IAM権限設定のベストプラクティス
- AWSアカウントのルートユーザーのアクセスキーをロックする
- 通常はルートアカウントを利用しない
- 個々のIAMユーザーを作成する
- IAMユーザーでIAMユーザーの管理を行う
- IAMユーザーへのアクセス許可にIAMグループを利用する
- IAMユーザーやIAMグループは最小権限のみの設定とする
- 新規ポリシーを作るのではなく、AWS管理ポリシーを利用する
- インラインポリシーではなく、カスタマーポリシーを利用する
- アクセスレベルを使用して、IAMアクセス許可を確認する
- ユーザーのために強度の高いパスワードポリシーを設定する
- MFAを有効化する
- EC2で実行するAWSリソース(アプリ)にはIAMロールを適用する
- 第3者に一時的に認証を付与する場合、IAMロールを利用してアクセス許可を移譲する
- アクセスキーを共有しない
- 認証情報を定期的にローテーションする
- 不要な認証情報を削除する
- AWSアカウントのアクティビティを監視する
IAM でのセキュリティのベストプラクティス - AWS Identity and Access Management (amazon.com)
【IAM】ユーザのアクティビティの記録 (darcy-it.com)
IAMを利用して最適なセキュリティ上のベストプラクティスに沿うためにはアクセスレベルを使用して、IAM 権限を確認することが必要です。
AWS アカウントのセキュリティを向上させるには、IAM ポリシーを定期的に確認し、モニタリングする必要があります。
ポリシーにより、必要なアクションのみの実行に必要な最小限の権限が付与されていることを確認します。
ポリシーを確認する場合、そのポリシー内の各サービスのアクセスレベルの要約を含むポリシー概要を表示できます。
AWS は各サービスのアクションを、各アクションが実行する内容に基づいて、5 つのアクセスレベル (List、Read、Write、Permissions management、または Tagging) のいずれかに分類します。
これらのアクセスレベルを使用して、ポリシーに含めるアクションを判断できます。
ベストプラクティスではルートユーザーのアクセスキーを削除することが求められています。
IAM Access Analyzer はアクセス権限の最小化構成をモニタリングするための機能
Amazon EventBridge による AWS IAM Access Analyzer のモニタリングを実施すると、各結果の生成時、既存の結果の状態の変更時、および結果の削除時に EventBridge にイベントを送信します。
