翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

テーマ 4: ID の管理

ID およびアクセス許可の堅固な管理は、クラウドでセキュリティを管理する上で、きわめて重要です。強力な ID 管理プラクティスを実装すると、必要なアクセス権限と最小特権のバランスが取れるため、開発チームが、セキュリティを損なわずに、作業を迅速化できるようになります。

ID フェデレーションを使用して、ID 管理を一元化します。これによって、アクセス権限を一元管理することで、複数のアプリケーションやサービス全体で、アクセス管理が容易になります。また、一時的な権限や多要素認証 (MFA) も実装しやすくなります。

ユーザーには、タスク実行に必要なアクセス権限のみを付与してください。 AWS Identity and Access Management Access Analyzer を使用すると、ポリシーの検証や、パブリックアクセスおよびクロスアカウントアクセスの確認を行えます。 AWS Organizations サービスコントロールポリシー (SCPs)、IAM ポリシー条件、IAM アクセス許可の境界、 AWS IAM アイデンティティセンター アクセス許可セットなどの機能は、きめ細かなアクセスコントロール (FGAC) の設定に役立ちます。

認証の種類にかかわらず、一時的な認証情報の使用を強くお勧めします。これにより、認証情報が誤って開示または共有されたり、盗まれたりするなどのリスクを軽減または排除します。IAM ユーザーではなく、IAM ロールを使用してください。

強力なサインインの仕組み (MFA など) を使用すると、サインインの認証情報が誤って開示されたり、簡単に推測されたりするリスクを軽減できます。ルートユーザーには MFA を求めます。MFA は、フェデレーションレベルで要求することも可能です。どうしても、IAM ユーザーの使用が必要な場合は、MFA を強制します。

コンプライアンスをモニタリングし報告するには、アクセス許可の継続的な削減、IAM Access Analyzer から取得した検出結果のモニタリング、使用されていない IAM リソースの削除などを行う必要があります。 AWS Config ルールを使用して、強力なサインインメカニズムが適用され、認証情報の有効期限が短く、IAM リソースが使用されていることを確認します。

AWS Well-Architected フレームワークの関連するベストプラクティス

このテーマの実装

ID フェデレーションの実装

最小特権アクセス許可を適用する

認証情報のローテーション

MFA の強制

このテーマのモニタリング

最小特権アクセスのモニタリング

次の AWS Config ルールを実装する