AWS Security Incident Responseのアクセスコントロールリスト (ACL)

ACL のサポート: なし

アクセスコントロールリスト (ACL) は、どのプリンシパル (アカウントメンバー、ユーザー、またはロール) がリソースにアクセスするための許可を持つかを制御します。ACL はリソースベースのポリシーに似ていますが、JSON ポリシードキュメント形式は使用しません。

AWS セキュリティインシデント対応による属性ベースのアクセスコントロール (ABAC)

ABAC (ポリシー内のタグ): はい

属性ベースのアクセス制御 (ABAC) は、属性に基づいてアクセス許可を定義する認可戦略です。では AWS、これらの属性はタグと呼ばれます。タグは、IAM エンティティ (ユーザーまたはロール)、および多数の AWS リソースにアタッチできます。エンティティとリソースのタグ付けは、ABAC の最初の手順です。次に、プリンシパルのタグがアクセスしようとしているリソースのタグと一致すると、オペレーションを許可するように ABAC ポリシーを設計します。ABAC は急速に成長している環境で役立ち、ポリシー管理が面倒になる状況に役立ちます。

タグに基づいてアクセスを制御するには、 AWS:ResourceTag/key-name、 AWS:RequestTag/key-name、または AWS:TagKeys 条件キーを使用して、ポリシーの条件要素にタグ情報を指定します。サービスがすべてのリソースタイプで 3 つの条件キーすべてをサポートしている場合、値はサービスに対してはいです。サービスが一部のリソースタイプでのみ 3 つの条件キーをすべてサポートしている場合、値は部分的です。ABAC の詳細については、IAM ユーザーガイドの「ABAC とは」を参照してください。ABAC をセットアップする手順を説明するチュートリアルについては、「IAM ユーザーガイド」の「属性ベースのアクセスコントロール (ABAC) を使用する」を参照してください。

Amazon AWS Security Incident Response を使用した一時的な認証情報

一時的な認証情報のサポート: あり

AWS 一時的な認証情報を使用してサインインすると、 サービスは機能しません。一時的な認証情報を使用する AWS サービスなどの詳細については、「IAM ユーザーガイド」の「IAM AWS と連携するサービス」を参照してください。ユーザー名とパスワード以外の方法で AWS マネジメントコンソールにサインインする場合は、一時的な認証情報を使用しています。たとえば、会社のシングルサインオン (SSO) リンク AWS を使用して にアクセスすると、そのプロセスによって一時的な認証情報が自動的に作成されます。また、ユーザーとしてコンソールにサインインしてからロールを切り替える場合も、一時的な認証情報が自動的に作成されます。ロールの切り替えに関する詳細については、「IAM ユーザーガイド」の「ロールへの切り替え (コンソール)」を参照してください。

一時的な認証情報は、 CLI または AWS API を使用して AWS 手動で作成できます。その後、これらの一時的な認証情報を使用してアクセスすることができます AWS。長期的なアクセスキーを使用する代わりに、一時的な認証情報を動的に生成 AWS することをお勧めします。詳細については、「IAM の一時的セキュリティ認証情報」を参照してください。

AWS セキュリティインシデント対応の転送アクセスセッション

転送アクセスセッション (FAS) のサポート: あり

IAM ユーザーまたはロールを使用して でアクションを実行すると AWS、プリンシパルと見なされます。一部のサービスを使用する際に、アクションを実行することで、別のサービスの別のアクションがトリガーされることがあります。FAS は、 AWS サービスを呼び出すプリンシパルのアクセス許可を、リクエスト元の AWS サービスと組み合わせて使用して、ダウンストリームサービスにリクエストを行います。FAS リクエストは、サービスが他の AWS サービスまたはリソースとのやり取りを完了する必要があるリクエストを受け取った場合にのみ行われます。この場合、両方のアクションを実行するためのアクセス許可が必要です。FAS リクエストを行う際のポリシーの詳細については、「転送アクセスセッション」を参照してください。