本ドキュメントでは、ログイン認証アカウント権限付与権限の割り当てなど、RAMの使用に関するベストプラクティスを紹介します。 RAMを最大限に利用することで、ユーザー管理とリソースアクセス管理をより効率的に実行できるようになります。

ログイン認証

ROOTアカウントとRAMユーザーのMFAを有効化
  • ROOTアカウントを使用するたびにMFAが実行されるように、多段階認証(MFA)を有効化するようお勧めします。
  • また、リスクの高い権限 (仮想マシンの停止、バケットの削除など) を付与するRAMユーザーを作成した場合は、 MFA を有効化するようお勧めします。

ユーザーログインに強力なパスワードポリシーを設定

  • RAMユーザーよりのログインパスワード変更を許可する場合は、ユーザーに強力なパスワードの設定やパスワードの定期的の変更を促す必要があります。
  • 文字列の長さ、英字以外の文字が必要かどうか、更新サイクルなおどの、パスワードポリシーをRAMコンソールで作成することができます。 

ユーザーのログインパスワードとアクセスキーの更新

  • ログインパスワードやアクセスキーの更新は、定期的に実行するようお勧めします。 資格情報の漏洩が気づかないうちに発生したとしても、その資格情報は有効期限で制限されています
  • パスワードポリシーを作成し、RAMユーザーにパスワードやアクセスキーの定期的な更新を強制的に実行させることができます。

アカウント権限付与

最小権限の原則に準拠

最小権限の原則はセキュリティデザインにおける基本原則です。 RAM ユーザーへの権限付与 が必要な場合、ユーザーに仕事に必要な権限のみを付与します

たとえば、組織内で開発者グループ(またはアプリケーションシステム)の責任はOSSバケットに保存されたデータの読み取りのみの場合は、グループ(またはアプリケーションシステム)に読み取り専用権限のみを付与してください。 OSSリソースのすべての権限、またはすべてのプロダクトのリソースにアクセスする権限を付与する必要がありません。

条件付きポリシーでセキュリティを強化

ユーザーに権限を付与する時に条件付きポリシーを設定してセキュリティを強化するようお勧めします。

たとえば、ユーザーにECSインスタンスを停止する権限を付与しますが、その条件としては会社ネットワークで特定の時点に実行する必要があります。

不要になった権限を取り消し

ユーザーロールが変更され、付与した権限が不要になった場合は、その権限を取り消す必要があります。 RAMユーザーにポリシーをアタッチを 参照してください。

そうすることで、資格情報の漏洩によりセキュリティ上のリスクを最小限に抑えることができます。

権限の割り当て

ROOTアカウントにアクセスキーを作成しない

ROOTアカウントにはそれに属するすべてのリソースの完全権限を持つため、アクセスキーの作成を避けてください。

グループを通してRAMユーザーに権限を付与

一般的に、RAMユーザーに権限付与ポリシーをアタッチする必要がありません。 ユーザーの責任に関連するグループ(管理者、開発者、財務グループなど)を作成し、 適切な権限付与ポリシーをグループにアタッチして、グループにユーザーを追加した方が便利です。 グループ内のすべてのユーザーに権限を共有されます。

よって、グループ内のすべてのユーザーの権限調整操作は、1回のみで済みます。 組織にユーザーが転入してくる場合は、そのユーザーが所属するグループを変更するだけで済みます。

ユーザーの管理、権限の管理、及びリソースの管理を分離

RAMを使用する場合、RAMユーザー管理、RAM権限管理、 各プロダクトのリソース操作管理など、さまざまな権限を持つRAMユーザーを作成する必要があります。 優れた権限ベース管理システムは、セキュリティリスクを最小限に抑える必要があります。

APIユーザーからコンソールユーザーを分離

RAMユーザーのために、コンソール操作用のログインパスワードとAPI操作用のアクセスキーを同時に作成することをお勧めしません。 社員にログインパスワードのみを作成し、システムとアプリケーションにアクセスキーのみを作成するようお勧めします。