Q&A
知りたいこと
AWSを使って、個人情報を取り扱ったWebサービスを検討しています。
オンプレミスの現場では、本番環境で作業をする際に、セキュリティのために入出を制限した部屋で作業するシーンを見てきました。
AWSのようなクラウドの環境ではどのように対策を講じているのか知りたいです。
決まったこの端末からしかアクセスさせない、みたいなことができるのでしょうか?
懸念していること
本番環境にアクセスできる人がローカルのPCで好き勝手に本番データにアクセスできるのではないか?
操作ログみたいなものはとれるらしいと聞いたのですが、事後のチェックになるのではないかと懸念しています。
回答1件
0
ベストアンサー
AWS側でできる主な制限としては
①IPアドレスによる制限
②IAMの権限による制限
があります。
まず前提として、IAMユーザーの権限を厳密に管理して、そもそも操作できなくさせることは重要です。
とりあえずメンバー全員にAdmin権限を付与するなんてことは当然ながら避けるべきです。
それに加えて、特定のロールに昇格するための条件にIPアドレスを加えることが出来ます。
つまり、自席のPCからAWSのマネジメントコンソールにはログインできても、AdminRoleに昇格するには指定されたIPアドレスからアクセスしないと弾かれるように出来ます。
※そもそものマネジメントコンソールに対するログインをIPアドレスレベルで縛ることは出来ないはずです。
私がいる会社では、オンプレのやり方と組み合わせて以下のようにしています。
入出を制限した部屋に入る→ローカルのネットワークとは切り離された別のネットワーク上の端末にログイン→その端末からVPN経由でAWSアカウントにログイン→事前に管理者に適切なロールに昇格するための権限を付与してもらう→適切な権限に昇格→作業
のような形です。
質問者様がおっしゃるとおり、AWSの操作ログは全て残すことができるので監査対応も可能です。
また、特定の危険な予期せぬ操作が発生したら、スラックにアラートを飛ばすことも出来ます。
投稿2020/05/13 04:22
退会済みユーザー
総合スコア0
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2020/05/14 02:48