Upgrade to Pro — share decks privately, control downloads, hide ads and more …

IAMのマニアックな話 2025​ ~40分バージョン ~​

IAMのマニアックな話 2025​ ~40分バージョン ~​

NRI Netcom

March 25, 2025
Tweet

More Decks by NRI Netcom

Other Decks in Technology

Transcript

  1. IAMのマニアックな話 2025 ~40分バージョン ~ NRIネットコム TECH AND DESIGN STUDY #59~

    2025年3月18日 NRIネットコム株式会社 執行役員 デジタルソリューション事業本部長 クラウドテクニカルセンター センター長 佐々木拓郎
  2. 1 Copyright(C) NRI Netcom, Ltd. All rights reserved. 自己紹介 ◼

    2000年 4月 NRIネットコム株式会社入社 ◼ 現在 執行役員 デジタルソリューション事業本部長 クラウドテクニカルセンター センター長 佐々木拓郎 ◼ 執筆
  3. 2 Copyright(C) NRI Netcom, Ltd. All rights reserved. NRIネットコムのAWSへの取り組み APNアドバンスド

    コンサルティングパートナー 複数のAWS Award受賞者と 多数のAWS認定者資格 書籍&ブログ執筆
  4. 3 Copyright(C) NRI Netcom, Ltd. All rights reserved. IAMのマニアックな話 2019

    01 IAMのマニアックな話 2025 02 これからのIAMのベストプラクティス 03 まとめとご案内 03
  5. 5 Copyright(C) NRI Netcom, Ltd. All rights reserved. IAMのマニアックな話(2019)の紹介 IAMの設計を言語化するために書いた本

    同人誌の枠を超えた大ヒット!!  KindleやBOOTHを中心に6,000冊以上販売  マニアックな話と言いつつ、IAMを使う上で把握しておくべき 事項を網羅  IAMのみに特化して、100ページ以上のボリューム KDPの売り上げの推移 発表から5年が経過しても、売れ続けてい る
  6. 6 Copyright(C) NRI Netcom, Ltd. All rights reserved. IAMのマニアックな話 (2019)

    の目次 IAMの設計を言語化するために書いた本 はじめに 第1章 AWS と IAM 第2章 IAM の機能 第3章 IAM チュートリアル 第4章 IAM ポリシーのデザインパターン 第5章 IAM グループのデザインパターン 第6章 IAM とセキュリティ 第7章 IAM の運用 第8章 IAMとCloudFormation 第9章 IAMのテンプレート集 第10章 IAM以外のAWS サービスの活用 付録 A アカウント開設時の設定チェックリスト
  7. 7 Copyright(C) NRI Netcom, Ltd. All rights reserved. IAMのマニアックな話 (2019)

    で取り扱った、IAMの機能 たったの5つだけ ⚫ IAM ユーザー ⚫ IAM グループ ⚫ IAM ポリシー ⚫ IAM ロール ⚫ パーミッション・バウンダリー
  8. 8 Copyright(C) NRI Netcom, Ltd. All rights reserved. IAMポリシーのデザインパターン① ホワイトリスト・パターン

    許可する権限のみ付与していくパターン 特定のサービス・アクションのみ許可 ec2 Describe * Stop Start 拒否 許可 許可 許可 デフォルト拒否 メリット  最小権限の設計ができる  理解して作れば、一番セキュア デメリット  設計が進まないと設定できない  管理負荷が高い ◆ EC2やS3といったサービス単位や、更に細かくアクション単位で付与 ◆ AWS管理ポリシーも、ある意味ホワイトリストパターン(※) ※そのまま使うには粗い事が多い
  9. 9 Copyright(C) NRI Netcom, Ltd. All rights reserved. IAMポリシーのデザインパターン② ブラックリスト・パターン

    拒否する権限を追加していくパターン 特定のサービス・アクションを拒否 メリット  AWS管理ポリシーを活用しやすい  初期設計を最小限に取り掛かれる  自由度が高く設計が楽 デメリット  予期せぬサービスが、突然使えるよ うになるリスクがある ◆ 最初に大きめの権限を付与する ◆ その後に、使われたくないサービス/アクションの権限を剥奪していく Admin 許可 S3 * Ec2 * IAM * デフォルト拒否 拒否 拒否 拒否
  10. 10 Copyright(C) NRI Netcom, Ltd. All rights reserved. IAMグループのデザインパターン① ユーザ/ロールが複数グループに所属

    グループごとの役割を小さく分割 ◆ 全社員向けの共通グループと、特定用途向けのグループ ◆ ポリシー設計が簡単だが、ユーザーからみると自分の権限がわかりにくい 全ユーザが利用するグループ (IAMグループ) IPアドレス制限 (IAMポリシー) パスワード変更権限 (IAMポリシー) 開発者向けグループ (IAMグループ) EC2操作権限 (IAMポリシー) ネットワーク担当者グループ (IAMグループ) VPC操作権限 (IAMポリシー) 開発者A (IAMユーザ) ネットワーク担当者A (IAMユーザ)
  11. 11 Copyright(C) NRI Netcom, Ltd. All rights reserved. IAMグループのデザインパターン② 1つのグループに属性ごとの権限を付与

    1ユーザー1グループの原則のもと、グループ内にポリシーを付与していく ◆ グループ内に共通・個別のポリシーを追加していく ◆ ユーザーからみると権限の見通しが良いが、グループ管理が煩雑 IPアドレス制限 (IAMポリシー) パスワード変更権限 (IAMポリシー) 開発者向けグループ (IAMグループ) EC2操作権限 (IAMポリシー) ネットワーク担当者グループ (IAMグループ) VPC操作権限 (IAMポリシー) 開発者A (IAMユーザ) ネットワーク担当者A (IAMユーザ) IPアドレス制限 (IAMポリシー) パスワード変更権限 (IAMポリシー)
  12. 12 Copyright(C) NRI Netcom, Ltd. All rights reserved. クロスアカウントロールを活用したロールの切り替え(Switch Role)

    STS(Security Token Service)を使った一時的な認証情報の発行 ◆ ユーザもしくはロールから、別のアカウントのIAMロールに切り替える ◆ マルチアカウント環境の場合は、認証のみのアカウントを作成し、他アカウントへ切り替えるて利 用する運用を取ることがある。IAMユーザー管理の最小化 IAM Role アカウントA IAM User アカウントB S3 バケット スイッチロールし、 一時的な認可を得る 利用
  13. 13 Copyright(C) NRI Netcom, Ltd. All rights reserved. 2019年時点のベストプラクティス IAMを利用して最小権限を実現する

    ⚫ IAMユーザーの最小化(IAMロール&フェデレーションの推奨) ⚫ IAMポリシーの最小権限設計(リソースベースポリシー活用) ⚫ MFAの強制適用 ⚫ Rootアカウントの厳格管理 ⚫ IPアドレス制限≒使用場所制限は、結局必要になるケースが多い
  14. 14 Copyright(C) NRI Netcom, Ltd. All rights reserved. 当時の課題 複雑さとマルチアカウントへの対応

    • 最小権限のジレンマ • ユーザー管理の煩雑さ(IDフェデレーションの普及不足) • マルチアカウントへの対応困難
  15. 15 Copyright(C) NRI Netcom, Ltd. All rights reserved. 最小権限のジレンマ ベストプラクティスだけど。。。

    ⚫ 構築するシステムの設計がFix(固定)されている必要がある ⚫ プログラムからの利用に向いているが、AWSコンソールからの利用に不向き ⚫ 新規サービスに追随できるのが遅い ⚫ 設計・運用の負荷・工数が大きい ⚫ そもそもAdmin権限を持っている人しか最小権限を追求できない 現実的な運用 ⚫ 固定の役割(インスタンス・プログラム)にホワイトリストで最小権限を付与 ⚫ 人間系の利用は、禁止したい事項をブラックリスト方式で権限剥奪 ⚫ セキュリティ事項を起こさないとう観点で、最小権限を探索する
  16. 16 Copyright(C) NRI Netcom, Ltd. All rights reserved. ユーザー管理の煩雑さ&マルチアカウントへの対応困難 複数アカウントを利用するのに、IAMユーザーは向いていない

    ⚫ 1つの組織で利用するAWSアカウントの数は増加の一途 ⚫ IAMユーザーは、基本的に1つのアカウントと対になる存在 ⚫ スイッチロールなどの戦略もあるも、ロール管理の複雑さなどの問題がある ⚫ IdP + SSOを基軸とした認証認可管理が必須になる アカウントA ユーザーA アカウントB アカウントC ユーザーA ユーザーA IdP+SSOが無いと、アカウントごとにIAMユーザが必要になる
  17. 18 Copyright(C) NRI Netcom, Ltd. All rights reserved. 2019年以降のIAMと関連機能の主なアップデートと状況の変化 ◼

    アップデート ⚫ IAM Access Analyzerによる問題のある設定の自動検出 ⚫ IAMポリシーの新機能(条件付きアクセスの拡張、Attribute-Based Access Control (ABAC)の一般化) ⚫ リソースコントロールポリシー (RCP) 等の新しいタイプの認可ポリシーの登場 ⚫ IAM Roles Anywhereにより、AWS外部のシステムにもIAMロールを付与 ⚫ AWS Verified Accessによるユーザーとデバイスの認証に基づくポリシー適用 ◼ 状況の変化 ⚫ IAM Identity Center(旧SSO)とAWS Organizationsとの統合強化、外部IdPとの連携の強 化(Okta、Entra IDなど) ⚫ ガードレールの概念と、その機能を実装するサービスの機能の充実
  18. 19 Copyright(C) NRI Netcom, Ltd. All rights reserved. IAM Access

    Analyzer IAM Access Analyzerの主な機能 ポリシーの分析と生成 • 外部アクセスアナライザー: AWSリソースが外部からアクセス可能かチェック • 未使用アクセスアナライザー: 一定期間使用していないIAMユーザ/ロールを検出 • ポリシー検証:静的解析によるポリシーの検証機能 • カスタムポリシーチェック:CheckNoPublicAccessなど特定の用途に応じた検査 • ポリシー生成:CloudTrailのログを元に、利用したリソースからポリシーを自動生成 IAM Role IAM ユーザ AWS CloudTrail ポリシーの生成 IAM Policy CloudTrailの ログを分析 ポリシーを生成 ポリシーの分析 AWS Lambda IAM Role AWS KMS Amazon SQS Amazon S3 外部リソースからのアク セスを分析 現時点では機能が限定的なもののAIとの組み合わせに将来性を感じる IAM Access Analyzer
  19. 20 Copyright(C) NRI Netcom, Ltd. All rights reserved. 属性ベースのアクセス制御①( Attribute-Based

    Access Control :ABAC) 役割ベースのアクセス制御(従来からの機能) (Role Based Access Control : RBAC ) 属性ベースのアクセス制御(2019年以降の機能) (Attribute-Based Access Control :ABAC ) プロジェクトA用 Permissions プロジェクトA担当者 (役割) プロジェクトA リソース プロジェクトB用 Permissions プロジェクトB担当者 (役割) プロジェクトB リソース プロジェクトC用 Permissions プロジェクトC担当者 (役割) プロジェクトC リソース プロジェクトA 担当者 プロジェクトB 担当者 プロジェクトC 担当者 プロジェクトA リソース プロジェクトB リソース プロジェクトC リソース ABAC用 Permissions プリンシパル タグ リソース タグ 利用者 or リソースが増えると ポリシーが増え管理が大変 タグ管理が必要なものの、 ポリシーをシンプルに保てる
  20. 21 Copyright(C) NRI Netcom, Ltd. All rights reserved. 属性ベースのアクセス制御②( Attribute-Based

    Access Control :ABAC) プリンシパルタグとリソースタグにより、利用できるリソースを定義可能 • リソースタグ (aws:ResourceTag) との一致を条件にアクセス制御を実装 • IAMポリシーをシンプルに保つことが可能 • プロジェクトや部署単位など、従来のRBACベースだと困難だったことを解決 • 動的なアクセス管理が可能で、管理負担を大幅に軽減できる可能性がある 一方で • ABACポリシーの設計負荷は高い • リソース側のタグの運用の経験値が必要 • そもそもプロジェクトをアカウント単位で分割する方がメリットが大きい それでも動的にアクセス制御を実装できることに、大きな可能性がある
  21. 22 Copyright(C) NRI Netcom, Ltd. All rights reserved. リソースコントロールポリシー (RCP)

    の登場 Organizationの機能として、SCPと対をなすRCPの登場 • サービスコントロールポリシー(SCP)は、アカウント内のIAMユーザーやIAMロールに対してアクショ ンを制限する • リソースコントロールポリシー(RCP)は、リソースごとのアクセス制御を組織全体で適用するポリ シー RCP SCP AWS Organizations Organizations外からの S3アクセスを禁止する RCP アタッチ S3バケット OK 組織外 NG AWS Organizations Configの変更権限を 制限するSCP アタッチ Account Account Account AWS Config IAMロール IAMポリシーに作用 リソースに作用 Configの 変更禁止
  22. 23 Copyright(C) NRI Netcom, Ltd. All rights reserved. AWS Verified

    Access AWS Verified Accessは、VPNのただの代替サービスにあらず • Verified Accessの本質は、リクエストを評価してリソースへ動的なアクセス許可を与える仕組み • 信頼プロバイダ(Trust Data Providers)であるIdPを利用し、認証済みユーザーに対してポリ シーベースのアクセス制御を提供する AWS Verified Access AWS IAM Identity Center (Trust Data Providers) ロードバランサ Virtual private cloud (VPC) 内部のリソース 将来的に、AWSの認証認可の中核に組み込まれる可能性を感じる
  23. 25 Copyright(C) NRI Netcom, Ltd. All rights reserved. IAMユーザーの運用方針 •

    2019年:「IAMユーザーは最小限、ロールを中心に」 • 2025年:「IAM Identity Centerを活用し、IAMユーザーをゼロに」 AWSも公式に、IAMユーザーの利用は非推奨と宣言
  24. 26 Copyright(C) NRI Netcom, Ltd. All rights reserved. IAMポリシーの設計の変化 •

    2019年:「IAMポリシーの明示的定義」 • 2025年:「IAMポリシーの制御に加え、動的制御(ABAC )+組織制御( SCP/RCP)で 最適化」
  25. 27 Copyright(C) NRI Netcom, Ltd. All rights reserved. 監査の強化 •

    2019年:「定期監査で確認」 • 2025年:「IAM Access Analyzerのリアルタイム監査 + AI提案」
  26. 28 Copyright(C) NRI Netcom, Ltd. All rights reserved. ゼロトラストへの対応 •

    AWS Verified Accessと組み合わせた動的な認証制御 • デバイスベース(端末)の制御も可能 • AIと組み合わせることにより、より高度な認証制御になる可能性がある
  27. 29 Copyright(C) NRI Netcom, Ltd. All rights reserved. IAM Identity

    Center + IdP+IAMロールをどう管理するか? 認証認可をコントロールする3つのサービスの管理主体がバラバラのケース が多い • IdPの管理主体:情報システム部(全社のID管理) • IAM Identity Centerで管理する権限セット:CCoEなど横断組織 • 各アカウントで事業主体が管理するIAMロール:事業部 IAM Identity Center IdP 各AWSアカウント Okta,Entra ID, Etc 権限セット アカウント内 生成の IAMロール IAMポリシー 権限セットから生 成される IAMロール 組織の実態・目指す姿を元に、どう管理するのかを検討する 管理主体の問題 CCoE 情シス 各事業部の管理者
  28. 31 Copyright(C) NRI Netcom, Ltd. All rights reserved. まとめ ◼IAMの変化

    ⚫2019年:「最小権限を手作業で設計する」 ⚫2025年:「アカウント単体ではなく、組織全体で認証認可を制御する」 ◼今後のIAMトレンド予想 ⚫ゼロトラストIAMへの移行(AWS Verified Accessとの統合) ⚫AIによるポリシー推奨・自動生成 ⚫動的なIAM管理が標準化、アクセス管理の自動化へ
  29. 32 Copyright(C) NRI Netcom, Ltd. All rights reserved. 今後の開催イベント(勉強会) 本日18:30~

    開催! NRIネットコム×ソフトバンク×アジアクエスト共催勉強会 安心してAWSを活用するための ネットワーク・セキュリティ設計と運用について 1 2 3 3/27 18:00~ 開催 NRIネットコム TECH AND DESIGN STUDY #60 現場で役立つ!AWS実践活用のススメ ~最新技術から運用ノウハウまで~ 4/9 12:00~ 開催 NRIネットコム TECH AND DESIGN STUDY #61 AWSマンスリーアップデートピックアップ!!2025年3月分 お申し込みは connpassより受付中!>>>
  30. 33 Copyright(C) NRI Netcom, Ltd. All rights reserved. 企業版 IAMのマニアックな話

    2025」企業が活用するためのIAMを取り巻く現状を徹底解説! 企業が活用するためのAWSのIAMを取り巻く現状を、NRIネットコムで、 クラウドテクニカルセンターのセンター長を務め、AWS Top Engineers AWS Ambassadors としても活動している、佐々木 拓郎が徹底解説しま す。 【こんな方におススメです】 AWSを企業で使う全ての方が対象で、もう一段しっかりと理解してAWS を使いたいという人向け 【NRIネットコムウェビナー】「企業版AWS IAMのマニアックな話 2025」企業が活用するた めのIAMを取り巻く現状を徹底解説! https://nri-net.zoom.us/webinar/register/WN_GVdfqjWkQ8ePn8zm5JVsAw 4月17日(木) 12:00~13:00
  31. 34 Copyright(C) NRI Netcom, Ltd. All rights reserved. AWS Organizationsが使えるAWSの請求代行&アカウント監理サービス

    NRIネットコムのAWS請求代行&AWSアカウント管理サービスは、 割引価格でAWSをご利用いただける お得なサービスです。 AWS Organizationsが利用可能!! NRIネットコムのAWS請求代行&AWSアカウント管理サービスは、単純な請求代行だけでなく、AWS利用のコストダウンのため のコンサルティングや、セキュリティ向上に役立つテンプレートをご提供するなど、かゆい所に手が届くサービスです。 豊富なナレッジを持つメンバーがお客様の状況を丁寧に伺い、適切な管理方法をご提案しています。もちろん、すでにAWSの アカウントをお持ちのお客様もご利用いただけます。 NRIネットコム AWS請求代行&AWSアカウント管理サービス https://cloud.nri-net.com/solution/awsbilling/