IAMAccessAnalyzer_Security-JAWS

IAM Access Analyzer を利用した最小権限への旅

粟ケ窪康平 2020年に某大手証券グループのシンクタンクに新卒入社。配属から1年はオンプレネットワークの設計をやっていたが、ひょんなことから社内初のAWS全冠になってしまいネットワークから引退。現在は某金融機関様向けのAWSセキュリティ設計に従事。 CISSP(Associate)/SC/NW/CCNA あわが
くぼ

おことわり本資料の内容や見解は所属の組織を代表するものではございません

本日話さないこと最小権限とは何かという哲学的な問い IAMポリシー/ロールの基本

IAM Access Analyzer とは IAM Access Analyzer を利用した最小権限への旅

リソースポリシーを分析して証明可能なセキュリティを提供することで、最小特権のアクセス権限を簡単に実装できるようにするとともに、意図しないパブリックアクセスまたはクロスアカウントアクセスを特定するためのサービス IAM Access Analyzer を利用した最小権限への旅 IAM Access Analyzer
とは

IAM Access Analyzer は特に機能拡張が激しいサービスのひとつ IAM Access Analyzer を利用した最小権限への旅 2019 2021
2023 2020 2022 IAM Access Analyzer の進化 ➢ re:Inventで発表 ➢ Access Analyzer for Amazon S3 ➢ Security Hub と統合 ➢ S3アクセスポイントポリシーの公開アクセス許可の検出をサポート ➢ IAM Access Analyzer が既存の調査結果のアーカイブルールをサポート ➢ Secrets Manager への意図しないアクセスの検出をサポート ➢ アクセス権限変更前のパブリックアクセスとクロスアカウントアクセスを検証可能に ➢ 100を超えるサービスでポリシーチェックのサポート ➢ アクセスアクティビティに基づくポリシー生成をサポート ➢ オーサリング中のポリシーチェックをサポート ➢ ポリシー生成対象サービスの強化、クオータ引き上げ ➢ ポリシー検証がロール信頼ポリシーまで拡張 ➢ 140を超えるサービスでアクティビティに基づくポリシー生成が可能に ➢ SNSなど6つのサービスが公開アクセス検出の対象に追加 ➢ 200を超えるサービスでアクティビティに基づくポリシー生成が可能に

IAM Access Analyzer を利用した最小権限への旅権限の設定権限の確認権限の修正 IAM Access Analyzer
でできること IAM Access Analyzer は権限管理ライフサイクルのあらゆるステージを支える各種機能を提供

でできること IAM Access Analyzer は権限管理ライフサイクルのあらゆるステージを支える各種機能を提供ステージカットで機能をご紹介します

IAM Access Analyzer を利用した最小権限への旅権限の確認権限の修正 IAM Access Analyzer でできること
IAM Access Analyzer は権限管理ライフサイクルのあらゆるステージを支える各種機能を提供権限の設定権限を正しく設定するための機能

IAM Access Analyzer policy validation IAMをポリシーの文法およびベストプラクティスに照らして検証権限の設定 IAM Access Analyzer
を利用した最小権限への旅文法的な誤りを指摘過度に広いアクセス権限を指摘ベストプラクティスに沿っていないポリシーを指摘改善のための推奨事項 Security Errors Warnings Suggestions

IAM Access Analyzer を利用した最小権限への旅権限の修正 IAM Access Analyzer でできること IAM
Access Analyzer は権限管理ライフサイクルのあらゆるステージを支える各種機能を提供権限の設定権限の確認過剰な権限が設定されていないか確認するための機能

IAM Access Analyzer external access findings 外部エンティティと共有されている組織とアカウントのリソースを識別権限の確認 IAM Access
Analyzer を利用した最小権限への旅外部公開している(されている) S3バケットを一覧表示した例

IAM Access Analyzer を利用した最小権限への旅 IAM Access Analyzer でできること IAM Access
Analyzer は権限管理ライフサイクルのあらゆるステージを支える各種機能を提供権限の設定権限の確認権限の修正過剰な権限を削除し洗練させるための機能

IAM Last accessed information(1/2) 最後にアクセスされた情報をもとに不要なアクセス許可の特定を支援 IAM Access Analyzer を利用した最小権限への旅最大400日間の
アクセス情報を追跡権限の修正

アクセス情報を追跡追跡期間中はアクセスされていない権限の修正

アクセス情報を追跡追跡期間中はアクセスされていない不要なサービス許可権限の修正

IAM Last accessed information(2/2) サービスのリンクを押すとアクションレベルまで確認可能 IAM Access Analyzer を利用した最小権限への旅 S3のアクションレベルの
アクセス情報の例フィルタを使うと不要アクションの見通しがよくなる権限の修正

IAM Access Analyzer policy generation CloudTrailログを分析し、ポリシー生成を支援 IAM Access Analyzer を利用した最小権限への旅
期間を選択(最長90日) リージョンを選択サービスロールを設定権限の修正

でできること IAM Access Analyzer は権限管理ライフサイクルのあらゆるステージを支える各種機能を提供再掲 ✓ IAM Access Analyzer policy validation ✓ IAM Access Analyzer external access findings ✓ IAM Last Accessed information ✓ IAM Access Analyzer policy generation

でできること IAM Access Analyzer は権限管理ライフサイクルのあらゆるステージを支える各種機能を提供再掲 ✓ IAM Access Analyzer policy validation ✓ IAM Access Analyzer external access findings ✓ IAM Last Accessed information ✓ IAM Access Analyzer policy generation 銀の弾丸というわけにはいかなかった

IAM Access Analyzer の悩み大きく2点悩ましいところがあった IAM Access Analyzer を利用した最小権限への旅公開アクセスの検知結果が多すぎて
どこから手を付ければいいかわからないコードで展開するIAMリソースの事前検証ができない個人的に

IAM Access Analyzer の悩み大きく2点悩ましいところがあった IAM Access Analyzer を利用した最小権限への旅コードで展開するIAMリソースの
事前検証ができない個人的に公開アクセスの検知結果が多すぎてどこから手を付ければいいかわからない

IAM Access Analyzer 検出結果におけるノイズ環境の規模が大きいほど多数のノイズが含まれる IAM Access Analyzer を利用した最小権限への旅このS3バケットは
公開されていていいのか？謎のエラーフェデレーションユーザーの検出結果がいっぱい

IAM Access Analyzer 検出結果におけるノイズの軽減 AWSから検出結果に優先順位をつけるための以下の指針が示されている IAM Access Analyzer を利用した最小権限への旅 1.
パブリックアクセスに関する調査結果を確認する 2. 権限エラーを削除してフィルタリングする 3. 既知の ID プロバイダーのフィルター 4. 信頼できるクロスアカウントアクセスの検出結果をフィルタリングする

1. パブリックアクセスに関する調査結果を確認する IAM Access Analyzer を利用した最小権限への旅 IAM Access Analyzer は以下のようなリソースの外部公開を検知する
✓ 「Principal:*」権限があるS3バケットポリシー ✓ リソース許可フラグが設定されたEBSスナップショット

IAM Access Analyzer を利用した最小権限への旅 IAM Access Analyzer は以下のようなリソースの外部公開を検知する ✓ 「Principal:*」権限があるS3バケットポリシー
✓ リソース許可フラグが設定されたEBSスナップショット公開が意図したものであるならばアーカイブする 1. パブリックアクセスに関する調査結果を確認する

✓ リソース許可フラグが設定されたEBSスナップショット意図した公開の場合リソース名等を条件にしてアーカイブ 1. パブリックアクセスに関する調査結果を確認する

✓ リソース許可フラグが設定されたEBSスナップショット意図した公開の場合公開を意図していないなら是正するリソース名等を条件にしてアーカイブ 1. パブリックアクセスに関する調査結果を確認する

IAM Access Analyzer を利用した最小権限への旅 IAM Access Analyzer は以下のようなリソースの外部公開を検知する ✓ 「Princial:*」権限があるS3バケットポリシー
✓ リソース許可フラグが設定されたEBSスナップショット意図した公開の場合意図していない公開の場合 1. パブリックアクセスに関する調査結果を確認する PrincipalOrgID 等でポリシーを是正リソース名等を条件にしてアーカイブ

IAM Access Analyzer を利用した最小権限への旅 IAM Access Analyzer はサービスにリンクされたロールを利用するが、リソース側で明示的な拒否を行っているとリソースメタデータを読み取れないことがある 2.
権限エラーを削除してフィルタリングする { "Sid":"Deny unintended access to KMS key", "Effect":"Deny", "Principal":"*", "Action":[ "kms:DescribeKey", "kms:GetKeyPolicy", "kms:List*" ], "Resource":"*", "Condition":{ "ArnNotLikeIfExists":{ "aws:PrincipalArn":[ "arn:aws:iam::<ACCOUNT_ID>:role/aws-service-role/access-analyzer.amazonaws.com/AWSServiceRoleForAccessAnalyzer", "arn:aws:iam::*:role/<YOUR-ADMIN-ROLE>" ] } } } 拒否の例外条件にサービスにリンクされたロールを追加

3. 既知のIDプロバイダーのフィルター IAM Access Analyzer を利用した最小権限への旅 IAM Access Analyzer は
IAM Identity Center 等のIdPをプリンシパルとして許可する信頼ポリシーを持つロールを検知してしまう Control Tower を展開した時の検知例アカウントが増えるごとに検出結果も増えていく

IAM Access Analyzer を利用した最小権限への旅 IAM Access Analyzer は IAM Identity
Center 等のIdPをプリンシパルとして許可する信頼ポリシーを持つロールを検知してしまう Control Tower を展開した時の検知例アカウントが増えるごとに検出結果も増えていく IAM Identity Center の予約パスを使用してアーカイブルールを作成する 3. 既知のIDプロバイダーのフィルター

IAM Access Analyzer を利用した最小権限への旅 IAM Identity Center によって作成されたロールは、以下の予約パスを利用する「arn:aws:iam:: <ACCOUNT_ID>
:role/aws-reserved/sso.amazonaws.com/」 Federated User を saml-provider/AWSSSO Resource を aws-reserved/sso.amazonaws.com 3. 既知のIDプロバイダーのフィルター

4. 信頼できるクロスアカウントアクセスの検出結果をフィルタリングする IAM Access Analyzer を利用した最小権限への旅 IAM Access Analyzer はリソースベースのポリシーが信頼ゾーン外からのクロスアカウ
ントアクセスを許可している場合に検知するアカウントID等でアーカイブルールを作成する

IAM Access Analyzer の悩み大きく2点悩ましいところがあった IAM Access Analyzer を利用した最小権限への旅個人的に
公開アクセスの検知結果が多すぎてどこから手を付ければいいかわからないコードで展開するIAMリソースの事前検証ができない

IAM Policy Validator for AWS CloudFormation の利用 IAM Access Analyzer
を利用した最小権限への旅 CI/CDパイプラインにPolicy Validator を組み込むことで展開前に事前検証が可能 https://catalog.us-east-1.prod.workshops.aws/v2/workshops/fff8e490-f397-43d2-ae26-737a6dc4ac68/en-US ワークショップが用意されている https://github.com/awslabs/terraform-iam-policy-validator Terraform用Validatorも用意されている

最小権限への旅のはじめ方 IAM Access Analyzer を利用した最小権限への旅

IAM Access Analyzer とセキュリティ成熟度モデル IAM Access Analyzer の段階的活用にあたって、セキュリティ成熟度モデルを一つの拠り所にすることができる IAM
Access Analyzer を利用した最小権限への旅 https://maturitymodel.security.aws.dev/en/

Access Analyzer を利用した最小権限への旅 https://maturitymodel.security.aws.dev/en/ 4段階の成熟度レベル

Access Analyzer を利用した最小権限への旅 https://maturitymodel.security.aws.dev/en/ セキュリティ推奨事項の優先順位付けに役立つ

Access Analyzer を利用した最小権限への旅 https://maturitymodel.security.aws.dev/en/ 費用対効果を考慮して各推奨事項を分類

Access Analyzer を利用した最小権限への旅 https://maturitymodel.security.aws.dev/en/ AWSの公式ドキュメントではない旨の注意書き

IAM Access Analyzer とセキュリティ成熟度モデル IAM Access Analyzer に関連する部分を抜粋すると以下のようになる IAM Access
Analyzer を利用した最小権限への旅 1. Quick Wins(即効性) ✓ IAM Access Analyzer を使用して、アカウントまたは組織の外部で共有されているリソースを検出 2. Foundational(基礎) ⁻ 該当なし 3. Efficient(効率化) ✓ IAMポリシーのレビュー(機能の実行に必要な最小限の権限が付与) ✓ 意図しないアクセスの審査(ポリシー内のアスタリスク確認) ✓ IAM Access Advisor(未使用の許可設定の削除) ✓ IAM Access Analyzer を利用したポリシーの生成 4. Optimized(最適化) ✓ IAMパイプライン

IAM Access Analyzer を利用した最小権限への旅参考文献 ➢ https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/what-is-access-analyzer.html ➢ https://aws.amazon.com/jp/blogs/security/validate-iam-policies-in-cloudformation-templates-using-iam-access- analyzer/
➢ https://github.com/awslabs/terraform-iam-policy-validator ➢ https://aws.amazon.com/jp/blogs/security/refine-permissions-for-externally-accessible-roles-using-iam-access- analyzer-and-iam-action-last-accessed/ ➢ https://maturitymodel.security.aws.dev/en/model/ ➢ https://catalog.us-east-1.prod.workshops.aws/v2/workshops/fff8e490-f397-43d2-ae26-737a6dc4ac68/en-US ➢ https://d1.awsstatic.com/events/Summits/awsreinforce2023/IAM321_Move-toward-least-privilege-with-IAM- Access-Analyzer.pdf

ありがとうございました！

IAMAccessAnalyzer_Security-JAWS

IAMAccessAnalyzer_Security-JAWS

More Decks by Koheiawa

Other Decks in Technology

Featured

Transcript