翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# テーマ 4: ID の管理
**Essential Eight 戦略の対象**
管理者権限の制限、多要素認証
ID およびアクセス許可の堅固な管理は、クラウドでセキュリティを管理する上で、きわめて重要です。強力な ID 管理プラクティスを実装すると、必要なアクセス権限と最小特権のバランスが取れるため、開発チームが、セキュリティを損なわずに、作業を迅速化できるようになります。
ID フェデレーションを使用して、ID 管理を一元化します。これによって、アクセス権限を一元管理することで、複数のアプリケーションやサービス全体で、アクセス管理が容易になります。また、一時的な権限や多要素認証 (MFA) も実装しやすくなります。
ユーザーには、タスク実行に必要なアクセス権限のみを付与してください。 AWS Identity and Access Management Access Analyzer を使用すると、ポリシーの検証や、パブリックアクセスおよびクロスアカウントアクセスの確認を行えます。 AWS Organizations サービスコントロールポリシー (SCPs)、IAM ポリシー条件、IAM アクセス許可の境界、 AWS IAM アイデンティティセンター アクセス許可セットなどの機能は、[きめ細かなアクセスコントロール (FGAC) ](apg-gloss.md#glossary-fgac)の設定に役立ちます。
認証の種類にかかわらず、一時的な認証情報の使用を強くお勧めします。これにより、認証情報が誤って開示または共有されたり、盗まれたりするなどのリスクを軽減または排除します。IAM ユーザーではなく、IAM ロールを使用してください。
強力なサインインの仕組み (MFA など) を使用すると、サインインの認証情報が誤って開示されたり、簡単に推測されたりするリスクを軽減できます。ルートユーザーには MFA を求めます。MFA は、フェデレーションレベルで要求することも可能です。どうしても、IAM ユーザーの使用が必要な場合は、MFA を強制します。
コンプライアンスをモニタリングし報告するには、アクセス許可の継続的な削減、IAM Access Analyzer から取得した検出結果のモニタリング、使用されていない IAM リソースの削除などを行う必要があります。 AWS Config ルールを使用して、強力なサインインメカニズムが適用され、認証情報の有効期限が短く、IAM リソースが使用されていることを確認します。
## AWS Well-Architected フレームワークの関連するベストプラクティス
+ [SEC02-BP01 強力なサインインメカニズムを使用する](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_enforce_mechanisms.html)
+ [SEC02-BP02 一時的な認証情報を使用する](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_unique.html)
+ [SEC02-BP03 シークレットを安全に保存して使用する](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_secrets.html)
+ [SEC02-BP04 一元化された ID プロバイダーを利用する](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html)
+ [SEC02-BP05 定期的に認証情報を監査およびローテーションする](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_audit.html)
+ [SEC02-BP06 ユーザーグループと属性を採用する](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_groups_attributes.html)
+ [SEC03-BP01 アクセス要件を定義する](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_define.html)
+ [SEC03-BP02 最小特権のアクセスを付与する](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_least_privileges.html)
+ [SEC03-BP03 緊急アクセスプロセスを確立する](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_emergency_process.html)
+ [SEC03-BP04 アクセス許可を継続的に削減する](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_continuous_reduction.html)
+ [SEC03-BP05 組織のアクセス許可ガードレールを定義する](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_define_guardrails.html)
+ [SEC03-BP06 ライフサイクルに基づいてアクセスを管理する](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_lifecycle.html)
+ [SEC03-BP07 パブリックおよびクロスアカウントアクセスの分析](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_analyze_cross_account.html)
+ [SEC03-BP08 組織内でリソースを安全に共有する](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_share_securely.html)
## このテーマの実装
### ID フェデレーションの実装
+ [一時的な認証情報を使用して AWS にアクセスする人間のユーザーには、ID プロバイダーとのフェデレーションを求めている](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html)
+ [AWS 環境への一時的な昇格アクセスを実装する](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/)
### 最小特権アクセス許可を適用する
+ [ルートユーザーの認証情報を保護し、日常的なタスクには使用しない](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html)
+ [IAM Access Analyzer を使用して、アクセスアクティビティに基づいて最小特権ポリシーを生成する](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/dynamically-generate-an-iam-policy-with-iam-access-analyzer-by-using-step-functions.html)
+ [IAM Access Analyzer を使用してリソースへのパブリックアクセスとクロスアカウントアクセスを検証する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html)
+ [IAM Access Analyzer を使用して IAM ポリシーを検証し、安全で機能的なアクセス許可を行う](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)
+ [複数のアカウントでアクセス許可ガードレールを確立する](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/organizations.html)
+ [アクセス許可の境界を使用して、ID ベースのポリシーで付与可能な権限の上限を設定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)
+ [IAM ポリシーの条件を使用してアクセスをさらに制限する](https://aws.amazon.com/blogs/apn/top-recommendations-for-working-with-iam-from-our-aws-heroes-part-3-permissions-boundaries-and-conditions/)
+ [未使用のユーザー、ロール、アクセス許可、ポリシー、認証情報を定期的に確認して削除する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed.html)
+ [AWS 管理ポリシーの使用を開始し、最小特権のアクセス許可に移行する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)
+ [IAM Identity Center のアクセス許可セット機能を使用する](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)
### 認証情報のローテーション
+ [ワークロードが にアクセスするために IAM ロールを使用するよう要求する AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)
+ [使用されていない IAM ロールの削除を自動化する](https://aws.amazon.com/blogs/security/how-to-centralize-findings-and-automate-deletion-for-unused-iam-roles/)
+ [長期的な認証情報を必要とするユースケースのためにアクセスキーを定期的にローテーションする](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automatically-rotate-iam-user-access-keys-at-scale-with-aws-organizations-and-aws-secrets-manager.html)
### MFA の強制
+ [ルートユーザーに MFA を求める](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)
+ [IAM Identity Center を通じて MFA を要求する](https://docs.aws.amazon.com/singlesignon/latest/userguide/how-to-configure-mfa-device-enforcement.html)
+ [サービス固有の API アクションに MFA を要求することを検討する](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-mfa)
## このテーマのモニタリング
### 最小特権アクセスのモニタリング
+ [IAM Access Analyzer の検出結果を に送信する AWS Security Hub CSPM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-securityhub-integration.html)
+ [重要な IAM Identity Center から得た重要な検出結果の通知設定を検討する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-eventbridge.html)
+ [の認証情報レポートを定期的に確認する AWS アカウント](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)
### 次の AWS Config ルールを実装する
+ `ACCESS_KEYS_ROTATED`
+ `IAM_ROOT_ACCESS_KEY_CHECK`
+ `IAM_USER_MFA_ENABLED`
+ `IAM_USER_UNUSED_CREDENTIALS_CHECK`
+ `IAM_PASSWORD_POLICY`
+ `ROOT_ACCOUNT_HARDWARE_MFA_ENABLED`