ID フェデレーション - 一元化された ID 管理
一元化された ID 管理
IAM ユーザーとアクセスキーなどの永続的な認証情報の使用を避け、認証情報の漏洩やアクセスキーの露出のリスクを軽減するために、一元化された ID 管理として AWS Directory Services (Active Directory/Simple AD)、Okta、Azure Active Directory、Ping Identity、OneLogin などの ID プロバイダー (IdP) を使用することが推奨です。
AWS IAM Identity Center
AWS IAM Identity Center と ID プロバイダーをフェデレーションすることで、AWS にアクセスするユーザーに一時的な認証情報を提供します。
組織が立ち上がったばかりで ID プロバイダーがない場合は、AWS IAM Identity Center の内部ディレクトリを使用できます。このディレクトリを使用しても、一時的な認証情報を使用する利点を得られます。
また、従業員の退職情報を反映するために、ID プロバイダーが人事管理システムと統合されていることも重要です。
Well-Architected Framework の推奨事項マッピング
- SEC02-BP04 一元化された ID プロバイダーを利用する
- SEC02-BP02 一時的な認証情報を使用する
主なリスクと軽減
- [認証情報の取得 (Credential Access)] - アクセスキーなどの永続的な認証情報を持っている場合、退職した元従業員などの不正ユーザーが退職後も特権を保持する可能性がありますが、一元化された ID プロバイダーを使用している場合、ユーザーのアクセスが無効化されると同時にアクセスが削除されます。
評価のガイダンス
- 従業員の認証はどこで行っていますか?
- AWS IAM Identity Center を使用していますか?
- 人間のアクセスのために IAM ユーザーをプロビジョニングしていますか?どのくらいの頻度で認証情報はローテーションされていますか?セキュリティチームは退職した従業員のアクセスキーを削除していますか?
- 従業員が退職したとき、ID プロバイダーは自動的に更新されますか?
- そうでない場合、人事部門が従業員情報の削除処理をしてから、ID プロバイダーのユーザー情報が削除されるまでにどのくらい時間がかかりますか?
料金
- AWS IAM Identity Center は、複数のアカウントにわたってアイデンティティを簡単に管理できる無料の AWS サービスです