アクセスコントロールと自動化に IAM ポリシーのユーザー ID を使用する - AWS 規範ガイダンス
概要前提条件と制限アーキテクチャツールベストプラクティスエピック関連リソース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

アクセスコントロールと自動化に IAM ポリシーのユーザー ID を使用する

Amazon Web Services、Srinivas Ananda Babu と Ram Kandaswamy

概要

このパターンでは、 AWS Identity and Access Management (IAM) でユーザー名ベースのポリシーを使用する潜在的な落とし穴、ユーザー IDs を使用する利点、このアプローチを と統合して AWS CloudFormation 自動化する方法を説明します。

では AWS クラウド、IAM サービスを使用して、ユーザー ID とアクセスコントロールを正確に管理できます。ただし、ユーザー名に依存して IAM ポリシーを作成すると、予期しないセキュリティリスクやアクセスコントロールの問題が発生する可能性があります。例えば、John Doe という新しい従業員がチームに参加し、ユーザー名 j.doe を使用して IAM ユーザーアカウントを作成するとします。これにより、ユーザー名を参照する IAM ポリシーを通じてアクセス許可が付与されます。John が退職すると、アカウントは削除されます。問題は、Jane Doe という新しい従業員がチームに加わり、j.doe というユーザー名が再作成されたときに発生します。既存のポリシーは、John Doe と同じアクセス許可を Jane Doe に付与します。これはセキュリティとコンプライアンスに悪影響を及ぼす可能性があります。

新しいユーザーの詳細を反映するように各ポリシーを手動で更新するのは、特に組織が成長するほど、時間がかかり、エラーが発生しやすいプロセスです。解決策は、一意の変更不可能なユーザー ID を使用することです。IAM ユーザーアカウントを作成すると、 は IAM ユーザーに一意のユーザー ID (またはプリンシパル ID) を AWS 割り当てます。これらのユーザー ID を IAM ポリシーで使用することで、ユーザー名の変更や再利用の影響を受けない一貫した信頼性の高いアクセスコントロールを確保できます。

一例として、ユーザー ID を使用する IAM ポリシーは次のようになります。

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
        { 
            "Effect": "Allow", 
            "Action": "s3:ListBucket", 
            "Resource": "arn:aws:s3:::example-bucket", 
            "Principal": { "AWS": "arn:aws:iam::123456789012:user/abcdef01234567890" } 
        } 
      ] 
}

IAM ポリシーでユーザー ID を使用する利点は次のとおりです。

  • 一意性。ユーザー IDsはすべての で一意であるため AWS アカウント、正確で一貫性のあるアクセス許可アプリケーションを提供します。

  • 変更不可能性。ユーザー ID は変更できないため、ポリシーでユーザーを参照するための安定した識別子となります。

  • 監査とコンプライアンス。 AWS のサービス 多くの場合、ログと監査証跡にユーザー IDs が含まれているため、特定のユーザーにアクションを簡単にトレースできます。

  • オートメーションと統合。 AWS APIs、SDKs、またはオートメーションスクリプトでユーザー IDs を使用すると、プロセスはユーザー名の変更の影響を受けません。

  • 将来性。最初からポリシーでユーザー ID を使用しておくと、潜在的なアクセスコントロールの問題や大幅なポリシーの更新を未然に防ぐことができます。

オートメーション

などのInfrastructure as Code (IaC) ツールを使用すると AWS CloudFormation、ユーザー名ベースの IAM ポリシーの落とし穴が問題を引き起こす可能性があります。Ref 組み込み関数を呼び出すと、IAM ユーザーリソースはユーザー名を返します。組織のインフラストラクチャが発展するにつれて、IAM ユーザーアカウントなどのリソースを作成、削除するサイクルにより、ユーザー名を再利用した場合に意図しないアクセスコントロールの問題が発生する可能性があります。

この問題に対処するには、CloudFormation テンプレートにユーザー ID を組み込むことをお勧めします。ただし、この目的でユーザー ID を取得するのは難しい場合があります。そこで、カスタムリソースが役立ちます。CloudFormation カスタムリソースを使用して、 AWS APIs または外部サービスと統合することで、サービスの機能を拡張できます。特定の IAM ユーザーのユーザー ID を取得するカスタムリソースを作成することで、CloudFormation テンプレート内でユーザー ID を使用できるようになります。このアプローチにより、ユーザー ID を参照するプロセスを合理化し、オートメーションワークフローの堅牢性と将来性を確保できます。

前提条件と制限

前提条件

  • アクティブな AWS アカウント

  • クラウド管理者が CloudFormation テンプレートを実行するための IAM ロール

制限事項

アーキテクチャ

ターゲットアーキテクチャ

次の図は CloudFormation 、 がバックアップするカスタムリソース AWS Lambda を使用して IAM ユーザー ID を取得する方法を示しています。

CloudFormation カスタムリソースの使用による IAM ユーザー ID の取得。

自動化とスケール

CloudFormation テンプレートは、異なる AWS リージョン および アカウントに複数回使用できます。各リージョンまたはアカウントで 1 回のみ実行できます。

ツール

AWS サービス

  • IAM – AWS Identity and Access Management (IAM) は、 AWS リソースへのアクセスを安全に制御するのに役立つウェブサービスです。IAM を使用して、誰を認証 (サインイン) し、誰にリソースの使用を認可する (アクセス許可を付与する) かを制御します。

  • AWS CloudFormation – AWS リソースをモデル化してセットアップ AWS CloudFormation できるため、それらのリソースの管理に費やす時間が減り、実行されるアプリケーションに集中する時間が増えます AWS。必要な AWS リソースを記述するテンプレートを作成すると、CloudFormation がそれらのリソースのプロビジョニングと設定を処理します。

  • AWS Lambda – は、サーバーのプロビジョニングや管理を行わずにコードの実行をサポートするコンピューティングサービス AWS Lambda です。Lambda は必要に応じてコードを実行し、1 日あたり数個のリクエストから 1 秒あたり数千のリクエストまで自動的にスケールします。 

ベストプラクティス

ゼロからユーザー作成を開始する場合やグリーンフィールドデプロイを計画する場合は、AWS IAM アイデンティティセンター を使用してユーザー管理を一元化することを強くお勧めします。IAM Identity Center は既存の ID プロバイダー (Active Directory や Okta など) と統合してユーザー ID をフェデレーションするため AWS、IAM ユーザーを直接作成および管理する必要はありません。このアプローチは、一貫したアクセスコントロールを保証するだけでなく、ユーザーライフサイクル管理を簡素化し、 AWS 環境全体のセキュリティとコンプライアンスを強化するのに役立ちます。

エピック

タスク説明必要なスキル

AWS アカウント と IAM ロールを検証します。

に CloudFormation テンプレートをデプロイするアクセス許可を持つ IAM ロールがあることを確認します AWS アカウント。

この手順の最後のステップで、CloudFormation コンソール AWS CLI の代わりに を使用してテンプレートをデプロイする場合は、 AWS CLI コマンドを実行するための一時的な認証情報も設定する必要があります。手順については、IAM ドキュメントを参照してください。

クラウドアーキテクト
タスク説明必要なスキル

CloudFormation テンプレートを作成します。

  1. CloudFormation ドキュメントの手順に従って、CloudFormation テンプレートを作成します。JSON 形式か YAML 形式のいずれかを使用できます。このパターンは、YAML 形式を使用していることを前提としています。

  2. テンプレートを get_unique_user_id.yaml という名前で保存します。

AWS DevOps、クラウドアーキテクト

ユーザー名の入力パラメータを追加します。

CloudFormation テンプレートの Parameters セクションに次のコードを追加します。

Parameters:
  NewIamUserName:
    Type: String
    Description: Unique username for the new IAM user

このパラメータは、ユーザーにユーザー名の入力を求めます。

AWS DevOps、クラウドアーキテクト

カスタムリソースを追加して、IAM ユーザーを作成します。

CloudFormation テンプレートの Resources セクションに次のコードを追加します。

Resources:
  rNewIamUser:
    Type: 'AWS::IAM::User'
    Properties:
      UserName: !Ref NewIamUserName

このコードは、NewIamUserName パラメータによって指定された名前で IAM ユーザーを作成する CloudFormation リソースを追加します。

AWS DevOps、クラウドアーキテクト

Lambda 関数の実行ロールを追加します。

このステップでは、IAM を取得するアクセス許可を AWS Lambda 関数に付与する IAM ロールを作成しますUserId。Lambda がコードを実行するために必要な以下の最小限のアクセス許可を指定します。

  • logs:CreateLogStream

  • logs:PutLogEvents

  • CreateLogGroup

  • iam:GetUser

  • lambda.amazonaws.com 用の AssumeRole

実行ロールを作成する手順については、Lambda ドキュメントを参照してください。次のステップで Lambda 関数を作成するときに、このロールを参照します。

AWS 管理者、クラウドアーキテクト

Lambda 関数を追加して、一意の IAM UserId を取得します。

このステップでは、Python ランタイムを使用して Lambda 関数を定義し、一意の IAM UserId を取得します。これを行うには、CloudFormation テンプレートの Resources セクションに次のコードを追加します。<<ROLENAME>> を、先ほど作成した実行ロールの名前に置き換えます。

  GetUserLambdaFunction:
    Type: 'AWS::Lambda::Function'
    Properties:
      Handler: index.handler
      Role: <<ROLENAME>>
      Timeout: 30
      Runtime: python3.11
      Code:
        ZipFile: |
          import cfnresponse, boto3
          def handler(event, context):
            try:
              print(event)
              user = boto3.client('iam').get_user(UserName=event['ResourceProperties']['NewIamUserName'])['User']
              cfnresponse.send(event, context, cfnresponse.SUCCESS, {'NewIamUserId': user['UserId'], 'NewIamUserPath': user['Path'], 'NewIamUserArn': user['Arn']})
            except Exception as e:
              cfnresponse.send(event, context, cfnresponse.FAILED, {'NewIamUser': str(e)})
AWS DevOps、クラウドアーキテクト

カスタムリソースを追加します。

CloudFormation テンプレートの Resources セクションに次のコードを追加します。

  rCustomGetUniqueUserId:
    Type: 'Custom::rCustomGetUniqueUserIdWithLambda'
    Properties:
      ServiceToken: !GetAtt GetUserLambdaFunction.Arn
      NewIamUserName: !Ref NewIamUserName

このカスタムリソースは Lambda 関数を呼び出して IAM UserID を取得します。

AWS DevOps、クラウドアーキテクト

CloudFormation 出力を定義します。

CloudFormation テンプレートの Outputs セクションに次のコードを追加します。

Outputs:
  NewIamUserId:
    Value: !GetAtt rCustomGetUniqueUserId.NewIamUserId

これにより、新しい IAM ユーザーの IAM UserID が表示されます。

AWS DevOps、クラウドアーキテクト

テンプレートを保存します。

変更を CloudFormation テンプレートに保存します。

AWS DevOps、クラウドアーキテクト
タスク説明必要なスキル

CloudFormation のテンプレートをデプロイします。

CloudFormation コンソールを使用して get_unique_user_id.yaml テンプレートをデプロイするには、CloudFormation ドキュメントの手順に従います。

または、次の AWS CLI コマンドを実行してテンプレートをデプロイすることもできます。

aws cloudformation create-stack \
--stack-name DemoNewUser \
--template-body file://get_unique_user_id.yaml \
--parameters ParameterKey=NewIamUserName,ParameterValue=demouser \
--capabilities CAPABILITY_NAMED_IAM
AWS DevOps、クラウドアーキテクト

関連リソース