概要前提条件と制限アーキテクチャツールベストプラクティスエピックトラブルシューティング関連リソース追加情報

プライベート証明書 AWS IAM Roles Anywhere による保護

Barnali Singh、Amazon Web Services

概要

このパターンは、 AWS Private Certificate Authority (AWS Private CA) AWS IAM Roles Anywhere を使用してを実装し、 AWS リソースにアクセスする外部ワークロードに対して安全な証明書ベースの認証を有効にする方法を示しています。このソリューションでは、X.509 証明書を使用して一時的な AWS 認証情報を取得することで、長期的なアクセスキーが不要になります。これは、 AWS CloudFormation テンプレートとシェルスクリプトによる完全な自動化を含むクラウドネイティブのセキュリティパターンであり、組織はオンプレミスアプリケーション、CI/CD パイプライン、外部システムに安全なハイブリッド認証を迅速にデプロイできます。

前提条件と制限

前提条件

インフラストラクチャのデプロイの場合AWS:

AWS CLI 管理アクセス許可を使用してインストールおよび設定されている
IAM、 IAM Roles Anywhere、 AWS Private CA サービスの管理アクセス許可

クライアントシステムのセットアップの場合:

AWS CLIは、次のアクセス許可でクライアントシステムにインストールされます。
- acm-pca:IssueCertificate
- acm-pca:GetCertificate
クライアントシステムにインストールされた OpenSSL
AWS 各クライアントシステムにインストールされている署名ヘルパー
X.509 証明書と PKI 概念の基本的な理解

注記

CloudFormation テンプレートは、 AWS リソースの作成を自動的に処理します。OpenSSL は、証明書を使用して AWS リソースにアクセスする外部システムでのみ必要です。

制限事項

証明書の有効期間は、ルート CA では最大 10 年間に制限されます。
クライアント証明書を定期的にローテーションします。これを少なくとも 1 年に 1 回実行することをお勧めします。
リージョンの制限: とは同じ AWS リージョンにある AWS Private CA 必要があります
クライアント証明書の最大証明書サイズ: 16KB

製品バージョン

AWS CLI バージョン 2.0 以降
OpenSSL 1.1.1 以降
AWS ヘルパー 1.4.0 以降の署名
AWS Private CA、最新バージョン
IAM Roles Anywhere e、最新バージョン

アーキテクチャ

ターゲットテクノロジースタック

• AWS Private CA - 証明書発行のルート CA

• IAM Roles Anywhere - 証明書ベースのロール引き受けサービス

• IAM ロールとポリシー - アクセスコントロールとアクセス許可

• AWS 署名ヘルパー - クライアント側の認証情報取得ツール

• OpenSSL - 証明書とキーの生成

• CloudFormation - インフラストラクチャの自動化

ターゲットアーキテクチャ

図 1 IAM Roles Anywhere証明書ベースの認証

アーキテクチャは以下で構成されます。

証明書を提示する - 外部システムが X.509 証明書をに提示する AWS
認証 - 証明書 IAM Roles Anywhere を受け取り、認証を開始します
検証 - Trust Anchor は、信頼できる認証機関に対して証明書を検証します
Validate - 証明書の信頼性とステータス AWS Private CA を検証します
証明書が有効 - 証明書が有効で信頼できる AWS Private CA ことを確認します
ロールの引き受け - 外部システムが設定された IAM ロールを引き受けること IAM Roles Anywhere を許可します
アクセス許可 - 外部システムは、リソースにアクセス AWS するための一時的な認証情報を受け取ります

自動化とスケール

このパターンには、以下による完全な自動化が含まれます。

• 設定可能な IAM アクセス許可を持つ AWS リソースプロビジョニング用の CloudFormation テンプレート

• 証明書の生成とクライアント設定用のシェルスクリプト

• 複数の環境とカスタム IAM ポリシーのパラメータ化された設定

• 複数のクライアントのバッチ証明書の生成

• 認証情報ヘルパーの自動インストールと設定

ワークフロー

を使用した証明書ベースの認証に必要な基本 AWS サービスを確立します IAM Roles Anywhere。
安全な AWS アクセスのために、クライアント側の証明書と認証ツールを作成して設定します。
証明書ベースの認証機能を検証し、継続的なオペレーションのモニタリングを確立します。

ツール

• CloudFormation - PCA、トラストアンカー、IAM ロール、プロファイルの作成を自動化

• AWS CLI - AWS サービスインタラクション用のコマンドラインインターフェイス

• OpenSSL - 証明書署名リクエストを生成し、証明書を管理します。

• AWS ヘルパーの署名 - 証明書を一時的な AWS 認証情報と交換します

• バッシュ/シェルスクリプト - セットアッププロセス全体を自動化します

コードリポジトリ

AWS IAM Roles Anywhere with Private Certificate Authority

ベストプラクティス

を使用して最小特権の原則に基づいて IAM ポリシーを設定する --iam-policies parameter
クライアント証明書を定期的にローテーションします。これは毎年行うことをお勧めします。
信頼ポリシーで強力な証明書検証を使用する
証明書失効手順を実装する
証明書の有効期限をモニタリングする

エピック

タスク	説明	必要なスキル
インフラストラクチャのデプロイ CloudFormation	Trust Anchor AWS Private CA、適切なポリシーを持つ IAM ロール、 IAM Roles Anywhere プロファイルなど、必要なすべての AWS リソースをプロビジョニングする CloudFormation テンプレートを作成してデプロイします。プロジェクトの命名、証明書の有効期間、セッション期間、IAM ポリシーアタッチメントのパラメータを設定して、コアインフラストラクチャ基盤を確立します。	クラウドアーキテクト、DevOps エンジニア
認証機関の設定を構成する	ルート証明書をインストールし、証明書テンプレートを設定し、証明書の信頼チェーンを確立 AWS Private CA して、を初期化します。 IAM Roles Anywhere 認証に必要な証明書の有効期間、キーアルゴリズム、証明書拡張を設定して、適切な PKI インフラストラクチャを確保します。	AWS 管理者、クラウド管理者
&AWS; リソース設定の検証	デプロイされた AWS すべてのリソースの包括的な検証を実行して、適切な設定と接続を確認します。Trust Anchor が正しくリンクされていること AWS Private CA、IAM ロールに適切なアクセス許可があること、プロファイルが適切に設定されていること、および証明書ベースの認証ワークフローのすべてのリソースがアクティブ/準備完了状態であることを確認します。	AWS システム管理者、テストエンジニア

タスク	説明	必要なスキル
クライアント環境を準備する	デプロイスクリプトを実行可能にし、適切なアクセス許可を確保して、クライアント環境を設定します。必要なツールと依存関係を使用してローカルシステムを設定し、スクリプトのアクセシビリティを検証し、証明書の生成とデプロイプロセスの基盤を確立します。	DevOps エンジニア、AWS システム管理者
証明書署名リクエストを生成する	OpenSSL または同等のツールを使用して、クライアントシステムの証明書署名リクエスト (CSR) を作成します。サブジェクト情報、キーアルゴリズム、証明書拡張機能などの証明書パラメータを設定します。 CSR が AWS Private CA 要件を満たし、 IAM Roles Anywhere 認証に適切なメタデータが含まれていることを確認します。	クラウド管理者、DevOps エンジニア
経由でクライアント証明書を発行する AWS Private CA	を通じて CSR を処理し AWS Private CA 、有効なクライアント証明書を発行します。証明書の有効期間、証明書テンプレートを設定し、証明書チェーンが適切に確立されていることを確認します。証明書の発行を確認し、クライアントデプロイ用の署名付き証明書をダウンロードします。	AWS 管理者、クラウドアーキテクト

タスク	説明	必要なスキル
一時的な AWS 認証情報を取得する	認証情報ヘルパースクリプトを実行して、設定されたクライアント証明書とプライベートキーを使用して一時的な AWS 認証情報を取得します。認証情報の取得プロセスが正しく機能することを確認し、認証情報の形式と有効期限を検証し、シームレスな認証ワークフローのために IAM Roles Anywhere サービスとの適切な統合を確認します。	DevOps エンジニア、AWS システム管理者
AWS リソースアクセスをテストする	取得した一時的な認証情報を使用して、 AWS リソースアクセスの包括的なテストを実行します。さまざまな AWS CLI コマンドと API コールを実行して、Amazon S3、Amazon EC2、などのターゲットサービスへの接続を検証します AWS Lambda。のアクセス許可が設定された IAM ロールポリシーと一致していることを検証し、正常なアクセスパターンを文書化します。	テストエンジニア、クラウド管理者
ロールの引き受けとアクセス許可を検証する	IAM ロールの引き受けプロセスとアクセス許可の境界を徹底的に検証します。許可されたオペレーションと制限されたオペレーションの両方をテストして、最小特権アクセスが適切に適用されていることを確認します。セッション期間の制限、認証情報の更新メカニズムを検証し、ロールの引き受けがセキュリティのベストプラクティスに従っていることを確認します。	AWS 管理者、テストエンジニア
モニタリングとログ記録の実装	証明書ベースの認証システムの包括的なモニタリングとログ記録を設定します。監査証跡の CloudTrail ログ記録の設定、証明書の有効期限のモニタリングの実装、認証失敗のアラートの設定、 IAM Roles Anywhere インフラストラクチャ全体の使用パターンとセキュリティイベントを追跡するためのダッシュボードの確立を行います。	DevOps エンジニア、クラウドアーキテクト

トラブルシューティング

問題	ソリューション
証明書の検証失敗 – 認証の試行時に「証明書の検証に失敗しました」またはInvalidCertificate」エラー。	解決の手順: • を使用して証明書の有効日を検証する openssl x509 -in certificate.pem -dates -noout • Trust Anchor 設定が正しいプライベート CA を指していることを確認します。 • プライベートキーが証明書に対応していることを確認します。 • 間違った CA によって発行された証明書を再生成する
IAM アクセス許可拒否エラー – 認証が成功したにもかかわらず AWS リソースにアクセスする場合の「アクセス拒否」またはUnauthorizedOperation」	解決ステップ: • IAM ロールポリシーを確認して拡張し、必要なアクセス許可を含める • 信頼ポリシーに信頼されたエンティティとして rolesanywhere.amazonaws.com が含まれていることを確認する • プロファイル ARN 設定がデプロイされたリソースと一致していることを確認します。 • 長時間実行されるプロセス用の認証情報更新メカニズムを実装する

問題

ソリューション

証明書の検証失敗 – 認証の試行時に「証明書の検証に失敗しました」またはInvalidCertificate」エラー。

解決の手順:

• を使用して証明書の有効日を検証する

openssl x509 -in certificate.pem -dates -noout

• Trust Anchor 設定が正しいプライベート CA を指していることを確認します。

• プライベートキーが証明書に対応していることを確認します。

• 間違った CA によって発行された証明書を再生成する

IAM アクセス許可拒否エラー – 認証が成功したにもかかわらず AWS リソースにアクセスする場合の「アクセス拒否」またはUnauthorizedOperation」

解決ステップ:

• IAM ロールポリシーを確認して拡張し、必要なアクセス許可を含める

• 信頼ポリシーに信頼されたエンティティとして rolesanywhere.amazonaws.com が含まれていることを確認する

• プロファイル ARN 設定がデプロイされたリソースと一致していることを確認します。

• 長時間実行されるプロセス用の認証情報更新メカニズムを実装する

追加情報

このパターンは、ハイブリッドクラウドアーキテクチャ、外部で実行される CI/CD パイプライン AWS、または安全な AWS アクセスを必要とする外部システムを持つ組織に最適です。証明書ベースのアプローチは、長期的なアクセスキーよりも優れたセキュリティを提供し、を通じて一元的な証明書管理を可能にします AWS Private CA。

設定可能な IAM アクセス許可 – このソリューションは、を通じて柔軟な IAM ポリシー設定をサポートします--iam-policies parameter。

デフォルト: ReadOnlyAccess 安全な初期デプロイ用
カスタム: 特定のユースケースにカンマ区切りARNs を指定します。たとえば、、S3ReadOnlyAccessEC2ReadOnlyAccess、またはカスタムポリシーです。複雑なアクセス許可要件に対する複数のポリシーをサポートします。

使用例:


# Default read-only access
./deploy.sh

# S3-only access
./deploy.sh --iam-policies "arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess"

# Multiple services
./deploy.sh --iam-policies "arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess,arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess"

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Macie を使用して CloudWatch Logs で機密データを保護する

AWS Network Firewall から Slack チャネルにアラートを送信