株式会社ヴァンデミックシステム

Blog

<スポンサーリンク>

==============================================================
責任分担セキュリュティモデル、認証(IAM)
==============================================================

■責任分担セキュリュティモデル
・AWS上のシステムは利用者とAWSが責任を共有してセキュリュティを高める
・インフラストラクチャ>コンテナ>アブストラクトの順で利用者の責任範囲は少なくなる

・インフラストラクチャサービス(EC2など)
 →AWS:物理ホスト、物理ネットワーク、ストレージなど
  利用者:データ、アプリ、OS、ネットワーク、ファイアウォール、暗号化、アカウントなど
  ・セキュリティ対策ソフト等を導入する
  ・侵入テスト実施時は、申請が必須

・コンテナサービス(RDSなど)
 →AWS:物理ホスト、OS、ネットワーク、プラットフォーム、アプリケーション管理
  利用者:データ、アカウント、ファイアウォール、暗号化など
  
 ・アブストラクトサービス(S3、DynamoDB)
 →AWS:物理ホスト、OS、ネットワーク、プラットフォーム、アプリケーション管理
  利用者:クライアントサイド暗号化、データ、アカウントなど
  
  
■AWSにおける認証とアクセス制御
・IAM(Identity and Access management)
・ユーザ管理、リソースへのアクセス制御
・IAMグループ、IAMユーザへの各種リソースへのアクセス可否をIAMポリシー
・アクセス許可とアクセス拒否のポリシーが相反する場合、拒否が優先

・マネジメントコンソール
ユーザ名/パスワード
・AWS CLI
アクセスキー/シークレットアクセスキー
・AWS SDK
アクセスキー/シークレットアクセスキー

・IAMポリシーと同様設定可能なIAMロールをEC2などに割り当てることで、EC2上のプログラムはアクセスキーとシークレットキーがなくてもリソースへのアクセスが可能

■IDフェデレーション
・一時的に認証所法を付与することか可能な、STS(Security Token Service)とIDブローカーを利よすることで、一時的にサービス許可をすることが可能
・AWSの使用頻度が少ないユーザは、IDフェデレーションで社内の認証基盤とIAMを連携
・IDブローカーは、IDストア(AD、LDAPなど)にアクセスしユーザ認証を行う
・以下の流れで処理が行われる
 ①ユーザが社内のIDブローカーにアクセス
 ②IDブローカーあ社内のIDストアでユーザ認証
 ③IDブローカーがSTSから一時的な認証情報を取得
 ④一時的な認証情報を使ってユーザがS3バケットにファイルをアップロード

<スポンサーリンク>

コメントを残す

Allowed tags:  you may use these HTML tags and attributes: <a href="">, <strong>, <em>, <h1>, <h2>, <h3>
Please note:  all comments go through moderation.

*

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)