173-AWS SAP AWS 「理論・実践・一問道場」

type

status

date

slug

summary

理論

IAM Access Analyzer と EventBridge の基本

IAM Access Analyzer: AWS リソースのポリシーを分析し、意図しない公開を検出します。

特長: S3バケットの公開状態を含むアクセスリスクをリアルタイムで通知。
適用例: バケットが公開された場合に特定のアクションを実行する自動化。

Amazon EventBridge: AWS サービス間でイベントを統合するサービス。

特長: IAM Access Analyzer のイベントをトリガーとして、通知やアクションを設定可能。
設定例: "isPublic:true" イベントをSNSトピックに通知するルールを作成。

これにより、組織のセキュリティ監視を効率的に強化できます。

実践

IAM Access AnalyzerをAmazon EventBridgeで監視してAmazon SNSで通知する #reinvent | DevelopersIO

IAM Access Analyzerはただ有効化するだけでも一定の効果はありますが、やはり検知したら通知してほしいですよね。そんなわけでAmazon EventBridgeおよびAmazon SNSと連携して通知を受け取る設定をやってみました。

https://dev.classmethod.jp/articles/reinvent2019-aws-iam-access-analyzer-monitoring-with-amazon-eventbridge/

一問道場

企業は新たに取得したAWSアカウントのセキュリティ姿勢を監査する必要があります。企業のデータセキュリティチームは、Amazon S3バケットが公開される場合のみ通知を受け取ることを要求しています。企業はすでにデータセキュリティチームのメールアドレスが登録されたAmazon Simple Notification Service（Amazon SNS）トピックを確立しています。

どのソリューションがこの要件を満たしますか？

A

すべてのS3バケットに対してisPublicイベントのS3イベント通知を作成します。SNSトピックをイベント通知のターゲットとして選択します。

B

AWS Identity and Access Management（IAM）Access Analyzerでアナライザーを作成します。「Access Analyzer Finding」イベントタイプのAmazon EventBridgeルールを作成し、「isPublic:true」のフィルターを設定します。SNSトピックをEventBridgeルールのターゲットとして選択します。

C

「Bucket-Level API Call via CloudTrail」イベントタイプのAmazon EventBridgeルールを作成し、「PutBucketPolicy」のフィルターを設定します。SNSトピックをEventBridgeルールのターゲットとして選択します。

D

AWS Configを有効にし、cloudtrail-s3-dataevents-enabledルールを追加します。「Config Rules Re-evaluation Status」イベントタイプのAmazon EventBridgeルールを作成し、「NON_COMPLIANT」のフィルターを設定します。SNSトピックをEventBridgeルールのターゲットとして選択します。

解説

この問題の目的は、Amazon S3バケットが公開されるときに通知を受け取る方法を提供することです。要件に従って、正しいソリューションを選ぶために、それぞれのオプションを分析していきます。

オプションの分析

A. S3イベント通知を作成

解説: S3イベント通知は、S3バケットに対して特定のアクション（例えば、isPublic イベント）を監視する方法ですが、Amazon S3自体には「isPublic」という標準的なイベントが存在しません。そのため、このオプションは適切ではありません。

B. IAM Access AnalyzerとEventBridgeルールの作成

解説: IAM Access Analyzerは、アクセス制御ポリシーを分析し、リソースの公開状態を評価します。isPublic:trueというフィルターを使って、バケットが公開されるイベントを監視することができます。この方法は、要件に合致しており、SNSトピックに通知を送信するため、正しい選択肢です。

C. CloudTrailを使ったAPIコールの監視

解説: CloudTrailのPutBucketPolicyイベントは、S3バケットポリシーが変更された際に発生しますが、公開設定が行われたかどうかを確認するためには、ポリシー自体の内容を解析する必要があります。直接的に「公開された」かどうかを検出するわけではないため、このオプションは不適切です。

D. AWS ConfigとEventBridgeルールの作成

解説: AWS Configはリソースの設定を監視し、変更があった場合に通知を送信します。しかし、「NON_COMPLIANT」の状態はリソースがAWS Configのルールに違反したときに通知されるもので、公開されたS3バケットを特定するための専用のルールが必要です。したがって、このオプションも適切ではありません。