要なデータを閲覧できるため、内部不正が行われる可能性もあります。内部不正が発生すれば、組織の信頼性に深刻な影響を及ぼす可能性があります。
ほかにも利用者の誤操作によって、リソースの削除など重大なミスにつながることも考えられます。これらの問題を起こさないためにも、AWS IAMを用いて適切な権限を付与することが求められます。
AWS IAM とAWS Organizationsとの違い
AWS IAMと同じようにAWSのアクセス管理を行うサービスに、「AWS Organizations」があります。両者の違いは、AWS IAMがユーザーに対しての権限を管理することに対し、AWS Organizationsは複数のAWSアカウント、すなわちAWSの環境に対して一元管理する点です。両者を使い分ければ、環境とそれぞれのユーザーに対して適切な権限管理を実現できます。
なお、以下の記事ではAWS Organizationsについて詳しく解説しています。興味のある方はあわせてご参照ください。
AWS Organizations完全ガイド|制御の仕組みとメリットを徹底解説!|TOKAIコミュニケーションズ
AWS IAMの基礎知識
AWS IAMの基本となるのが、ユーザーやユーザーグループ、ポリシー、ロールの概念です。それぞれについて詳しく確認していきましょう。
ルートユーザー・IAMユーザー
AWS IAMには、「ルートユーザー」と「IAMユーザー」という2種類のユーザーがあります。ルートユーザーは、AWSアカウントを作成したとき最初にできるユーザーで、全操作の権限を有しています。IAMユーザーは、必要な権限のみ付与されるユーザーです。
権限の設定はルートユーザーではなく、ルートユーザーが管理者権限を付与されたIAMユーザーを作成し、その管理者相当のIAMユーザーが他のユーザー作成や権限付与を行う流れが一般的です。
IAMユーザーグループ
IAMユーザーグループは、IAMユーザーの集まりです。IAMユーザーの数が多い場合、ユーザー1人ひとりに対して設定を行うと作業が煩雑になり、管理も難しくなります。IAMユーザーをIAMグループに所属させてグループに対して権限設定を行うことで、権限設定・管理にかかる時間を短縮できます。なお、一つのIAMユーザーに対して複数のIAMグループを割り当てることも可能です。
IAMポリシー
IAMポリシーは、サービスやリソースの権限を定義したJSON形式の設定ファイルです。AWS上に保管されるIAMポリシーをIAMユーザーグループに割り当てるという方式で、権限付与に関わる作業時間を短縮しつつ、正しくアクセス権限を付与できます。
IAMロール
IAMロールは、AWSサービスや別のAWSアカウントに対してアクセス権限を付与する仕組みで、複数のIAMポリシーで構成されています。例えばAmazon EC2インスタンス上で稼働しているアプリケーションは、権限なしではS3パケットへアクセスできません。その場合はS3パケットへのアクセス権限のあるIAMロールを作成し、Amazon EC2に対してIAMロールを付与することでアクセスが可能になります。
AWS IAMを使いこなすためのベストプラクティス
最後に、AWS IAMを導入するにあたって役立つ、アクセス管理の考え方や設定をご紹介します。
最小権限の原則(PoLP)
最小権限の原則(PoLP)は、ユーザーに必要な権限だけを付与するというセキュリティの基本原則です。もし過剰な権限を一般ユーザーに与えてしまうと、ID・パスワードの漏えいや内部不正といったリスクが発生してしまいます。そういったセキュリティ上のリスクを避けるため、必要な人に必要な権限を付与できるようにポリシーを設計する必要があります。なお、最小権限の原則は、AWS IAMに限らず、アクセス管理全般に関わる基本的な考え方です。
多要素認証を導入する
不正アクセス防止のため、「多要素認証(MFA)」の設定が推奨されています。多要素認証とは、複数の要素を組み合わせる認証の方式です。多要素認証では、下記の要素のうち2つ以上の方法を使います。
〈要素の例〉
- 知識情報:パスワードやPINコード、秘密の質問に対する答えなど、その人が知っている情報を使った認証
- 所持情報:スマートフォンを使ったSMS認証や社員証などのICカードなど、その人の持ち物を使った認証
- 生体情報:指紋や顔、虹彩認証など、その人の生体情報を使った認証
なお多要素認証と似た言葉として、「二段階認証」があります。二段階認証は要素を問わず、認証の回数を2回にしたものです。なかには同じ要素の違う方法を2回行うケースも含まれるため、多要素認証よりも信頼度は低くなってしまいます。要素の違う多要素認証を設定することで、不正アクセスが起きる可能性を減らすことが可能です。
アクセスキーを適切に管理する
アクセスキーとは、APIやサービスへのアクセスのために使用される情報です。外部からAWSへ簡単にアクセスできるため、アクセスキーは厳重に管理しなければなりません。過去には不要なアクセスキーが有効だったために、重大なセキュリティ事故につながったケースもあります。リスク低減のためには、アクセスキーを安全な場所に保管することはもちろん、不要になったキーを迅速に無効化することや、定期的にキーを交換することが必要です。システム上の管理だけではなく、利用者も定められたルールに従って適切に管理しましょう。
まとめ
AWS IAMは、AWSのサービスのアクセス権限を管理するための重要なツールです。設定次第で細かなアクセス制御が可能ですが、設定ミスは重大なセキュリティ事故につながる恐れがあります。セキュリティ事故を起こさないためには、最小権限の原則を意識して、適切にIAMポリシーを設定し、IAMグループへ割り当てることが重要です。二要素認証なども活用し、不正アクセスに備えましょう。
なお、TOKAIコミュニケーションズでは、AWS IAMの権限設定を含めたAWS導入のサポートサービスを提供しています。AWSのアクセス制御周りをはじめ、導入や移行でお悩みの方は、当社までお気軽にご相談 
ください。AWS導入実績が豊富な当社が、お客様に最適なプランを提案いたします。
関連サービス
おすすめ記事
-
2020.06.23
Amazon Connectで在宅勤務でも対応できる問合せ窓口を立ち上げてみた
-
2020.08.17
Datadogで実現するモニタリングとオペレーションのオートメーション化
-
2020.04.27
Amazon FSx for Windows ファイルサーバーへの移行と活用方法
-
2020.06.11
Amazon WorkSpacesとは?その特長をまとめてみた
-
2020.06.23
AWSのDevOpsサービスと当社マネージドサービスを活用したDevOpsの実装①~概念編~
