type
status
date
slug
summary
tags
category
icon
password
理論
1. IAMロールの信頼関係
- IAMロールは、特定のアクセス権限を持つ仮想的な役割です。
- 他のAWSアカウントのユーザーやサービスがこのロールを引き受けることで、リソースにアクセスできます。
- 信頼ポリシーで、どのアカウントやロールがそのロールを引き受けられるかを設定します。
2. クロスアカウントアクセス
- 顧客アカウント(org2)で、協力会社アカウント(org1)がアクセスできるようにIAMロールを作成します。
- このロールの信頼ポリシーに、org1のロールを指定し、アクセスを許可します。
- org1は、自分のIAMロールを使って顧客アカウントのリソースにアクセスします。
3. 最小特権アクセスと外部ID
- 最小特権:アクセス権限は必要最低限に留めるべきです。
- 外部ID:セキュリティを強化するために、アクセス時に外部IDを使って確認します。
まとめ:
AWSで安全にリソースにアクセスするためには、IAMロールを使って信頼ポリシーを設定し、クロスアカウントアクセスを実現します。
実践
略
一問道場
質問 #126
トピック 1
AWS パートナー企業が AWS Organizations を使用して org1 という組織を作成し、サービスを構築しています。このサービスでは、パートナー企業が別の組織である org2 の顧客アカウント内の AWS リソースにアクセスする必要があります。パートナー企業は、API またはコマンドラインツールを使用して顧客アカウントへの最小特権のセキュリティアクセスを確立する必要があります。
org1 が org2 のリソースにアクセスするために最も安全な方法はどれですか?
A. 顧客はパートナー企業に AWS アカウントのアクセスキーを提供し、ログインして必要な作業を実行させる。
B. 顧客は IAM ユーザーを作成し、必要な権限をその IAM ユーザーに割り当てます。その後、顧客はパートナー企業に認証情報を提供し、ログインして必要な作業を実行させる。
C. 顧客は IAM ロールを作成し、必要な権限をその IAM ロールに割り当てます。その後、パートナー企業は IAM ロールの Amazon リソース名 (ARN) を使用して、必要な作業を実行するためにアクセスをリクエストします。
D. 顧客は IAM ロールを作成し、必要な権限をその IAM ロールに割り当てます。その後、パートナー企業は IAM ロールの Amazon リソース名 (ARN) を使用し、IAM ロールの信頼ポリシーに外部 ID を含めて、必要な作業を実行するためにアクセスをリクエストします。
解説
この問題では、AWS Organizations を使用して異なる組織間で最小特権のセキュリティアクセスを確立する方法について尋ねられています。セキュリティの観点から、パートナー企業(org1)が顧客アカウント(org2)のリソースにアクセスする際に最も安全な方法は、適切な IAM ロールの設定を利用することです。選択肢を見ていきましょう。
A. 顧客はパートナー企業に AWS アカウントのアクセスキーを提供し、ログインして必要な作業を実行させる。
これは最も危険な方法です。AWS アカウントのアクセスキーを他者に提供することは、セキュリティ上のリスクを伴います。アクセスキーを共有することで、その情報が漏洩する可能性が高まり、最小特権の原則にも反します。したがって、これを選ぶことは推奨されません。
B. 顧客は IAM ユーザーを作成し、必要な権限をその IAM ユーザーに割り当てます。その後、顧客はパートナー企業に認証情報を提供し、ログインして必要な作業を実行させる。
IAM ユーザーを作成し、認証情報をパートナー企業に提供する方法も、アクセスキーを共有することと似たリスクがあります。特に認証情報が漏洩する可能性が高く、アクセスを許可する範囲も広がってしまうため、最小特権のアプローチとしては不適切です。
C. 顧客は IAM ロールを作成し、必要な権限をその IAM ロールに割り当てます。その後、パートナー企業は IAM ロールの Amazon リソース名 (ARN) を使用して、必要な作業を実行するためにアクセスをリクエストします。
IAM ロールを使用してアクセスを提供する方法は、AWS の推奨されるセキュアな方法です。IAM ロールを使用することで、パートナー企業は特定のリソースに対してアクセス権を付与され、必要な作業だけを実行できます。ただし、この方法では信頼ポリシーに外部 ID を追加しないため、さらなるセキュリティ対策が欠けている可能性があります。
D. 顧客は IAM ロールを作成し、必要な権限をその IAM ロールに割り当てます。その後、パートナー企業は IAM ロールの Amazon リソース名 (ARN) を使用し、IAM ロールの信頼ポリシーに外部 ID を含めて、必要な作業を実行するためにアクセスをリクエストします。
これが最も安全な方法です。外部 ID を使用することで、アクセス権を持つパートナー企業が実際にアクセスをリクエストする際に、認証を強化できます。この方法は、最小特権アクセスを確保しつつ、アクセスの正当性を高めるための追加的なセキュリティ対策を提供します。外部 ID は、リクエスト元が確かに正当な企業であることを確認するための強力な手段となります。
結論:
最も安全で推奨される方法は D です。IAM ロールを使用し、外部 ID を信頼ポリシーに追加することで、最小特権アクセスを実現しつつ、セキュリティを強化することができます。
- 作者:みなみ
- 链接:https://tangly1024.com/資格勉強/16ed7ae8-88e2-801c-8118-c3e548f4a0e5
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
.png?table=block&id=021326af-6a29-487e-ac2f-560985ab23b3&t=021326af-6a29-487e-ac2f-560985ab23b3&width=800&cache=v2)
