Systems Manager を使用したジャストインタイムノードアクセス - AWS Systems Manager

Systems Manager を使用したジャストインタイムノードアクセス

Systems Manager では、ジャストインタイムアクセスをサポートすることで、ノードのセキュリティを強化できます。ジャストインタイムノードアクセスを使用すると、ユーザーがノードへの期限付きの一時的なアクセスをリクエストできるようになり、アクセスが本当に必要な場合にのみリクエストを承認できます。そのため、IAM ポリシーで管理するノードへの長期的なアクセスを付与する必要がなくなります。また、Systems Manager では Windows Server ノードへの RDP セッションを記録できるので、コンプライアンス要件を満たす、根本原因を分析するといったことができるようになります。ジャストインタイムノードアクセスを使用するには、Systems Manager 統合コンソールをセットアップする必要があります。

ジャストインタイムノードアクセスを使用するときは、許可したユーザーのみがノードへのアクセスリクエストを送信できるようにきめ細かく IAM ポリシーを作成します。次に、承認ポリシーを作成して、ノードへの接続に必要な承認を定義します。ジャストインタイムノードアクセス用のポリシーには、自動承認ポリシーと手動承認ポリシーがあります。自動承認ポリシーでは、ユーザーが自動的に接続できるノードを定義します。手動承認ポリシーでは、指定したノードにアクセスするために必要な手動承認の数とレベルを定義します。このほか、アクセス拒否ポリシーも作成できます。アクセス拒否ポリシーを使用すると、指定したノードへのアクセスリクエストの自動承認を明示的に防ぐことができます。アクセス拒否ポリシーは、AWS Organizations 組織内のすべてのアカウントに適用されます。自動承認ポリシーと手動承認ポリシーは、作成元の AWS アカウントと AWS リージョンにのみ適用されます。

ノードに接続しようとすると、ユーザーはノードにアクセスする理由を入力するように求められます。次に、承認ポリシーが評価されます。ポリシーに応じて、ユーザーがターゲットノードに自動的に接続するか、Systems Manager がリクエスタに代わって手動承認リクエストを自動的に作成します。その後、ノードに適用される手動承認ポリシーに定められた承認者にアクセスリクエストに関する通知が届き、承認者はリクエストを承認または拒否できます。承認者とリクエスタへの通知には E メールを使用できるほか、チャットアプリケーションを Slack や Microsoft Teams と統合していれば Amazon Q Developer からも行えます。Systems Manager がリクエストされたノードへのアクセスを許可するのは、指定された承認者から必要なすべての承認が得られたときだけです。必要なすべての承認が得られたら、ユーザーは承認ポリシーに指定されているアクセス時間帯が終了するまで必要な数だけノードへのセッションを開始できます。Systems Manager は、ジャストインタイムノードアクセスセッションを自動的には終了しません。セッション設定で最大セッション期間アイドルセッションタイムアウトの値を指定するのがベストプラクティスです。これらの値を設定すると、ユーザーは承認されたアクセス時間帯を超えてノードに接続したままにすることができなくなります。

重要度の高いデータがあるノードは保護し、重要度の低いノードは介入なしでユーザーの接続を許可するように、承認ポリシーをいくつか組み合わせて使用することをお勧めします。例えば、データベースノードへのアクセスリクエストには手動承認を義務づけ、永続的でないプレゼンテーション層のノードへのセッションは自動承認します。

Systems Manager は、IAM Identity Center または IAM とフェデレートされたユーザーに対してジャストインタイムノードアクセスをサポートしています。アクセスリクエストを送信するときに、フェデレーションユーザーはターゲットノード、およびノードへの接続が必要な理由を指定します。Systems Manager は、組織の承認ポリシーに定義されているパラメータとユーザーの ID を比較します。自動承認ポリシーの条件が満たされるか、承認者が手動で承認を与えると、リクエスタはターゲットノードに接続できます。ユーザーが承認されたノードへの接続を試みると、Systems Manager は一時的なトークンを作成し、それを使用してセッションを確立します。

Systems Manager サービスがアクセスリクエストの認証とセッションの確立を担当するため、IAM ポリシーを使用してノードへのアクセスを管理する必要はありません。Systems Manager ではジャストインタイムノードアクセスを使用することで、Zero Standing Privileges に近いアプローチを取ることができます。ユーザーにノードへの永続的なアクセス許可を与えてセッションの開始を許可するのではなく、アクセスリクエストの作成を許可するだけでよくなります。コンプライアンス要件の遵守を支援するため、Systems Manager はすべてのアクセスリクエストを 1 年間保持します。Systems Manager はこのほか、ジャストインタイムノードアクセスに関する EventBridge イベントを発行して、アクセスリクエストの失敗に備え、手動承認のアクセスリクエストのステータスを更新できるようにします。詳細については、「Amazon EventBridge を使用して Systems Manager イベントをモニタリングする」を参照してください。

トピック