AWSのIDアクセス管理とは何ですか？

アマゾンウェブサービス（AWS）は、インターネットインフラストラクチャの大部分を占めています。 TheVergeによって報告された見積もりによると、すべてのインターネットトラフィックの約40％がAWSで実行されています。 Airbnb、Expedia、Netflix、Pinterest、Slack、Spotifyなど、数百万人が使用する最も人気のあるインターネットサービスがAWSで実行されています。 人気のあるウェブサイトやオンラインサービス全体がAWSで実行されるだけではありません。 多くのウェブサイトは、オンラインプレゼンスの一部のサポートとしてAWSを使用しています。

AWSがダウンすると、ときどき発生するように、インターネットとして認識されているものの巨大な部分が機能しなくなります。 技術的な問題やセキュリティ違反により、これらの障害が発生する可能性があります。 これは、Amazonがセキュリティの問題を非常に深刻に受け止めていることを意味します。 AWSは、堅牢なIDアクセス管理を使用して、ネットワークとそのクライアントを不正アクセスから保護します。

Identity Access Managementとは何ですか？

IDアクセス管理（IAM）は、ネットワークリソースへのアクセスを安全に制御するために使用されるソフトウェアプログラムまたはWebベースのサービスです。 IAMシステムは、最初にパスワードで保護されたサインインプロセスを通じてユーザーを認証し、次にユーザーが許可された使用許可に従ってネットワークリソースにアクセスできるようにします。

クラウドベースのサービスの場合、クラウドユーザーアクセス管理はクラウドベースの認証システムを使用してユーザーのIDを判別し、許可されたアクセスを許可します。 アマゾンウェブサービス（AWS）には、AWSクラウドシステムと連携するIDアクセス管理のシステムがあります。

AWS Identity and Access Management

AWS IDおよびアクセス管理は、AWSアカウントの作成から始まります。 最初は、ユーザーは一意のサインインIDを持っており、そのアカウントのAWSサービスへのフルアクセス権を持つrootユーザーを作成します。 rootユーザーアカウントは、認証のために作成した個人の電子メールアドレスとパスワードを使用します。

AWSユーザーは、すべてにアクセスできるアカウントであるため、このrootユーザーアカウント情報を非常に注意深く保護する必要があります。 この情報を保護するための最善の方法については、以下のベストプラクティスのセクションを参照してください。

AWSIAMの機能には次のものがあります。

• 共有アクセス—これにより、他のユーザーは自分のサインインクレデンシャルを使用してAWSアカウントにアクセスできます。
• きめ細かい許可されたアクセス許可—ユーザーには、フルアクセスからグループアクセス、アプリケーションアクセス、特定のパスワードで保護されたファイルアクセス、およびその間のすべてに至るまで、非常に特別に選択されたアクセス許可に従ってアクセスを許可できます。
• 2要素認証—このオプションのセキュリティ選択では、許可されたユーザーが正しいパスワード/アクセスキーを使用し、ユーザーのスマートフォンや電子メールアカウントなどのデバイスまたは電子メールアドレスに送信されたテキストメッセージコードに応答する必要があります。
• 安全なAPI—安全なアプリケーションプログラミングインターフェイスにより、ソフトウェアプログラムは、その機能を実行するために必要なAWSシステム上のデータとサービスに接続できます。
• IDフェデレーション—これにより、許可されたユーザーのパスワードを、識別に使用される別のシステムの他の場所に保存できます。
• 使用状況監査— AWS CloudTrialサービスを使用することにより、ITセキュリティ監査のためにユーザーのアカウントアクセスアクティビティの完全なログが記録されます。

AWSでAIMがどのように機能するかを理解する

Amazon IDアクセス管理は、リソース、ID、エンティティ、およびプリンシパルを含む階層型パーミッション構造の原則に基づいています。

＃資力

リソースは、AWS IAMシステムに追加、編集、または削除できます。 リソースは、システムによって保存されるIDプロバイダーのユーザー、グループ、ロール、ポリシー、およびオブジェクトです。

＃アイデンティティ

これらは、ユーザー、ロール、およびグループを定義するためにポリシーをIDに接続するAWSIAMリソースオブジェクトです。

＃エンティティ

これらは、AWSIAMシステムが認証目的のリソースオブジェクトとして使用するものです。 AWSシステムでは、それらはユーザーとその許可されたロールです。 オプションとして、WebベースのID検証を提供するフェデレーションIDシステムまたはSAMLから取得できます。

＃プリンシパル

これは、個々のユーザー、またはAWS IAMユーザーとして認識される許可されたソフトウェアアプリケーション、またはサインインしてデータとサービスへのアクセスを要求することを許可されたIAMロールのいずれかです。

AWS管理のベストプラクティス

AWS管理のために従うべきいくつかのベストプラクティスがあります。

1.ルートユーザーアカウントのセキュリティ

AWSを最初に使用したときに作成されたrootユーザーアカウントが最も強力であり、AWSアカウントの「マスターキー」です。 これは、アカウントの設定と、必要なアカウントおよびサービスの管理操作の一部にのみ使用する必要があります。 最初のログオンには、電子メールアドレスとパスワードが必要です。

このルートアカウントを保護するためのベストプラクティスは、「@」記号の前に少なくとも8文字（記号、大文字、小文字、数字）を含む非常に複雑な1回限りの電子メールアドレスを使用することです。 また、記号、数字、大文字、小文字を含む、8文字以上の長さのメールアドレスとは異なる一意のパスワードを使用してください。 パスワードは長い方が良いです。

AWSアカウントが完全に設定および確立された後、他の管理者アカウントが通常の使用のために作成されます。

rootユーザーアカウントですべてを開始する必要がなくなったら、rootアカウントのアクセス情報を暗号化でロックしてUSBドライブに保存し、暗号化キーを分離しておきます。 USBドライブをロックされた金庫にオフラインにして、将来必要になるまで安全に保管できるようにします。

2.権限を制限する

ユーザーとアプリケーションに、作業に必要な正確な権限のみを付与します。 機密情報やミッションクリティカルなサービスへのアクセスを許可する場合は注意が必要です。

3.セキュリティの問題

セキュリティは継続的な問題です。 それは、堅固なユーザーアクセス設計構造から始まり、継続的な監査を使用して不正アクセスの試みを検出し、十分な複雑さと定期的なパスワード変更のためにユーザーのパスワードを管理します。 ユーザーアクセスが不要になったとき、または不要になったときに、ユーザーアクセスをすばやく終了することが重要です。 監査目的でAWSCloudTrialを使用することを強くお勧めします。

4.暗号化

インターネットを使用するデバイスからAWSへのアクセスを許可する場合は、SSLなどのポイントツーポイント暗号化を使用して、転送中にデータが危険にさらされないようにしてください。

5. AWS Identity AccessManagementに関するFAQ

AWS IDアクセス管理に関するよくある質問には、AWSアクセス管理に役立つ問題に対処するためのいくつかの質問が含まれています。

AWSアクセス管理の技術的な詳細

AWSアクセス管理には、IAMプロトコルが完全なAWSクラウドベースのシステムとどのようにインターフェースするかを示すチャートがあります。 IAMプロトコルには、IDベースのポリシー、リソースベースのポリシー、および承認に使用されるその他のポリシーが含まれます。

承認プロセス中に、AWSシステムはポリシーをチェックして、アクセスの許可または拒否を決定します。

全体的なポリシー構造は、次のような一連の主要な原則に基づいています。

• rootアカウントのユーザーのみがフルアクセス権を持っています。 デフォルトでは、他のすべてのアクセス要求は拒否されます。
• システムのデフォルトを上書きできるのは、明示的なIDまたはリソースポリシーのみです。
• セッションまたは組織の構造ポリシー（SCP）に基づくアクセス許可の制限により、IDベースまたはリソースベースのポリシーによって付与されるアクセスが上書きされる場合があります。
• 特定の拒否ルールは、他のパラメーターで許可されているアクセスをオーバーライドします。

AWSIAMチュートリアル

Amazonは、AWSでのIDとアクセス管理の設定について詳しく知りたい方のためにチュートリアルを提供しています。

AWSIAMのセットアップと適切な使用に関する問題は複雑です。 新規のお客様がシステムを使いやすくするために、Amazonは次のような多くの役立つチュートリアルを作成しました。

• 請求コンソールへのアクセスの委任請求コンソールへのアクセス
• AWSアカウントのIAMロールを使用してアクセスを委任する
• 最初の顧客管理ポリシーを作成する
• ユーザーが資格情報とMFA設定を構成できるようにする

AWSは、多くの理由で業界のリーダーです。 Amazonは、その運用のためにこれらのクラウドサービスを必要としていました。 これらのサービスを他の人に提供することは、Amazonにとって高い可能性を秘めたビジネスチャンスであることが明らかになりました。 現在、Amazonの副業として始まったものは、世界的なインターネットインフラストラクチャの主要な部分になっています。

AWSシステムの使用は、インターネット全体の使用とほぼ同じです。 時間をかけてIAMポリシーを設定し、細部に注意してセキュリティを保護してください。 IAMシステムの管理は、ネットワーク管理者にとって最優先事項です。 これを定期的なITセキュリティ監査と組み合わせて、潜在的な問題を明らかにします。