セキュリティ制御: 特権アクセス
特権アクセスでは、管理モデル、管理アカウント、特権アクセス ワークステーションを意図的なリスクと偶発的なリスクから保護するためのさまざまなコントロールなど、テナントとリソースへの特権アクセスを保護するためのコントロールを対象とします。
PA-1: 高い特権を持つ/管理者ユーザーを分離して制限する
| CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 5.4、6.8 | AC-2、AC-6 | 7.1、7.2、8.1 |
セキュリティ原則: ビジネスに大きな影響を与えるすべてのアカウントを確実に特定します。 クラウドのコントロール プレーン、管理プレーン、データ/ワークロード プレーン内の特権/管理アカウントの数を制限します。
Azure ガイダンス: Azure でホストされているリソースへの直接または間接的な管理アクセスを使用して、すべてのロールをセキュリティで保護する必要があります。
Azure Active Directory (Azure AD) は、Azure の既定の ID およびアクセス管理サービスです。 Azure AD で最も重要な組み込みロールは、グローバル管理者と特権ロール管理者です。それは、これら 2 つのロールが割り当てられたユーザーが、管理者ロールを委任できるからです。 これらの特権を使用すると、ユーザーは Azure 環境内のすべてのリソースを直接または間接に読み取り、変更できます。
- グローバル管理者/会社管理者: このロールを持つユーザーは、Azure AD のすべての管理機能と、Azure AD ID を使用するサービスにアクセスできます。
- 特権ロール管理者:このロールが割り当てられたユーザーは、Azure AD と Azure AD Privileged Identity Management (PIM) 内でロールの割り当てを管理できます。 さらに、このロールは、PIM と管理単位のすべての側面を管理できます。
Azure AD の外部には、リソース レベルでの特権アクセスに不可欠な組み込みロールがあります。
- 所有者: Azure RBAC でロールを割り当てる権限を含め、すべてのリソースを管理するためのフル アクセスを付与します。
- 共同作成者: すべてのリソースを管理する完全な権限がありますが、Azure RBAC のロールを割り当てること、Azure Blueprints の割り当てを管理すること、イメージのギャラリーを共有することはできません。
- ユーザー アクセス管理者: Azure リソースへのユーザー アクセスを管理できます。
注: 特定の特権アクセス許可を割り当てられたカスタム ロールを Azure AD レベルまたはリソース レベルで使用する場合は、管理する必要のある他の重要なロールがある場合があります。
さらに、Azure Enterprise Agreement (EA) ポータルで次の 3 つのロールを持つユーザーも、Azure サブスクリプションを直接または間接的に管理するために使用できるため、制限する必要があります。
- アカウント所有者: このロールを持つユーザーは、サブスクリプションの作成や削除など、サブスクリプションを管理できます。
- エンタープライズ管理者: このロールが割り当てられているユーザーは、(EA) ポータル ユーザーを管理できます。
- 部門管理者: このロールを割り当てられたユーザーは、部門内のアカウント所有者を変更できます。
最後に、ビジネス クリティカルなシステムにエージェントをインストールしたActive Directory ドメイン コントローラー (DC)、セキュリティ ツール、システム管理ツールなど、ビジネスクリティカルな資産への管理アクセス権を持つ他の管理、ID、セキュリティ システムの特権アカウントも制限するようにしてください。 これらの管理システムおよびセキュリティ システムを侵害した攻撃者は、それらをすぐに悪用してビジネス クリティカルな資産を侵害することができます。
Azure の実装と追加のコンテキスト:
- Azure AD での管理者ロールのアクセス許可
- Azure Privileged Identity Management のセキュリティ アラートを使用する
- Azure AD でのハイブリッドおよびクラウド デプロイ用の特権アクセスをセキュリティで保護する
AWS ガイダンス: AWS でホストされているリソースへの直接または間接的な管理アクセスを使用して、すべてのロールをセキュリティで保護する必要があります。
特権または管理ユーザーをセキュリティで保護する必要があります。
- ルート ユーザー: ルート ユーザーは、AWS アカウントの最上位レベルの特権アカウントです。 ルート アカウントは高度に制限し、緊急時にのみ使用する必要があります。 PA-5 の緊急アクセス制御 (緊急アクセスのセットアップ) を参照してください。
- 特権アクセス許可ポリシーを持つ IAM ID (ユーザー、グループ、ロール): AdministratorAccess などのアクセス許可ポリシーで割り当てられた IAM ID は、AWS のサービスとリソースへのフル アクセス権を持つことができます。
AWS の ID プロバイダーとして Azure Active Directory (Azure AD) を使用している場合は、Azure AD で特権ロールを管理するための Azure ガイダンスを参照してください。
また、ビジネスクリティカルなシステムにエージェントをインストールした AWS Cognito、セキュリティ ツール、システム管理ツールなど、ビジネスクリティカルな資産への管理アクセス権を持つ他の管理、ID、セキュリティ システムの特権アカウントも制限するようにしてください。 これらの管理システムおよびセキュリティ システムを侵害した攻撃者は、それらをすぐに悪用してビジネス クリティカルな資産を侵害することができます。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: GCP ホスト型リソースへの直接または間接的な管理アクセスを使用して、すべてのロールをセキュリティで保護する必要があります。
Google Cloud で最も重要な組み込みロールは、スーパー管理者です。 スーパー管理者は、管理 コンソールですべてのタスクを実行でき、取り消し不可能な管理アクセス許可を持っています。 日常的な管理にスーパー管理者アカウントを使用しないことをお勧めします。
基本ロールは非常に制限の厳しいレガシ ロールであり、基本的なロールは、すべての Google Cloud リソースに広範なアクセスを許可しているため、運用環境では使用しないことをお勧めします。 基本的なロールには、ビューアー、エディター、所有者の各ロールが含まれます。 代わりに、定義済みロールまたはカスタム ロールを使用することをお勧めします。 重要な特権定義済みロールには、次のものがあります。
- 組織管理者: このロールを持つユーザーは、IAM ポリシーを管理し、組織、フォルダー、プロジェクトのorganizationポリシーを表示できます。
- 組織ポリシー管理者: このロールを持つユーザーは、組織ポリシーを設定することで、organizationがクラウド リソースの構成に適用する制限を定義できます。
- 組織の役割管理者: このロールを持つユーザーは、その下のorganizationおよびプロジェクト内のすべてのカスタム ロールを管理できます。
- セキュリティ 管理: このロールを持つユーザーは、任意の IAM ポリシーを取得および設定できます。
- 拒否管理: このロールを持つユーザーには、IAM 拒否ポリシーの読み取りと変更を行うアクセス許可があります。
さらに、定義済みの特定のロールには、organization、フォルダー、およびプロジェクト レベルで特権 IAM アクセス許可が含まれています。 これらの IAM アクセス許可には、次のものが含まれます。
- organizationAdmin
- folderIAMAdmin
- projectIAMAdmin
さらに、さまざまなプロジェクトのアカウントにロールを割り当てるか、Google Kubernetes Engine でバイナリ承認を利用することで、職務の分離を実装します。
最後に、ビジネスクリティカルなシステムにエージェントをインストールしたクラウド DNS、セキュリティ ツール、システム管理ツールなど、ビジネスクリティカルな資産への管理アクセス権を持つ他の管理、ID、セキュリティ システムの特権アカウントも制限します。 これらの管理システムおよびセキュリティ システムを侵害した攻撃者は、それらをすぐに悪用してビジネス クリティカルな資産を侵害することができます。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
PA-2: アカウントとアクセス許可の継続的なアクセスを避ける
| CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| なし | AC-2 | 該当なし |
セキュリティ原則: 永続的な特権を作成する代わりに、Just-In-Time (JIT) メカニズムを使用して、さまざまなリソース層に特権アクセスを割り当てます。
Azure ガイダンス: Azure AD Privileged Identity Management (PIM) を使用して、Azure リソースと Azure AD への Just-In-Time (JIT) 特権アクセスを有効にします。 JIT は、悪意のあるユーザーまたは未認可ユーザーがアクセス許可の期限が切れた後にアクセスできないように、ユーザーに特権タスクを実行する一時的なアクセス許可を与えるモデルです。 ユーザーが必要な場合にのみ、アクセスが許可されます。 PIM を使用すると、Azure AD 組織に不審なアクティビティや安全でないアクティビティがある場合に、セキュリティ アラートを生成することもできます。
Microsoft Defender for Cloud の Just-In-Time (JIT) VM アクセス機能を使用して、機密性の高い仮想マシン (VM) 管理ポートへの受信トラフィックを制限します。 これにより、VM への特権アクセスは、ユーザーが必要な場合にのみ付与されます。
Azure の実装と追加のコンテキスト:
AWS ガイダンス: AWS セキュリティ トークン サービス (AWS STS) を使用して、AWS API を介してリソースにアクセスするための一時的なセキュリティ資格情報を作成します。 一時的なセキュリティ資格情報は、IAM ユーザーが使用できる長期的なアクセスキーの資格情報とほぼ同じですが、次の違いがあります。
- 一時的なセキュリティ資格情報には、分から数時間までの短期間の有効期間があります。
- 一時的なセキュリティ資格情報はユーザーと共に保存されませんが、動的に生成され、要求されたときにユーザーに提供されます。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: IAM 条件付きアクセスを使用して、Cloud Identity ユーザーに付与される許可ポリシーの条件付きロール バインドを使用してリソースへの一時的なアクセスを作成します。 特定のリソースにアクセスするための時間ベースの制御を適用するように、日付/時刻属性を構成します。 一時的なアクセスは、分から数時間までの短期間の有効期間を持つ場合や、曜日または時間に基づいて付与される場合があります。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
PA-3: ID とエンタイトルメントのライフサイクルを管理する
| CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 6.1、6.2 | AC-5、AC-6 | 7.1、7.2、8.1 |
セキュリティ原則: 自動化されたプロセスまたは技術コントロールを使用して、要求、レビュー、承認、プロビジョニング、プロビジョニング解除など、ID とアクセスのライフサイクルを管理します。
Azure ガイダンス: Azure AD エンタイトルメント管理機能を使用して、アクセス要求ワークフローを自動化します (Azure リソース グループの場合)。 これにより、Azure リソース グループのワークフローで、アクセスの割り当て、レビュー、有効期限、2 段階または複数段階の承認を管理できます。
Permissions Management を使用して、マルチクラウド インフラストラクチャ全体でユーザー ID とワークロード ID に割り当てられた未使用の過剰なアクセス許可を検出し、自動的に適切なサイズにし、継続的に監視します。
Azure の実装と追加のコンテキスト:
AWS ガイダンス: AWS Access Advisor を使用して、ユーザー アカウントのアクセス ログとリソースのエンタイトルメントをプルします。 AWS IAM と統合してアクセスの割り当て、レビュー、削除を管理するための手動または自動化されたワークフローを構築します。
注: ID とエンタイトルメントのライフサイクルを管理するために、AWS Marketplace で使用できるサードパーティのソリューションがあります。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: Google のクラウド監査ログを使用して、ユーザー アカウントとリソースのエンタイトルメントの管理者アクティビティとデータ アクセス監査ログをプルします。 GCP IAM と統合してアクセスの割り当て、レビュー、削除を管理するための手動または自動化されたワークフローを構築します。
Google Cloud Identity Premium を使用して、コア ID とデバイス管理サービスを提供します。 これらのサービスには、自動化されたユーザー プロビジョニング、アプリのホワイトリスト登録、自動モバイル デバイス管理などの機能が含まれます。
注: Google Cloud Marketplace には、ID とエンタイトルメントのライフサイクルを管理するために使用できるサードパーティ製のソリューションがあります。
GCP の実装と追加のコンテキスト:
- IAM アクセス アドバイザー
- クラウド ID と Atlassian Access: organization全体のユーザー ライフサイクル管理
- API へのアクセスの許可と取り消し
- Google Cloud プロジェクトへのアクセスを取り消す
顧客のセキュリティ利害関係者 (詳細情報):
PA-4: ユーザー アクセスを定期的に確認して調整する
| CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 5.1、5.3、5.5 | AC-2、AC-6 | 7.1、7.2、8.1、A3.4 |
セキュリティ原則: 特権アカウントのエンタイトルメントの定期的なレビューを実施します。 アカウントに付与されたアクセス権が、コントロール プレーン、管理プレーン、ワークロードの管理に有効であることを確認します。
Azure ガイダンス: Azure テナント、Azure サービス、VM/IaaS、CI/CD プロセス、エンタープライズ管理およびセキュリティ ツールなど、Azure のすべての特権アカウントとアクセス権を確認します。
Azure AD アクセス レビューを使用して、Azure AD ロール、Azure リソース アクセス ロール、グループ メンバーシップ、エンタープライズ アプリケーションへのアクセスを確認します。 Azure AD レポートでは、古いアカウントや、一定の時間使用されていないアカウントを検出するのに役立つログを提供することもできます。
また、Azure AD Privileged Identity Management を構成して、過剰な数の管理者アカウントが特定のロールに対して作成されたときにアラートを生成したり、古くなった管理者アカウントや不適切に構成された管理者アカウントを識別したりできます。
Azure の実装と追加のコンテキスト:
- Privileged Identity Management (PIM) で Azure リソース ロールのアクセス レビューを作成する
- Azure AD の ID およびアクセス レビューの使用方法
AWS ガイダンス: AWS アカウント、サービス、VM/IaaS、CI/CD プロセス、エンタープライズ管理およびセキュリティ ツールなど、AWS のすべての特権アカウントとアクセス権を確認します。
IAM Access Advisor、Access Analyzer、資格情報レポートを使用して、リソース アクセス ロール、グループ メンバーシップ、エンタープライズ アプリケーションへのアクセスを確認します。 IAM Access Analyzer と資格情報レポートレポートでは、古いアカウント、または一定の時間使用されていないアカウントを検出するのに役立つログを提供することもできます。
AWS の ID プロバイダーとして Azure Active Directory (Azure AD) を使用している場合は、Azure AD アクセス レビューを使用して特権アカウントを確認し、定期的にエンタイトルメントにアクセスします。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: クラウド ID アカウント、サービス、VM/IaaS、CI/CD プロセス、エンタープライズ管理およびセキュリティ ツールなど、Google Cloud のすべての特権アカウントとアクセス権を確認します。
クラウド監査ログとポリシー アナライザーを使用して、リソース アクセス ロールとグループ メンバーシップを確認します。 Policy Analyzer で分析クエリを作成して、特定のリソースにアクセスできるプリンシパルを決定します。
Google Cloud の ID プロバイダーとして Azure Active Directory (Azure AD) を使用している場合は、Azure AD アクセス レビューを使用して、特権アカウントを確認し、定期的にエンタイトルメントにアクセスします。
また、Azure AD Privileged Identity Management を構成して、過剰な数の管理者アカウントが特定のロールに対して作成されたときにアラートを生成したり、古くなった管理者アカウントや不適切に構成された管理者アカウントを識別したりできます。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
PA-5: 緊急アクセスを設定する
| CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| なし | AC-2 | 該当なし |
セキュリティ原則: 緊急時に重要なクラウド インフラストラクチャ (ID やアクセス管理システムなど) から誤ってロックアウトされないように緊急アクセスを設定します。
緊急時のアクセス アカウントは滅多に使うべきではなく、侵害されると組織に大きな損害を与える可能性がありますが、組織にとっての可用性も、必要に応じていくつかのシナリオで非常に重要になります。
Azure ガイダンス: Azure AD organizationから誤ってロックアウトされるのを防ぐために、通常の管理者アカウントを使用できない場合に、アクセス用に緊急アクセス アカウント (グローバル管理者ロールを持つアカウントなど) を設定します。 緊急アクセス用アカウントは高い特権を持っており、特定の個人に割り当てることはできません。 緊急アクセス用アカウントは、通常の管理者アカウントを使うことができない "緊急事態" に制限されます。
緊急アクセス用アカウントの資格情報 (パスワード、証明書、スマート カードなど) は安全に保管し、緊急時にのみそれらを使うことを許可された個人のみに知らせる必要があります。 また、このプロセスのセキュリティを強化するために、追加のコントロール (たとえば、資格情報を 2 つの部分に分割し、別のユーザーに付与するなど) を使用することもできます。 また、サインインログと監査ログを監視して、緊急アクセス アカウントが承認されたときにのみ使用されるようにする必要があります。
Azure の実装と追加のコンテキスト:
AWS ガイダンス: AWS の "ルート" アカウントは、通常の管理タスクには使用しないでください。 "ルート" アカウントは高い特権を持つため、特定の個人に割り当ててはいけません。 通常の管理アカウントを使用できない場合は、緊急または "重大な" シナリオにのみ使用する必要があります。 毎日の管理タスクでは、個別の特権ユーザー アカウントを使用し、IAM ロールを使用して適切なアクセス許可を割り当てる必要があります。
また、ルート アカウントの資格情報 (パスワード、MFA トークン、アクセス キーなど) がセキュリティで保護され、緊急時にのみ使用する権限を持つ個人にのみ認識されるようにする必要があります。 ルート アカウントに対して MFA を有効にする必要があります。また、このプロセスのセキュリティを強化するために、デュアル コントロール (資格情報を 2 つの部分に分割して別のユーザーに付与するなど) などの追加のコントロールを使用することもできます。
また、CloudTrail または EventBridge のサインイン ログと監査ログを監視して、ルート アクセス アカウントが承認されたときにのみ使用されるようにする必要があります。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: Google Cloud Identity スーパー管理者アカウントは、通常の管理タスクには使用しないでください。 スーパー管理者アカウントは高い特権を持つため、特定の個人に割り当ててはいけません。 通常の管理アカウントを使用できない場合は、緊急または "重大な" シナリオにのみ使用する必要があります。 毎日の管理タスクでは、個別の特権ユーザー アカウントを使用し、IAM ロールを使用して適切なアクセス許可を割り当てる必要があります。
また、スーパー管理者アカウントの資格情報 (パスワード、MFA トークン、アクセス キーなど) がセキュリティで保護され、緊急時にのみ使用する権限を持つ個人にのみ認識されるようにする必要があります。 スーパー管理者アカウントに対して MFA を有効にする必要があります。また、このプロセスのセキュリティを強化するために、デュアル コントロール (資格情報を 2 つの部分に分割して別のユーザーに付与するなど) などの追加のコントロールを使用することもできます。
また、Cloud Audit Logs でサインインログと監査ログを監視するか、ポリシー アナライザーにクエリを実行して、スーパー管理者アカウントが承認されたときにのみ使用されるようにする必要があります。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
PA-6:特権アクセス ワークステーションを使用する
| CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 12.8、13.5 | AC-2、SC-2、SC-7 | なし |
セキュリティ原則: セキュリティで保護された分離されたワークステーションは、管理者、開発者、重要なサービス オペレーターなどの機密性の高いロールのセキュリティにとって非常に重要です。
Azure ガイダンス: Azure Active Directory、Microsoft Defender、またはMicrosoft Intuneを使用して、特権アクセス ワークステーション (PAW) をオンプレミスまたは Azure にデプロイして特権タスクを実行します。 強力な認証、ソフトウェアとハードウェアのベースライン、制限された論理アクセスとネットワーク アクセスなどのセキュリティで保護された構成を実施するには、PAW を一元管理する必要があります。
また、仮想ネットワーク内にプロビジョニングできる完全なプラットフォーム管理の PaaS サービスである Azure Bastion を使用することもできます。 Azure Bastion では、Web ブラウザーを使用して、Azure portalから仮想マシンへの RDP/SSH 接続を直接行えます。
Azure の実装と追加のコンテキスト:
AWS ガイダンス: AWS Systems Manager のセッション マネージャーを使用して、EC2 インスタンスへのアクセス パス (接続セッション) または特権タスク用の AWS リソースへのブラウザー セッションを作成します。 セッション マネージャーでは、ポート転送を介して宛先ホストへの RDP、SSH、HTTPS 接続が許可されます。
また、Azure Active Directory、Microsoft Defender、またはMicrosoft Intuneを使用して一元的に管理される特権アクセス ワークステーション (PAW) をデプロイすることもできます。 中央管理では、強力な認証、ソフトウェアとハードウェアのベースライン、制限された論理アクセスとネットワーク アクセスなど、セキュリティで保護された構成を適用する必要があります。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: Identity-Aware プロキシ (IAP) デスクトップを使用して、特権タスク用のコンピューティング インスタンスへのアクセス パス (接続セッション) を作成します。 IAP Desktop を使用すると、ポート転送を介して宛先ホストに RDP および SSH 接続できます。 さらに、外部に接続されている Linux コンピューティング インスタンスは、Google Cloud コンソールを介してブラウザー内の SSH 経由で に接続される場合があります。
また、Google Workspace Endpoint Management または Microsoft ソリューション (Azure Active Directory、Microsoft Defender、Microsoft Intune) を通じて一元的に管理される特権アクセス ワークステーション (PAW) をデプロイすることもできます。 中央管理では、強力な認証、ソフトウェアとハードウェアのベースライン、制限された論理アクセスとネットワーク アクセスなど、セキュリティで保護された構成を適用する必要があります。
パラメーターが定義された信頼された環境に安全にアクセスするための要塞ホストを作成することもできます。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
PA-7: Just Enough Administration (最小限の特権の原則) に従う
| CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 3.3、6.8 | AC-2、AC-3、AC-6 | 7.1、7.2 |
セキュリティ原則: 十分な管理 (最小限の特権) の原則に従って、詳細なレベルでアクセス許可を管理します。 ロールベースのアクセス制御 (RBAC) などの機能を使用して、ロールの割り当てによってリソースへのアクセスを管理します。
Azure ガイダンス: Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、ロールの割り当てを通じて Azure リソース アクセスを管理します。 RBAC を使用して、ユーザー、グループ、サービス プリンシパル、マネージド ID にロールを割り当てることができます。 特定のリソースに対して定義済みの組み込みロールがあります。これらのロールは、Azure CLI、Azure PowerShell、Azure portal などのツールを使用してインベントリまたは照会できます。
Azure RBAC を使用してリソースに割り当てる特権は、常に、ロールで必要なものに制限する必要があります。 制限された特権は、Azure AD Privileged Identity Management (PIM) の Just-In-Time (JIT) アプローチを補完するものであり、それらの特権は定期的に確認する必要があります。 必要に応じて、PIM を使用して時間制限付き割り当てを定義することもできます。これは、ユーザーが指定した開始日と終了日内にのみロールをアクティブ化できるロールの割り当ての条件です。
注: Azure の組み込みロールを使用してアクセス許可を割り当て、必要な場合にのみカスタム ロールを作成します。
Azure の実装と追加のコンテキスト:
- Azure ロールベースのアクセス制御 (Azure RBAC) とは
- Azure で RBAC を構成する方法
- Azure AD の ID およびアクセス レビューの使用方法
- Azure AD Privileged Identity Management - 期限付きの割り当て
AWS ガイダンス: AWS ポリシーを使用して AWS リソースアクセスを管理します。 ポリシーには、ID ベースのポリシー、リソースベースのポリシー、アクセス許可の境界、AWS Organizations サービス制御ポリシー (SCP)、Access Controlリスト、セッション ポリシーの 6 種類があります。 一般的なアクセス許可のユース ケースには、AWS マネージド ポリシーを使用できます。 ただし、管理ポリシーには、ユーザーに割り当てるべきではない過剰なアクセス許可が含まれる可能性があることに注意する必要があります。
また、AWS ABAC (属性ベースのアクセス制御) を使用して、IAM リソースにアタッチされている属性 (タグ) (IAM エンティティ (ユーザーまたはロール) や AWS リソースなど) に基づいてアクセス許可を割り当てることもできます。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: Google Cloud IAM Policy を使用して、ロールの割り当てを通じて GCP リソースアクセスを管理します。 一般的なアクセス許可のユース ケースには、Google Cloud の定義済みのロールを使用できます。 ただし、定義済みのロールには、ユーザーに割り当てるべきではない過剰なアクセス許可が含まれる可能性があることに注意する必要があります。
さらに、ポリシー インテリジェンスと IAM レコメンダーを使用して、アカウントから過剰なアクセス許可を特定して削除します。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):
PA-8 クラウド プロバイダー サポートのアクセス プロセスを決定する
| CIS Controls v8 ID | NNIST SP 800-53 r4 ID | PCI-DSS ID v3.2.1 |
|---|---|---|
| 6.1、6.2 | AC-4、AC-2、AC-3 | 該当なし |
セキュリティ原則: ベンダー サポート要求を要求および承認するための承認プロセスとアクセス パスを確立し、セキュリティで保護されたチャネルを介してデータに一時的にアクセスします。
Azure ガイダンス: Microsoft がデータにアクセスする必要があるサポート シナリオでは、カスタマー ロックボックスを使用して、Microsoft によって行われた各データ アクセス要求を確認して承認または拒否します。
Azure の実装と追加のコンテキスト:
AWS ガイダンス: AWS サポート チームがデータにアクセスする必要があるサポート シナリオでは、AWS サポート ポータルでアカウントを作成してサポートを要求します。 読み取り専用データ アクセスの提供や、AWS サポートがデータにアクセスするための画面共有オプションなど、使用可能なオプションを確認します。
AWS の実装と追加のコンテキスト:
GCP ガイダンス: Google Cloud Customer Care がデータにアクセスする必要があるサポート シナリオでは、アクセス承認を使用して、Cloud Customer Care によって行われた各データ アクセス要求を確認して承認または拒否します。
GCP の実装と追加のコンテキスト:
顧客のセキュリティ利害関係者 (詳細情報):