お客様が多数のアプリケーションとアカウントを所有している場合、IAM ポリシーのガバナンスを維持するにはさらなる労力が必要です。
出発点は、Infrastructure as Code として、各チームが必要な IAM ポリシーを含む AWS CloudFormation テンプレートを作成し、セキュリティチームが、そのテンプレートをレビューし、承認します。テンプレートは、git リポジトリ に文書化されています。次に、セキュリティチームが承認されたテンプレートを、AWS 環境内で実行し、IAM ポリシーを作成します。このプロセスにより、セキュリティチームが組織全体の IAM ポリシーの一貫性と安全性を確保することができます。
開発グループにより大きな自律性を与え、セキュリティチームの運用負担を軽減するために、IAM パイプラインで管理するアプローチが便利です。このアプローチでは、開発グループが自身のニーズに応じて新しい IAM ポリシーの作成を提案できるようになります。ただし、この際には「 最小権限の見直しと最適化 」を尊重する必要があります。提案されたポリシーは、セキュリティチームが用意した AWS Lambda 関数などによって自動的に検証されます。(例えば、過度に広範なアクセス権を示す “Action”: “*“や"Resource”: “*“がないことを確認するなど)。
検証後、セキュリティチームは環境や企業ポリシーに応じて、手動または自動でロールを承認し、実際に作成することができます。
この一連のプロセスを自動化するために、AWS CodePipeline を活用できます。CodePipelineは、アプリケーションの継続的なサイクルのためのステップの調整だけでなく、IAM ポリシーを継続的に構築するためにも使用できます。IAM ポリシーの管理と展開をより効率的に行うことができます。