Category: Security, Identity, & Compliance

AWS または他の多くのシステムのリソースへのアクセスを管理する場合、ほとんどの場合、ロールベースのアクセスコントロール (RBAC) を使用するでしょう。RBAC を使用する場合、リソースへのアクセス許可の定義、こうしたアクセス許可のポリシーによるグループ化、ポリシーのロールへの割り当て、個人、個人のグループ、サーバー、アプリケーションなどのエンティティへのロールの割り当てを行うことになります。多くの AWS のお客様は、組織内で同様のビジネス機能を共有している人などの関連するエンティティへのアクセス許可の付与を簡素化するためにそうしていると語っています。 たとえば、財務データベース管理者のロールを作成し、そのロールに財務に必要なテーブルやコンピューティングリソースへのアクセス権を付与することができます。データベース管理者の Alice がその部門に移動すると、彼女に財務データベース管理者のロールを割り当てます。 AWS では、AWS Identity and Access Management (IAM) のアクセス許可ポリシーおよび IAM ロールを使用して、RBAC 戦略を実装します。 リソースの増加により、スケーリングが困難になります。新しいリソースがシステムに追加されると、システム管理者は、その新しいリソースに対するアクセス許可をすべての関連するポリシーに追加する必要があります。何千ものリソースや数千のポリシーがある場合、これをどのように拡張すればよいでしょうか? 1 つのポリシーの変更がユーザーまたはアプリケーションに不要な特権を付与しないことをどのように確認すればよいでしょうか? 属性ベースのアクセスコントロール リソースが増え続ける状況の中、アクセス許可の管理を簡素化する新しいパラダイムが登場しました。属性ベースのアクセスコントロール (ABAC) です。ABAC を使用する場合、一致する属性に基づいてアクセス許可を定義します。ポリシーでは、ユーザー属性、リソース属性、環境属性など、あらゆるタイプの属性を使用できます。ポリシーは IF … THEN ルールになります。たとえば、 IF ユーザー属性 role == manager THEN 彼女は属性 sensitivity == confidential であるファイルリソースにアクセスできます。 ABAC アクセス許可コントロールを使用すると、リソースを追加するときにポリシーを更新する必要がなくなるため、アクセス許可システムの拡張が簡単になります。代わりに、リソースに適切な属性がアタッチされていることを保証する必要があります。ABAC では、ジョブロールごとにポリシーを作成する必要がないため、管理するポリシーの数を減らすことができます。 AWS では、属性はタグと呼ばれます。タグは Amazon Elastic Compute Cloud (EC2) インスタンス、Amazon […]

みなさんこんにちは！アマゾンウェブサービスジャパン株式会社 ソリューションアーキテクトの木村公哉です。 11月21日に「ビルシリーズ@六本木一丁目住友不動産六本木グランドタワー 第１回」を開催いたしました。今回は「初めてのサーバレスWebアプリケーションハンズオン」を実施しました。こちら「ビルシリーズとは？」とお思いの方も多いかと思いますので、開催報告と合わせてご説明いたします。 「ビルシリーズ」とは？ このイベントは、日頃AWSをご利用いただいているお客様に、AWSからの情報発信はもちろん、同じビルに拠点を構えるお客様同士の活発な意見交換と交流の場を定期的に作ることを目的としたものです（同じビルなので移動が楽！）。 今回、住友不動産六本木グランドタワーのFringe81様、BASE様、エブリー様、ディップ様で同じようなニーズがあり、このようなビル単位でのイベントを開催する運びとなりました。場所はFringe81様の素敵な大会場をお借りいたしました。Fringe81様ありがとうございました。 来月には住友不動産麻布十番ビルでも開催を予定しており、今後もこのようなビル単位で交流ができるようなイベントを開催していきたいと考えております。 当日の様子 当日は約40人のお客様にお越しいただき、イベントは終始盛り上がりを見せておりました。   まずはAWSJ 植本より、今回のビルシリーズの趣旨などを説明いたしました。   次に、AWSJ 木村より「サーバレスのご紹介 – ユースケースパターンを切り口に」というタイトルで、AWSのサーバレスプラットフォームについてご紹介いたしました。   続けてAWSJ 木村より「初めてのWebアプリケーションハンズオン」を実施いたしました。   ハンズオンの終了後、ご参加いただいた皆様と共に、簡単な懇親会を開催いたしました。   今回、AWSJより、アカウントマネージャー植本、藤田、細木、ソリューションアーキテクト上原、石見、小宮、木村がビルシリーズをサポートいたしました。こちらはソリューションアーキテクトの集合写真です。 貴社担当のアカウントマネージャから「ビルシリーズ」のお誘いがあるかもしれませんが、是非ご検討いただければと思います。それでは、次回のビルシリーズでお会いしましょう！   著者について 木村 公哉（Kimura, Koya） 香川県出身のソリューションアーキテクトです。好きなサービスはAWS AmplifyとAWS Lambda、Amazon Kinesisです。好きな食べ物はうどんです。   上原 誠（Uehara, Makoto） アマゾンウェブサービスジャパン株式会社のソリューションアーキテクトとして、主にメディア系のお客様に対する技術支援を担当。技術的な得意/興味領域としては、アナリティクス系テクノロジー、広告系ソリューションなど。

AWS Key Management Service (AWS KMS) が KMS API エンドポイントに接続する際に使われる Transport Layer Security (TLS) ネットワーク暗号化プロトコルにおけるポスト量子暗号ハイブリッド鍵交換をサポートしました。この投稿では、ポスト量子暗号 TLS とは何か、 ハイブリッド鍵交換とは何か、 なぜこれらの技術が重要か 、この機能でどのようなメリットを得られるのか、そしてフィードバックの方法について説明します。 ポスト量子暗号 TLS とは? ポスト量子暗号 TLS は、ポスト量子暗号の暗号プロトコルを追加する機能です。 AWS はオープンソースの TLS 実装である s2n を使用しています。2019年6月に AWS はポスト量子暗号 s2n をリリースしました。これは、IETF ドラフトで定義されている２種類のポスト量子暗号ハイブリッド暗号スイートを実装しています。暗号スイートは、従来型とポスト量子暗号の両方のセキュリティ保護を行う暗号鍵交換方式を指定するものです。 ポスト量子暗号 TLS の重要性 大規模な量子コンピュータは、TLS 接続の暗号鍵交換で使用されている既存の公開鍵暗号を破る可能性があります。大規模な量子コンピューターは現時点で利用可能ではありませんが、長期的なセキュリティ保護のニーズについて考え、準備しておくことが重要です。記録された TLS トラフィックは将来的に大規模な量子コンピュータで復号出来る可能性があります。TLS 接続の上で送信されているデータの長期間の機密性維持が必要なアプリケーションを開発している場合、大規模な量子コンピュータが実用化され、悪意を持った人に利用可能になる前にポスト量子暗号に移行することを検討するべきでしょう。AWS はこの機能の提供について取り組んでおり、お客様にも準備して頂きたいと考えています。 AWS は大規模な量子コンピュータの実現を待つのではなく、今この機能を提供します。 お客様は、アプリケーションに対する潜在的なパフォーマンス影響を計測することが可能です。また、お客様は、ポスト量子暗号スキームによってもたらされる追加の利点を得ることが可能です。AWS はこの機能が既に存在する KMS エンドポイントへの接続に関するセキュリティーのバーを向上させると考えていると共に、新しい暗号スイート帯域利用率やレイテンシに影響を与えると考えています。また、TLS 接続を中継する中間システムにも影響を与える可能性があります。将来に渡るサービスの改善のために AWS はこれらのお客様環境における影響についてフィードバックして頂きたいと考えています。 ポスト量子暗号 […]

AWS re:Invent 2019 が間近にせまってきました！ 参加するセッションの優先順位をつけないといけませんね。そこで AWS re:Invent 2019 での AWS Identity セッション、ワークショップ、チョークトークのリストをご用意しました。re:Invent にまだ登録していない場合は、社内承認のためのテンプレートがありますのでこちらもご利用ください。 AWS アイデンティ リーダシップ キーノート SEC207-L — Leadership session: AWS identity (Breakout session) リーダーシップセッション: AWS アイデンティティ (ブレイクアウトセッション) デジタルアイデンティティは、クラウドで最も急速に成長し、最も急速に変化している領域の1つです。ゼロトラストネットワーク、GDPRの懸念、および新しい IoT の機会がニュースでよく報道されています。このセッションではこの重要な業界の変化について触れ、お客様とその顧客の両方のアイデンティティにアプローチする AWS の方法について学びます。 新機能の発表や、オープンスタンダードと業界グループへの取り組みについて議論し、アイデンティティ、アクセス制御、リソース管理をより簡単にする方法を説明します。 自社環境向けの AWS アイデンティティ マネジメント FSI310 — The journey to least privilege: IAM for Financial Services (Chalk talk) 最小権限への旅：金融サービスのための IAM （チョークトーク） AWS […]

IoT デバイスや IoT デバイスが生成するデータセキュリティについて、理解を深めて適切に対処していただけるように、AWS による IoT ( モノのインターネット) のセキュリティ保護ホワイトペーパーを発行しました。このホワイトペーパーの対象読者は、サービス固有レベルの AWS の IoT セキュリティ機能に関心があるすべてのお客様、およびコンプライアンス、セキュリティ、公共政策の専門家です。 IoT テクノロジーはデバイスと人を様々な方法でつなぎ、業種を超えて使用されるようになりました。たとえば、IoT を使用すれば、ある都市の建物群のサーモスタットをリモート管理したり、何百基もの風力タービンを効率的に制御したり、自動運転の車をさらに安全に利用できるようになります。様々なタイプのデバイスで転送するすべてのデータに関して、一番の関心事はセキュリティです。 IoT テクノロジーの利用に伴う特有の課題については、世界中の政府が大きな関心を示しています。各国政府は IoT イノベーションの進展とデータセキュリティ保護全般の問題について、新しい規制要件の必要性と内容を検討しています。このホワイトペーパーでは、具体的な例を示して、米国国立標準技術研究所 (National Institute of Standards and Technology、NIST) および英国の行動指針 (Code of Practice) が公表した IoT の最近の進展について取り上げます。 Momena Cheema Momena は AWS のサービス機能とプライバシー機能の熱心なエバンジェリストです。モノのインターネット (IoT)、人工知能、機械学習など、グローバルな最新テクノロジーとトレンドの視点から、執筆、ワークショップ、講演、教育キャンペーンを展開しています。目標は、公共機関と民間企業の様々な業種のお客様に、クラウドが提供するセキュリティとプライバシーのメリットをご活用いただくことです。 (翻訳：ソリューションアーキテクト 飯田 起弘。原文は AWS Security releases IoT security whitepaper)

本番環境に対応したアーキテクチャに移行する際、お客様のアプリケーションチームはサンドボックス環境で AWS のサービスを試して、AWS の進化していくイノベーションに対応することができます。アプリケーションチームは、さまざまな AWS のサービスとリソースにタイムリーにアクセスする必要があります。つまり、最低限の権限を与えられることを保証するメカニズムを必要とします。通常、アプリケーションチームは、定期的に Amazon Elastic Block Store のスナップショットバックアップを行う AWS Lambda 関数や、セキュリティチームが管理する一元化された情報セキュリティアカウントにイベントを送信する Amazon CloudWatch Events ルールなどの管理リソースにアクセスできません。 このブログ投稿では、さまざまなサンドボックス、開発、テスト環境で作業しているアプリケーションチームが AWS Identity and Access Management (IAM) ポリシーを作成および検証するため、一元化かつ自動化したワークフローを作成する方法をご紹介します。セキュリティ開発者は、セキュリティチームの特定の要件に従ってこのワークフローをカスタマイズできます。セキュリティ開発者は、アカウントの種類または所有チームに基づいたアクセス許可セットを制限するロジックも作成できます。AWS CodePipeline を使用して、さまざまな段階や複数の AWS アカウントにわたるワークフローを作成および管理します。これについては、次のセクションで詳しく説明します。 ソリューションの概要 次のシナリオから始めましょう。Alice は AWS サンドボックスアカウントの管理者です。これは、組織のデータサイエンティストが Amazon Athena や Amazon EMR などの AWS の分析サービスを試す際に使用します。データサイエンティストは、機密情報が取り出された後、実際のデータセットの一部に対して分析ジョブのサンプルを実行することで、これらのサービスが本番ユースケースに適合しているかを評価します。データセットは既存の Amazon Simple Storage Service (Amazon S3) バケットに保存されます。Alice は新しいプロジェクトごとに、プロジェクトチームに要求された Amazon S3 バケットにアクセスして、分析クラスターを作成できるようにする新しい IAM […]

AWS Organizations では、複数アカウントに対する集中ガバナンスおよび集中マネジメントを提供します。集中セキュリティ管理者の皆さんは AWS Organizations を使用してサービスコントロールポリシー (SCP) を適用することで、IAM プリンシパル (ユーザーおよびロール) が忠実に順守するコントロールを確立しています。今回、SCP を使用して、AWS Identity and Access Management (IAM) ポリシー言語がサポートする精緻なコントロールでアクセス許可のガードレールを設定できることになりました。これにより、ポリシーを微調整して、組織内のガバナンスルールの要件に厳密に適合させることがこれまで以上に簡単になります。 SCP を使用すると、Conditions、Resources、NotAction を指定して、組織全体または組織単位で複数アカウントにわたるアクセスを拒否できます。たとえば、SCP を使って、特定の AWS リージョンへのアクセスを制限できます。また、お客様の集中管理者が使用する IAM ロールのような共有リソースを、IAM プリンシパルが削除できないようにすることも可能です。さらに、お客様のガバナンスコントロールの例外を定義できると同時に、特定の管理者ロールを除いてアカウント内のすべての IAM エンティティ (ユーザー、ロール、ルート) に対するサービスアクションを制限できます。 SCP を使ってアクセス許可のガードレールを運用するには、AWS Organizations コンソールにある新しいポリシーエディタを使用します。このエディタ内でアクション、リソース、条件を追加することで、SCP を簡単に作成できます。この記事では、SCP の概要をご説明し、新機能をご紹介して、さらに皆さんの組織でも今すぐ使えるような SCP のサンプルの作成方法をご覧いただきます。 サービスコントロールポリシーという概念の概要 例をいくつかご紹介する前に、SCP の機能と AWS Organizations について説明します。 SCP は、アカウント内のすべての IAM エンティティに対するアクセス権限を一元管理できる機能を提供します。そのため、皆さんが必要だと考えるアクセス許可を社内の対象者全員に対して施行できます。SCP を使用すると、開発者が自分のアクセス許可を管理する自由度が増しますが、これは開発者のオペレーションが皆さんが定義した境界線内に限られるからです。 SCP は AWS Organizations によって作成、適用します。組織を作成すると、AWS […]

Amazon Elastic Block Store (EBS) は Amazon EBS ボリュームの暗号化ソリューションを提供するため、ブロックストレージの暗号化キーを管理するための独自のインフラストラクチャを構築、維持、保護する必要はありません。Amazon EBS 暗号化は、暗号化されたの Amazon EBS ボリュームを作成するときにAWS Key Management Service (AWS KMS) のカスタマーマスターキー (CMK) を使用し、AWS KMS の使用に関連する 利点をすべて提供します。Amazon EBS ボリュームを暗号化するには、AWS 管理型 CMK またはカスタマー管理型 CMK のいずれかを指定できます。カスタマー管理型 CMK を使用する場合、AWS KMSでの CMK を毎年ローテーションするなど、暗号化キーをきめ細かく制御できます。CMK の作成の詳細については、のキーの作成を参照してください。 この投稿では、EC2 コンソール、AWS CLI、AWS SDK から EC2 インスタンスを起動するときに、カスタマー管理型 CMK を使用して暗号化された Amazon EBS ボリュームを作成する方法を示します。 EC2 コンソールから暗号化された Amazon EBS ボリュームを作成する […]

 重要なデータを保護するために対策を取っている組織は、保管中も転送中も心配が尽きません。リレーショナルデータベースは、ビジネスに不可欠なデータを保護する必要がある状況のよくある例です。Microsoft SQL Server では、Secure Sockets Layer (SSL) 暗号化を使用して転送中のデータを保護できます。 この記事では、AWS Certificate Manager (ACM) および AWS Certificate Manager Private Certificate Authority (ACM プライベート CA) を使用して、SQL Server 接続の SSL 暗号化を有効にするプロセスを説明します。 SQL Server の SSL 暗号化オプションの説明 Microsoft SQL Server は、接続の暗号化を有効にする次の 2 つのメカニズムがあります。 すべてのクライアントからの暗号化を強制する サーバーからの暗号化を強制する クライアントとサーバー間の安全な接続を確保するには、暗号化された接続を要求するようにクライアントを設定します。これにより、クライアントが SQL Server を実行しているサーバーに接続する前に、サーバーが提示した証明書を検証します。 Force Server Encryption オプションを使用することもできます。ただし、このオプションを単独で使用すると、クライアントが証明書を検証せずに暗黙的に信頼するため、中間者攻撃に対して脆弱になります。 この記事では、最初のオプションについてのみ説明します。 ACM ルート CA とプライベート CA […]

本投稿は Micah Hausler と Michael Hausenblas による記事を翻訳したものです AWS ではお客様のニーズに最優先にフォーカスしています。Amazon EKS におけるアクセス権制御に関して、みなさまは「パブリックコンテナロードマップ」の Issue #23 にて EKS でのきめ細かい IAM ロールの利用方法 を求められていました。このニーズに応えるため、コミュニティでは kube2iam、kiam や Zalando’s IAM controller といったいくつかのオープンソースソリューションが登場しました。これらのソリューションは素晴らしいプロダクトであるだけでなく、それぞれのアプローチの要件及び制約は何なのかについて多くの方の理解を促すことを可能にしました。 そして今、柔軟かつ簡単に利用可能なソリューションがやってきました。私たちの重要なゴールとして、粒度の高いロールを Node レベルではなくPod レベルでの提供がありました。私たちが今回考え出したソリューションもオープンソースとして公開されているため、eksctl での Amazon EKS クラスター作成時にも利用できますし、DIY アプローチでの Kubernetes クラスターとしてポピュラーな kops によって作成されたようなクラスタにおいてもご利用いただくことが可能です。 アクセスコントロール: IAM と RBAC Kubernetes on AWS では、補完しあう2つのアクセスコントロール手法が動作します。AWS Identity and Access Management (IAM) は AWS サービスへのアクセス許可、例えばあるアプリケーションが S3 […]