Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS最小権限での運用に向けた技術調査

Kentaro Takaki
November 15, 2022
82

 AWS最小権限での運用に向けた技術調査

2022/09 の JAWS-UG 名古屋でLTした内容です。
調査内容は5月時点のモノなので少し古いです。
IAM Access Analyzerのポリシー生成機能及びCloudTrailLakeに関して
調べて言及しています。

Kentaro Takaki

November 15, 2022
Tweet

Transcript

  1. TRDL 方法は大きく分けて以下の2つが考えられる 1. IAM access Analyzerのポリシー生成 リソースに関しての条件を指定しなくていいのであればIAM access Analyzerの ポリシー生成を利用する

    2. Cloud Trail Lake の利用 リソースに関しての条件指定をしたいのであれば Cloud Trail Lake のクエリを実行して開発者の行動履歴を抽出する
  2. 方法1.IAM access Analyzerのポリシー生成 IAM が提供する機能でユーザの過去のAPIコールからIAMポリシーを生成できる。 • 無料で利用可能 • 事前にCloudTrailの証跡を作成しておく必要がある。 #データイベント(S3のGETなど)は対象外!!

    • 同時に実行可能な対象は1つまで • 最大過去90日の履歴を対象とすることができる • 実行に最大6時間を要する • 生成したポリシーは7日間確認可能 Ref) https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/access-analyzer-policy-generation.html
  3. 方法2. Cloud Trail Lake の利用 Cloud Trail Lake と呼ばれる機能がCloud Trail

    で提供されている。内部的にはAthena と連携しており Glue などを利用せずともCloud Trail の証跡に相当するものにクエリ がかけられる。 • 重量課金制(ログ取り込みに2.5$/5TB、スキャンに0.005USD/1GB) • クエリをうまく使えばS3のデータイベントなども扱える • 証跡とは別機能。イベントデータストアになりイベントはクエリできない。 • 最大過去7年間の履歴を対象とすることができる • 実行速度はAthenaの性能となる(たぶん) • クエリの結果は7日間確認可能
  4. 方法2. Cloud Trail Lake の利用 ・例えば監査用、ポリシー作成用に月初にユーザの直近1年APIコールを確認したい EventBridge → Lambda with

    StartQuery API + GetQueryResults API →メール転送など #Athena のAPI とは異なり直接S3に出力する機能をもったAPIはない ・クエリをうまく設定すれば、現在のCheckサーバをなくすことができる。具体的には既存スクリプトをク エリ化すればよい。