6. IAM Safety

IAM Safetyを利用することで平常時は特権が制限された状態にしつつ必要な時だけ動的に特権を付与することができます。

これにより、平常時のオペレーションミスの予防や不正行為の抑止を最小限度の手間で実現することができます。

6.1. IAM Safetyの有効化

IAM Safetyの仕組みを解説します。

IAM Safetyを利用するにあたり、IAM Groupと特権操作を明示的に拒否するIAM Policyを作成します。 IAM Safetyで保護されるIAM Userは、普段はこのIAM Groupのメンバーとなっており特権操作が制限されます。 Dome9で昇格したユーザーは一時的にグループのメンバーから削除され、特権操作が可能になります。 ただし、IAM Userに当初から特権が付与されている場合に限ります。 Dome9は明示的に特権操作を禁止することが可能ですが特権操作を付与することはありません。

../_images/IAM_Safety_Diag.png

  1. [IAM PROTECTION] - [Accounts & IAM Users]を選択します。

../_images/iam_safety_1_001.png

  1. [開始]をクリックします。

../_images/iam_safety_1_002.png

3. Dome9で制限したいアクションを定義します。今回はコンピューティングリソース(EC2やそれに関連が深いサービス群)への操作を制限します。 [テンプレート]から[Compute]を選択し、[次へ]をクリックします。

../_images/iam_safety_1_003.png

4. IAM SafetyのためのIAM GroupおよびIAM Policyを作成します。 表示されているIAM Policyはあとで利用します。

../_images/iam_safety_1_004.png

  1. AWSのマネージメントコンソールにログインし、[サービス] - [IAM]を選択します。

  2. [ポリシー] - [ポリシーの作成]をクリックします。

../_images/iam_safety_1_005.png

  1. [JSON]のタブをクリックし、Dome9のコンソールで表示されているIAM Policyをコピーして貼り付けます。

../_images/iam_safety_1_006.png

  1. ポリシー名に[CloudGuard-Restricted-Policy]と入力し、[ポリシーの作成]をクリックします。

../_images/iam_safety_1_007.png

  1. 次にIAM Groupを作成します。[グループ] - [新しいグループの作成]をクリックします。

../_images/iam_safety_1_008.png

  1. グループ名に[CloudGuard-Restricted-Group]と入力し、次に進みます。

../_images/iam_safety_1_009.png

  1. 作成したIAM Policyを選択し、次に進みます。

../_images/iam_safety_1_010.png

  1. 内容を確認し、IAM Groupの作成を完了します。

../_images/iam_safety_1_011.png

  1. Dome9に設定するIAM PolicyおよびIAM GroupのARNを確認します。[ポリシー]を選択し、[CloudGuard-Restricted-Policy]をクリックします。

../_images/iam_safety_1_012.png

  1. [ポリシーARN]をコピーします。

../_images/iam_safety_1_013.png

  1. Dome9のコンソールに戻り、[ポリシーARN]にコピーしたARNを貼り付けます。

../_images/iam_safety_1_014.png

  1. [グループ]を選択し、[CloudGuard-Restricted-Group]をクリックします。

../_images/iam_safety_1_015.png

  1. [グループのARN]をコピーします

../_images/iam_safety_1_016.png

  1. Dome9のコンソールに戻り、[グループARN]にコピーしたARNを貼り付けます。次に進みます。

../_images/iam_safety_1_017.png

  1. IAM Safetyを利用するAWSアカウントを選択し、次に進みます。

../_images/iam_safety_1_018.png

  1. Dome9に対してIAM UserやIAM Group等への操作を許可するためにIAM Policyの作成およびIAM Roleへアタッチを行います。

../_images/iam_safety_1_019.png

  1. [ポリシー] - [ポリシーの作成]をクリックします。

../_images/iam_safety_1_020.png

  1. [JSON]のタブをクリックし、Dome9のコンソールで表示されているIAM Policyをコピーして貼り付けます。

../_images/iam_safety_1_021.png

  1. ポリシー名に[CloudGuard-IAM-Policy]と入力し、[ポリシーの作成]をクリックします。

../_images/iam_safety_1_022.png

  1. [ロール]を選択し、[CloudGuard-Connect]をクリックします。

../_images/iam_safety_1_023.png

  1. [ポリシーをアタッチします]をクリックします。

../_images/iam_safety_1_024.png

  1. [CloudGuard-IAM-Policy]を選択し、[ポリシーのアタッチ]をクリックします。

../_images/iam_safety_1_025.png

  1. Dome9のコンソールに戻り設定を完了します。接続に成功すると以下の画面が表示されます。

../_images/iam_safety_1_026.png

6.2. 保護するIAM Entityの作成

今回は、IAM Userを作成し、そのIAM UserをIAM Safetyで管理します。

  1. [ユーザー] - [ユーザーを追加]をクリックします。

../_images/iam_safety_1_027.png

  1. 以下の通り設定を実施します。設定したら、[次のステップ:アクセス権限]をクリックします。

  • 任意のユーザー名を入力

  • [AWSマネジメントコンソールへのアクセス]をチェック

  • [パスワードリセットが必要]のチェックを外す(作業手順を減らすためにチェックを外します)

../_images/iam_safety_1_028.png

  1. [既存のポリシーを直接アタッチ]を選択し、[AdministratorAccess]を選択して[次のステップ:タグ]をクリックします。

../_images/iam_safety_1_029.png

  1. タグを設定せず次に進みます。

  2. [ユーザーの作成]をクリックします。

../_images/iam_safety_1_030.png

  1. 以下の情報をメモします。メモ帳などにコピーしてください。もしくは、[.csvのダウンロード]をクリックします。ダウンロードできるファイルに以下の情報が含まれます。

  • サインインURL

  • ユーザー

  • パスワード

../_images/iam_safety_1_031.png

  1. 作成したIAM UserでAWSのマネージメントコンソールにログインします。別のIAM Userでログインしている場合には一度ログアウトし、先ほどメモしたサインインURLにアクセスします。

../_images/iam_safety_1_032.png

  1. 最初に作成したEC2インスタンスを利用して動作を確認します。[サービス] - [EC2]をクリックします。

../_images/iam_safety_1_033.png

  1. [インスタンス]を選択し、起動しているEC2インスタンスを選択して[アクション] - [インスタンスの状態] - [停止]をクリックします。

../_images/iam_safety_1_034.png

10.停止したことを確認したら、起動します。[アクション] - [インスタンスの状態] - [開始]をクリックします。

../_images/iam_safety_1_034_2.png

6.3. IAM Userの保護(権限を制限)

作成したIAM Safetyで管理し、特権の行使を制限します。

  1. [IAM PROTECTION] - [Accounts & IAM Users]を選択します。

../_images/iam_safety_1_001.png

  1. 作成したIAM Userを選択し、[すべて保護]をクリックします。

../_images/iam_safety_1_035.png
../_images/iam_safety_1_035_1.png
../_images/iam_safety_1_035_2.png

  1. ステータスが[Protected]になったことを確認します。

../_images/iam_safety_1_036.png

  1. 動作を確認します。[インスタンス]を選択し、起動しているEC2インスタンスを選択して[アクション] - [インスタンスの状態] - [停止]をクリックします。

../_images/iam_safety_1_037.png

  1. [停止する]をクリックします。

../_images/iam_safety_1_038.png

  1. 権限を制限されているためインスタンスができません(期待する動作です)。[キャンセル]をクリックします。

../_images/iam_safety_1_039.png

6.4. IAM Userの特権昇格

一時的に制限を緩和して特権へ昇格させます。

  1. 保護したIAM Userに対して[ELEVATE]をクリックします。成功した場合、その旨が記載されたメッセージが上部に表示されます。

../_images/iam_safety_1_040.png

  1. 特権に昇格できたことを確認します。[Active elevations]を開きます。

../_images/iam_safety_1_041.png

  1. 昇格したIAM Userが存在することを確認します。[ELEVATE]をクリックした場合には昇格の期間が15分間であることが確認できます。[Expiration]を確認してください。

../_images/iam_safety_1_042.png

  1. 動作を確認します。[インスタンス]を選択し、起動しているEC2インスタンスを選択して[アクション] - [インスタンスの状態] - [停止]をクリックします。

../_images/iam_safety_1_043.png

  1. [停止する]をクリックします。

../_images/iam_safety_1_044.png

  1. インスタンスの停止処理が開始されたことを確認します。

../_images/iam_safety_1_045.png