IAMをより安全に使うには？：AWS Tips

IAMを安全に利用するために知っておくべき、運用のTipsを紹介します。

[小室文，＠IT]

連載目次

IAMの定期的な認証情報の入れ替え

　これまで認証情報はあまり入れ替えを行うことが少なかったかもしれませんが、AWS Identity and Access Management（IAM）では重複して認証情報を持たせることができるので、定期的に認証情報を入れ替えることをお勧めします。

　IAMユーザーに付与されるAPIにアクセスをするために利用するアクセスキーとシークレットアクセスキーはCreateAccessKeyを呼び出すことで複数のAccessKeyをIAMユーザーに持たせることができます。

　入れ替えの流れは以下の通りです。

1. 既存IAMユーザーに対して、CreateAccessKeyにて新しい認証情報を付与する
2. 認証が必要なユーザー、もしくはアプリに対して、新しい認証情報を提供する
3. ユーザー、アプリ側で新しい認証情報を使い始めたら、UpdateAccessKeyで古い認証情報をInactiveにする
4. 問題ないことを確認した後、DeleteAccessKeyで古い認証情報を削除する

　上記の流れはIAMユーザーでの対応方法になりますが、IAMロールを使うことで、アプリそのものに認証情報を付与しなくとも権限を委任できます。

　詳細はドキュメント「ロール（委任とフェデレーション）」をご覧ください。

CloudTrailでアクセス状況を確認する

　IAMユーザーや、グループ、ロールを作ったあと、実際に誰がAPIを使っているのかを確認するために、東京リージョンでも使えるようになった「CloudTrail」を有効にして、アクセス状況を確認します。

　有効にする方法は以下の通りです。

• 対象リージョンにて、CreateTrailで新規にCloudTrail設定を作成する。このとき、ログを保存するS3バケット名やプリフィックス、通知を行うかどうかを設定する
• 設定ができたら、StartLoggingにてログ取得開始を行う

　CloudTrailが吐き出すデータは、そのままでは分かりにくいので、それをグラフや見やすくしてくれるツールを活用して確認しましょう。

　CloudTrailのリリースに合わせてCloudTrailパートナーの発表がありました。これらのパートナー企業が提供する下記のアプリを使えば、アクセス状況が見やすくなるでしょう。

• Alert Logic Log Manager
• Boundary
• CloudCheckr
• Loggly
• Splunk
• Sumo Logic
• Stackdriver

　上記以外にも

• EMRを使って解析する
• Redshiftを使って解析する
• Excelで見る
• HTML形式で見る
• JSONで見る

などの確認方法があります。

　ログ自体はS3にあるので、それをどのように表示するのか、また何のために使うのか、監査に向けてのセキュリティ設計を事前に行っておくと、後々の対応が楽になるでしょう。

「AWS Tips」バックナンバー

• 複数のアベイラビリティゾーンを利用し、EC2を冗長化する
• Amazon VPCを利用し、システムを冗長化する
• 耐久性と可用性を兼ね備えたMulti-AZ構成を作る
• S3とCloudFrontを組み合わせた構成を作る
• User dataにスクリプトを設定してサーバー設定を自動化する
• AWS APIでAWSの操作を自動化する
• CloudFormationで環境構築を自動化する
• IAMをより安全に使うには？
• IAMのポリシーを設定する
• AWSのセキュリティを高めるIAMとは？
• スケールアウトを自動化する
• ELBでスケールアウトする
• EC2のインスタンスタイプを変更する

小室文（こむろ　あや）

好きなAWSサービスはRDS

サーバーワークス セールスチーム ソリューションアーキテクト

ウェブマーケティング業界で、インフラ/開発を経験した後、クラウドに取りつかれてJAWS-UGクラウド女子会コアメンバー。クラウド界隈出没中。明太子は永遠に不滅です。

CROSS2014セッションオーナー 、AWS SAMURAI AWARD 2014受賞。