IAMのマニアックな話 2025を執筆して、​ 見えてきたAWSアカウント管理の現在

Transcript

1. IAMのマニアックな話 2025を執筆して、 見えてきたAWSアカウント管理の現在 NRIネットコム TECH AND DESIGN STUDY #68～ 2025年6月17日

   NRIネットコム株式会社 執行役員 デジタルソリューション事業本部長 クラウドテクニカルセンター センター長 佐々木拓郎

2. 1 Copyright（C） NRI Netcom, Ltd. All rights reserved. 自己紹介 ◼

   2000年 4月 NRIネットコム株式会社入社 ◼ 現在 執行役員 デジタルソリューション事業本部長 クラウドテクニカルセンター センター長 佐々木拓郎 ◼ 執筆

3. 2 Copyright（C） NRI Netcom, Ltd. All rights reserved. NRIネットコムのAWSへの取り組み APNアドバンスド

   コンサルティングパートナー 複数のAWS Award受賞者と 多数のAWS認定者資格 書籍&ブログ執筆

4. 3 Copyright（C） NRI Netcom, Ltd. All rights reserved. IAMのマニアックな話2025の紹介 2冊のIAM本

   IAMの設計を言語化するために書いた本 （2019年執筆） 組織の中でIAMをどう使うかを書いた本 （2025年執筆）

5. 4 Copyright（C） NRI Netcom, Ltd. All rights reserved. 旧来のIAM設計と運用の課題 01

   IAMを取り巻く進化 02 IAM Identity Center移行の現実 03 まとめとご案内 04

6. 5 Copyright（C） NRI Netcom, Ltd. All rights reserved. 1. 旧来のIAM設計と運用の課題

7. 6 Copyright（C） NRI Netcom, Ltd. All rights reserved. 2019年時点のベストプラクティス IAMを利用して最小権限を実現する

   ⚫ IAMユーザーの最小化（IAMロール＆フェデレーションの推奨） ⚫ IAMポリシーの最小権限設計（リソースベースポリシー活用） ⚫ MFAの強制適用 ⚫ Rootアカウントの厳格管理 ⚫ IPアドレス制限≒使用場所制限は、結局必要になるケースが多い

8. 7 Copyright（C） NRI Netcom, Ltd. All rights reserved. IAMのマニアックな話 （2019）

   の世界 IAMユーザー中心の設計パターンとその限界 アカウントA アカウントB アカウントA ユーザーA シングルアカウント運用 マルチアカウント運用 ユーザーB ユーザーC ユーザーA ユーザーB ユーザーC ユーザーA ユーザーB ユーザーC 長期認証情報が持っていた潜在的課題 ⚫ 認証情報 ⚫ 認証と認可の密結合 ⚫ 大きすぎる権限 マルチアカウント化によって顕在化した課題 ⚫ IAMユーザー数の増大 ⚫ IAMユーザーの管理・運用負荷 IAMユーザー 認証 認可

9. 8 Copyright（C） NRI Netcom, Ltd. All rights reserved. IAMユーザー管理最小化のための精一杯の対応（Switch Roleの活用）

   STS（Security Token Service）を使った一時的な認証情報の発行 ◆ ユーザもしくはロールから、別のアカウントのIAMロールに切り替える ◆ マルチアカウント環境の場合は、認証のみのアカウントを作成し、他アカウントへ切り替えて利用 する運用を取ることがある。IAMユーザー管理の最小化 IAM Role アカウントA IAM User アカウントB S3 バケット スイッチロールし、 一時的な認可を得る 利用

10. 9 Copyright（C） NRI Netcom, Ltd. All rights reserved. Jampアカウントを使って、IAMユーザーの最小化 踏み台（Jump）アカウントを使った利用例

    開発環境 ステージング環境 本番環境 Jumpアカウント ユーザー IAMロール IAMロール IAMロール

11. 10 Copyright（C） NRI Netcom, Ltd. All rights reserved. 当時の課題 複雑さとマルチアカウントへの対応

    • 最小権限のジレンマ • ユーザー管理の煩雑さ（IDフェデレーションの普及不足） • マルチアカウントへの対応困難

12. 11 Copyright（C） NRI Netcom, Ltd. All rights reserved. 最小権限のジレンマ ベストプラクティスだけど。。。

    ⚫ 構築するシステムの設計がFix（固定）されている必要がある ⚫ プログラムからの利用に向いているが、AWSコンソールからの利用に不向き ⚫ 新規サービスに追随できるのが遅い ⚫ 設計・運用の負荷・工数が大きい ⚫ そもそもAdmin権限を持っている人しか最小権限を追求できない 現実的な運用 ⚫ 固定の役割（インスタンス・プログラム）にホワイトリストで最小権限を付与 ⚫ 人間系の利用は、禁止したい事項をブラックリスト方式で権限剥奪 ⚫ セキュリティ事項を起こさないという観点で、最小権限を探索する

13. 12 Copyright（C） NRI Netcom, Ltd. All rights reserved. 2. IAMを取り巻く進化

14. 13 Copyright（C） NRI Netcom, Ltd. All rights reserved. 2019年以降のIAMと関連機能の主なアップデートと状況の変化 発表月

    機能 2019年9月 IAMの属性ベースのアクセス制御（ABAC）リリース 2019年10月 AWSグローバル条件コンテキストキーの追加 2019年11月 IAM Access Analyzer リリース 2019年11月 Organizationsでのタグポリシーサポート 2019年11月 IAM Identity Centerで外部IdPのサポート 2020年1月 Policy Simulator でアクセス許可の境界のサポート 2020年6月 IAM Access Analyzer ポリシーチェック機能追加 2020年11月 IAM Identity Centerが 属性ベースのアクセス制御（ABAC）をサポート 2021年4月 IAM Access Analyzer の S3 バケット対応強化 2021年4月 IAM Access Analyzerで実行履歴ベースの最小権限ポリシー提案サポート 2021年10月 セキュリティのベストプラクティスの更新 2022年7月 IAM Roles Anywhere でAWS外部のワークロードをサポート 2023年11月 IAM Access Analyzer 自動推論によるカスタマーポリシーのチェック機能 2024年11月 AWS Organizationsでリソースコントロールポリシー（RCP）のサポート

15. 14 Copyright（C） NRI Netcom, Ltd. All rights reserved. IAM Access

    Analyzer IAM Access Analyzerの主な機能 ポリシーの分析と生成 • 外部アクセスアナライザー： AWSリソースが外部からアクセス可能かチェック • 未使用アクセスアナライザー： 一定期間使用していないIAMユーザ/ロールを検出 • ポリシー検証：静的解析によるポリシーの検証機能 • カスタムポリシーチェック：CheckNoPublicAccessなど特定の用途に応じた検査 • ポリシー生成：CloudTrailのログを元に、利用したリソースからポリシーを自動生成 IAM Role IAM ユーザ AWS CloudTrail ポリシーの生成 IAM Policy CloudTrailの ログを分析 ポリシーを生成 ポリシーの分析 AWS Lambda IAM Role AWS KMS Amazon SQS Amazon S3 外部リソースからのアク セスを分析 現時点では機能が限定的なもののAIとの組み合わせに将来性を感じる IAM Access Analyzer

16. 15 Copyright（C） NRI Netcom, Ltd. All rights reserved. 属性ベースのアクセス制御①（ Attribute-Based

    Access Control ：ABAC） 役割ベースのアクセス制御（従来からの機能） （Role Based Access Control : RBAC ） 属性ベースのアクセス制御（2019年以降の機能） （Attribute-Based Access Control ：ABAC ） プロジェクトA用 Permissions プロジェクトA担当者 （役割） プロジェクトA リソース プロジェクトB用 Permissions プロジェクトB担当者 （役割） プロジェクトB リソース プロジェクトC用 Permissions プロジェクトC担当者 （役割） プロジェクトC リソース プロジェクトA 担当者 プロジェクトB 担当者 プロジェクトC 担当者 プロジェクトA リソース プロジェクトB リソース プロジェクトC リソース ABAC用 Permissions プリンシパル タグ リソース タグ 利用者 or リソースが増えると ポリシーが増え管理が大変 タグ管理が必要なものの、 ポリシーをシンプルに保てる

17. 16 Copyright（C） NRI Netcom, Ltd. All rights reserved. 属性ベースのアクセス制御②（ Attribute-Based

    Access Control ：ABAC） プリンシパルタグとリソースタグにより、利用できるリソースを定義可能 • リソースタグ (aws:ResourceTag) との一致を条件にアクセス制御を実装 • IAMポリシーをシンプルに保つことが可能 • プロジェクトや部署単位など、従来のRBACベースだと困難だったことを解決 • 動的なアクセス管理が可能で、管理負担を大幅に軽減できる可能性がある 一方で • ABACポリシーの設計負荷は高い • リソース側のタグの運用の経験値が必要 • そもそもプロジェクトをアカウント単位で分割する方がメリットが大きい それでも動的にアクセス制御を実装できることに、大きな可能性がある

18. 17 Copyright（C） NRI Netcom, Ltd. All rights reserved. リソースコントロールポリシー (RCP)

    の登場 Organizationの機能として、SCPと対をなすRCPの登場 • サービスコントロールポリシー（SCP）は、アカウント内のIAMユーザーやIAMロールに対してアクショ ンを制限する • リソースコントロールポリシー（RCP）は、リソースごとのアクセス制御を組織全体で適用するポリ シー RCP SCP AWS Organizations Organizations外からの S3アクセスを禁止する RCP アタッチ S3バケット OK 組織外 NG AWS Organizations Configの変更権限を 制限するSCP アタッチ Account Account Account AWS Config IAMロール IAMポリシーに作用 リソースに作用 Configの 変更禁止

19. 18 Copyright（C） NRI Netcom, Ltd. All rights reserved. IAMのベストプラクティスの比較 2019年

    2025年 1 AWS アカウントのルートユーザーのアクセスキーをロックする 人間のユーザーが一時的な認証情報を使用して AWS にアクセスする場合に ID プロバイダーとのフェデレーションを 使用することを必須とする 2 個々のIAM ユーザーの作成 ワークロードが AWS にアクセスする場合に IAM ロールで一時的な資格情報を使用することを必須とする 3 IAM ユーザーへのアクセス許可を割り当てるためにグループを使用する 多要素認証 (MFA) を必須とする 4 最小権限を付与する 長期的な認証情報を必要とするユースケースのためにアクセスキーを必要な時に更新する 5 AWS 管理ポリシーを使用したアクセス許可の使用開始 ルートユーザーの認証情報を保護するためのベストプラクティスに沿う 6 インラインポリシーではなくカスタマー管理ポリシーを使用する 最小特権アクセス許可を適用する 7 アクセスレベルを使用して、IAM 権限を確認する AWS 管理ポリシーの使用を開始し、最小特権のアクセス許可に移行する 8 ユーザーの強力なパスワードポリシーを設定 IAM Access Analyzer を使用して、アクセスアクティビティに基づいて最小特権ポリシーを生成する 9 特権ユーザーに対してMFA を有効化する 未使用のユーザー、ロール、アクセス許可、ポリシー、および認証情報を定期的に確認して削除する 10 Amazon EC2 インスタンスで実行するアプリケーションに対し、ロールを使用する IAM ポリシーで条件を指定して、アクセスをさらに制限する 11 ロールを使用したアクセス許可の委任 IAM Access Analyzer を使用して、リソースへのパブリックアクセスおよびクロスアカウントアクセスを確認する 12 アクセスキーを共有しない IAM Access Analyzer を使用して IAM ポリシーを検証し、安全で機能的なアクセス許可を確保する 13 認証情報を定期的にローテーションする 複数のアカウントにまたがるアクセス許可のガードレールを確立する 14 不要な認証情報を削除する アクセス許可の境界を使用して、アカウント内のアクセス許可の管理を委任する 15 追加セキュリティに対するポリシー条件を使用する 16 AWS アカウントのアクティビティの監視 17 IAM ベストプラクティスについてビデオで説明する 廃止 新規に追加

20. 19 Copyright（C） NRI Netcom, Ltd. All rights reserved. IAMのベストプラクティスの比較 削除された（あるいは記載から消された）プラクティス

    • 個々のIAMユーザーの作成 • IAMユーザーへのアクセス許可を割り当てるためにグループを使用する • AWS管理ポリシーを使用したアクセス許可の使用開始 • インラインポリシーではなくカスタマー管理ポリシーを使用する • ユーザーの協力なパスワードポリシーを設定 • IAMベストプラクティスについてビデオで説明する 追加されたプラクティス • 人間のユーザーが一時的な認証情報を使用して AWS にアクセスする場合に ID プロバイダーとのフェデレーショ ンを使用することを必須とする • 多要素認証 (MFA) を必須とする • IAM Access Analyzer を使用して、アクセスアクティビティに基づいて最小特権ポリシーを生成する • IAM Access Analyzer を使用して、リソースへのパブリックアクセスおよびクロスアカウントアクセスを確認する • IAM Access Analyzer を使用して IAM ポリシーを検証し、安全で機能的なアクセス許可を確保する • 複数のアカウントにまたがるアクセス許可のガードレールを確立する • アクセス許可の境界を使用して、アカウント内のアクセス許可の管理を委任する

21. 20 Copyright（C） NRI Netcom, Ltd. All rights reserved. 2025年の課題 IAMまわりの評価ロジックが

    複雑化

22. 21 Copyright（C） NRI Netcom, Ltd. All rights reserved. IAMまわりが難しくなりすぎている問題 （

    ） ポリシーの評価ロジック

23. 22 Copyright（C） NRI Netcom, Ltd. All rights reserved. どうすれば、良いのか？ IAM

    Identity Centerを使いながら、 できるだけシンプルな設計を目指す

24. 23 Copyright（C） NRI Netcom, Ltd. All rights reserved. 3. IAM

    Identity Center移行と現実

25. 24 Copyright（C） NRI Netcom, Ltd. All rights reserved. IAMユーザーの運用方針 •

    2019年：「IAMユーザーは最小限、ロールを中心に」 • 2025年：「IAM Identity Centerを活用し、IAMユーザーをゼロに」 AWSも公式に、IAMユーザーの利用は非推奨と宣言

26. 25 Copyright（C） NRI Netcom, Ltd. All rights reserved. IAMユーザーの運用方針 IAM

    Identity Center IAM ユーザー管理 中央集約（外部IdP or 内部ディレクトリ） アカウントごとにIAMユーザーを個別作成 認証方式 SSO（SAML/OIDC） AWS認証情報（ID/パスワード or アクセスキー） 認可の定義 許可セット + IAMロール IAMポリシー（ユーザー、ロール、グループに付与） マルチアカウント対応 可能 基本は不可（クロスアカウントロール等で一定の対 応が可能） 推奨度 （2025年現在） 現在の推奨アプローチ 非推奨 IAM Identity Centerを使いながら、できるだけシンプルな設計を目指す

27. 26 Copyright（C） NRI Netcom, Ltd. All rights reserved. IAM Identity

    Centerの概要 ユーザー IdP 内部IdP：IAM Identity Center 外部IdP：Okta,Entra ID, Etc IAMロール AWS IAM Identity Center 認証依頼 アカウント 一時的な認証情報 SAML token フェデレートされたユーザー 各種AWSリソース 操作 概念図

28. 27 Copyright（C） NRI Netcom, Ltd. All rights reserved. IAM Identity

    Centerの主な用語 AWS IAM Identity Center インスタンス ワークフォースユーザー 許可セット アクセスターゲット AWSアカウント 一部のAWSのアプリケーション WorkSpaces QuickSight Grafana カスタムアプリケーション （SAML/OIDC対応） 利用者

29. 28 Copyright（C） NRI Netcom, Ltd. All rights reserved. IAM Identity

    Center設計時の検討事項 主な設計のポイント • インスタンス/アイデンティティソースをどうするか？（≒IdPをどうするか） • 許可セットの設計 • SCIM連携 設計のポイントが、そのまま悩みのポイントになる

30. 29 Copyright（C） NRI Netcom, Ltd. All rights reserved. インスタンス/アイデンティティソースをどうするか？ インスタンスとアイディンティティソース

    ◼ インスタンス ⚫ 組織インスタンス ⚫ アカウントインスタンス ◼ アイディンティティソース ⚫ 内部ディレクトリ • IAM Identity Centerディレクトリ ⚫ 外部IdP • Microsoft Entra ID • Entra ID • etc 内部 ： 外部 ： 許可セット （ ） 利用者 ンバーアカウント ロール ンバーアカウント ロール のユーザーデータで認証 認証 認証 に、 のアカウントに の権限で 利用するのかを 定のロールに スイッ 可セットを に ロールは に作 れる ここの部分 必ず組織インスタンスを選ぶ アイディンティティソースは、外部IdPがある場合は、それを使う

31. 30 Copyright（C） NRI Netcom, Ltd. All rights reserved. 許可セットの設計 Identity

    Centerの許可セットの役割 内部 ： 外部 ： 許可セット （ ） 利用者 ンバーアカウント ロール ンバーアカウント ロール のユーザーデータで認証 認証 認証 に、 のアカウントに の権限で 利用するのかを 定のロールに スイッ 可セットを に ロールは に作 れる ここの部分 どのユーザーもしくは どのグループが どの許可セットで どのアカウントもしくは どのOUにアクセスするのか

32. 31 Copyright（C） NRI Netcom, Ltd. All rights reserved. Identity Centerの設計課題

    ◼ 許可セット ⚫ 既存のIAMロールをどうするか？ ⚫ 許可セット数の上限（2,000）※引き上げ可能 ⚫ 上限まで作ったとして管理できるか問題 ⚫ 事前定義済みの許可セットの権限の粒度が粗い（IAMと同じ） ◼ IdP ⚫ IdPが１組織に１つしか設定できない（アカウントインスタンスを除く） ◼ SCIM連携とグループ管理 ⚫ 外部IdPと連携する場合は、SCIM連携でユーザーやグループ情報を同期可能 ⚫ 可セットとグループの割当に頭を悩ますことに

33. 32 Copyright（C） NRI Netcom, Ltd. All rights reserved. IAM Identity

    Center + IdP+IAMロールをどう管理するか？ 認証認可をコントロールする３つのサービスの管理主体がバラバラのケース が多い • IdPの管理主体：情報システム部（全社のID管理） • IAM Identity Centerで管理する権限セット：CCoEな 横断組織 • 各アカウントで 業主体が管理するIAMロール： 業部 IAM Identity Center IdP 各AWSアカウント Okta,Entra ID, Etc 権限セット アカウント内 生成の IAMロール IAMポリシー 権限セットから生 成される IAMロール 組織の実態・目指す姿を に、 う管理するのかを検討する 管理主体の問題 CCoE 情シス 各事業部の管理者

34. 33 Copyright（C） NRI Netcom, Ltd. All rights reserved. ３者での責任範囲の分解例 IAM

    Identity Center IdP 各AWSアカウント Okta,Entra ID, Etc 権限セット AWS IdPでログインした ユーザがスイッチす るロール CCoE 情シス 各事業部の管理者 Role Role 各事業部でアカウント内の 利用できるリソースを定義 権限セットを元に 利用するロールを管理 ユーザーの 認証情報のみ管理

35. 34 Copyright（C） NRI Netcom, Ltd. All rights reserved. 4. まとめとご案内

36. 35 Copyright（C） NRI Netcom, Ltd. All rights reserved. まとめ ◼IAMの変化

    ⚫2019年：「最小権限を手作業で設計する」 ⚫2025年：「アカウント単体ではなく、組織全体で認証認可を制御する」 ◼2025年度、実施すること ⚫IAM Identity Centerの導入 ⚫IAMユーザーの最小化 ⚫権限セットを何とかする

37. 36 Copyright（C） NRI Netcom, Ltd. All rights reserved. 今後の開催イベント（勉強会） 6/23

    19:00～ 開催！ NRIネットコム TECH AND DESIGN STUDY #69 安心してAWSを活用するための ネットワーク・セキュリティ設計と運用について 1 2 7/9 12:00～ 開催 NRIネットコム TECH AND DESIGN STUDY #70 AWSマンスリーアップデートピックアップ！！2025年6月分 お申し込みは connpassより受付中！>>>

38. 37 Copyright（C） NRI Netcom, Ltd. All rights reserved. AWS請求代行サービスを導入した企業事例のウェビナー 【ウェビナ

    お知らせ】6/17(火)開催 「既存 テム 改修 し！AWS契約 移行でコ ト削減と運用 適 化を実現」 AWS Organizations 利用制限・既存 テム 改修 く、 AWS請求代行サ ビ を導入した事例を徹底解説！ 【背景と課題】 多くの企業がAWSを活用する中で、次のような課題に直面しています。 ・AWSアカウントの増加による、セキュリティやガバナンスの管理負担 ・AWS利用の拡大に伴う、コストの増加 これらの課題は、クラウドインフラの効率化やコスト削減が経営課題となっている今、 見過ごせない問題です。 【NRIネットコムウェビナー】「企業版AWS IAMのマニアックな話 2025」企業が活用するた めのIAMを取り巻く現状を徹底解説！ https://nri-net.zoom.us/webinar/register/WN_fzBD_41ERii_LsG2RBh3Fw 6月17日（木） 16:00～17:00

39. 38 Copyright（C） NRI Netcom, Ltd. All rights reserved. AWSアカウント管理のベストプラクティスのウェビナー 【ウェビナ

    お知らせ】6/19(木)開催 「AWSアカウ ト管理 トプラ ティ 組織 AWS Organizations 管理からユ ザ IAM 管理まで」 【こん 方 お メです】 ・企業でAWSアカウントの管理を任されている方 ・AWSのセキュリティやガバナンスの対策を検討中の方 ・AWSの利用料が増えて困っている方 ・AWS利用の効率化、コスト削減について情報収集をしたい方 【NRIネットコムウェビナー】「AWSアカウント管理のベストプラクティス 組織（AWS Organizations）管理からユーザー（IAM）管理まで」 https://nri-net.zoom.us/webinar/register/WN_ksud8RJQTuKOXkeGRQIJzQ#/ 6月19日（木） 12:00～13:00

40. 39 Copyright（C） NRI Netcom, Ltd. All rights reserved. クラウドマイグレーションのウェビナー 【ウェビナ

    お知らせ】6/20(金)開催 止められ い大規模 テムを止めず ラウド移行する方法とは？ ～段階移行で を 小化～ 【こん 方 お メです】 • 基幹系を含む大規模システムをオンプレで運用している企業のIT部門責任者の方 • 「業務を止めずに」クラウド化を検討している方 • マイグレーション時のリスク（データ不整合や移行後の動作不良）を回避したい方 • 段階的な移行モデルを自社に適用するためのヒントを探している方 • クラウド方針の判断を担う部長・本部長・CIO層の方々 【NRIネットコムウェビナー】「止められない大規模システムを止めずにクラウド移行する方法 とは？～段階移行でリスクを最小化～」 https://nri-net.zoom.us/webinar/register/WN_y4lO5besQ-uT9nwfxl8uXQ 6月20日（金） 16:00～17:00
41. None