IAMの定期的な認証情報の入れ替え
これまで認証情報はあまり入れ替えを行うことが少なかったかもしれませんが、AWS Identity and Access Management(IAM)では重複して認証情報を持たせることができるので、定期的に認証情報を入れ替えることをお勧めします。
IAMユーザーに付与されるAPIにアクセスをするために利用するアクセスキーとシークレットアクセスキーはCreateAccessKeyを呼び出すことで複数のAccessKeyをIAMユーザーに持たせることができます。
入れ替えの流れは以下の通りです。
- 既存IAMユーザーに対して、CreateAccessKeyにて新しい認証情報を付与する
- 認証が必要なユーザー、もしくはアプリに対して、新しい認証情報を提供する
- ユーザー、アプリ側で新しい認証情報を使い始めたら、UpdateAccessKeyで古い認証情報をInactiveにする
- 問題ないことを確認した後、DeleteAccessKeyで古い認証情報を削除する
上記の流れはIAMユーザーでの対応方法になりますが、IAMロールを使うことで、アプリそのものに認証情報を付与しなくとも権限を委任できます。
詳細はドキュメント「ロール(委任とフェデレーション)」をご覧ください。
CloudTrailでアクセス状況を確認する
IAMユーザーや、グループ、ロールを作ったあと、実際に誰がAPIを使っているのかを確認するために、東京リージョンでも使えるようになった「CloudTrail」を有効にして、アクセス状況を確認します。
有効にする方法は以下の通りです。
- 対象リージョンにて、CreateTrailで新規にCloudTrail設定を作成する。このとき、ログを保存するS3バケット名やプリフィックス、通知を行うかどうかを設定する
- 設定ができたら、StartLoggingにてログ取得開始を行う
CloudTrailが吐き出すデータは、そのままでは分かりにくいので、それをグラフや見やすくしてくれるツールを活用して確認しましょう。
CloudTrailのリリースに合わせてCloudTrailパートナーの発表がありました。これらのパートナー企業が提供する下記のアプリを使えば、アクセス状況が見やすくなるでしょう。
上記以外にも
- EMRを使って解析する
- Redshiftを使って解析する
- Excelで見る
- HTML形式で見る
- JSONで見る
などの確認方法があります。
ログ自体はS3にあるので、それをどのように表示するのか、また何のために使うのか、監査に向けてのセキュリティ設計を事前に行っておくと、後々の対応が楽になるでしょう。
小室文(こむろ あや)
好きなAWSサービスはRDS
サーバーワークス セールスチーム ソリューションアーキテクト
ウェブマーケティング業界で、インフラ/開発を経験した後、クラウドに取りつかれてJAWS-UGクラウド女子会コアメンバー。クラウド界隈出没中。明太子は永遠に不滅です。
CROSS2014セッションオーナー 、AWS SAMURAI AWARD 2014受賞。
Copyright © ITmedia, Inc. All Rights Reserved.