みなみの風物詩
type
status
date
slug
summary
tags
category
icon
password
 

理論

AWS Lambda の権限管理と最小権限の原則

AWS Lambda はサーバーレスアーキテクチャを支える重要なサービスですが、セキュリティを確保するためには適切なアクセス管理が必要です。Lambda の権限管理において重要な概念は「最小権限の原則」と「IAM ロール」です。

1. 最小権限の原則

最小権限の原則は、システムやサービスが動作に必要な最低限のアクセス権のみを付与するというセキュリティの原則です。この原則を守ることで、万が一セキュリティが侵害されても被害を最小限に抑えることができます。Lambda関数の場合、関数が必要とするリソースに対してのみ権限を付与することが求められます。

2. Lambda の IAM ロール

Lambda 関数は、リソースにアクセスするために IAM ロールを使用します。この IAM ロールに付与されるポリシーが、関数が呼び出し時にどのリソースにアクセスできるかを決定します。
例えば、Lambda が S3 バケットにアクセスする必要がある場合、その関数に関連付けられた IAM ロールには、S3 バケットに対する適切なアクセス権(例:s3:GetObject)を含むポリシーが必要です。

3. CloudTrail と IAM Access Analyzer

CloudTrail は AWS のサービスにおける API コールをログとして記録するサービスで、Lambda 関数が実行される際の API コールを追跡できます。このログを解析することで、関数がどのリソースにアクセスしているかを特定できます。
IAM Access Analyzer は、この CloudTrail のログから自動的に最小権限を抽出し、適切な IAM ポリシーを提案するツールです。

4. Lambda 関数の権限を最小化する方法

  • CloudTrail を有効化して、Lambda の実行ログを記録し、関数が実際にどのリソースにアクセスしているのかを監視します。
  • IAM Access Analyzerを使用して、CloudTrail の記録から必要なアクセス権を特定し、それに基づいて最小限の IAM ポリシーを生成します。
  • アクセスポリシーのレビューと調整を行い、必要なリソースのみへのアクセスを許可するようにします。
これらのステップを踏むことで、Lambda 関数が持つべき最小権限を確実に設定し、セキュリティを向上させることができます。

実践

一問道場

問題 #129
トピック 1
企業のサーバーレスアプリケーションの外部監査により、IAMポリシーが過剰な権限を付与していることが判明しました。これらのポリシーは企業のAWS Lambda実行ロールにアタッチされています。企業のLambda関数の何百もが、Amazon S3バケットやAmazon DynamoDBテーブルへのフルアクセス権など、広範なアクセス権限を持っています。企業は、各関数がそのタスクを完了するために必要な最小限の権限のみを持つようにしたいと考えています。
ソリューションアーキテクトは、各Lambda関数に必要な権限を特定しなければなりません。
最小限の労力でこの要件を満たすには、ソリューションアーキテクトは何をすべきですか?
A. Amazon CodeGuruを設定してLambda関数をプロファイリングし、AWS API呼び出しを検索します。
各Lambda関数に必要なAPI呼び出しとリソースのインベントリを作成し、新しいIAMアクセスポリシーを各Lambda関数に作成します。
新しいポリシーが企業のビジネス要件を満たしていることを確認します。
B. AWS CloudTrailログをAWSアカウントで有効にします。
AWS Identity and Access Management Access Analyzerを使用して、CloudTrailログに記録されたアクティビティに基づいてIAMアクセスポリシーを生成します。
生成されたポリシーが企業のビジネス要件を満たしていることを確認します。
C. AWS CloudTrailログをAWSアカウントで有効にします。
CloudTrailログを解析するスクリプトを作成し、Lambda実行ロールによるAWS API呼び出しを検索して要約レポートを作成します。
レポートを確認し、各Lambda関数により制限された権限を提供するIAMアクセスポリシーを作成します。
D. AWS CloudTrailログをAWSアカウントで有効にし、CloudTrailログをAmazon S3にエクスポートします。
Amazon EMRを使用して、Amazon S3に格納されたCloudTrailログを処理し、各実行ロールによるAPI呼び出しと使用されたリソースのレポートを作成します。
各ロールの新しいIAMアクセスポリシーを作成し、生成されたロールをS3バケットにエクスポートします。
生成されたポリシーが企業のビジネス要件を満たしていることを確認します。

解説

解説:

  • Bが最適: CloudTrailを有効にし、IAM Access Analyzerを使用してLambda関数の必要な権限を自動的に特定し、最小権限のポリシーを生成する方法です。最も効率的で最小の手間で実現可能です。
  • 他の選択肢:
    • A: CodeGuruは権限特定には不向き。
    • C: CloudTrailログの手動解析は煩雑。
    • D: EMRは過剰な処理で、権限特定には不必要。
相关文章
クラウド技術の共有 | AWS Site-to-Site
Lazy loaded image
EKSでのWordPressデプロイ:KCNA-JP試験対策 (Kubernetes実践編)
Lazy loaded image
初心者向け!コンテナ化WordPressサイト構築ガイド(超詳細版)
Lazy loaded image
EFSを活用!AWS EC2でDockerを使ったWordPressサイト構築
Lazy loaded image
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
Lazy loaded image
528-AWS SAP AWS 「理論・実践・一問道場」Migration Evaluator
Lazy loaded image
130-AWS SAP AWS 「理論・実践・一問道場」AWS Compute Optimizer128-AWS SAP AWS 「理論・実践・一問道場」VPCピアリング
Loading...
みなみ
みなみ
一个普通的干饭人🍚
最新发布
02-生成AIパスポート試験対策:第2章「生成AI」
02-生成AIパスポート試験対策:第2章「生成AI」
2025-2-1
01-生成AIパスポート試験対策:第1章「人口知能」
01-生成AIパスポート試験対策:第1章「人口知能」
2025-2-1
究極のAWS認定 AI 実践者 AIF-C01 - 学習メモ
究極のAWS認定 AI 実践者 AIF-C01 - 学習メモ
2025-1-27
不要再傻傻的直接买NISA啦
不要再傻傻的直接买NISA啦
2025-1-27
Kubernetes、仮想マシンとコンテナの概念を超簡単に解説!
Kubernetes、仮想マシンとコンテナの概念を超簡単に解説!
2025-1-24
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
2025-1-22
公告
🎉欢迎访问我的博客🎉
- 感谢您的支持 --
本站点于2024/09/01建立
👏主要分享IT相关主题👏
系统管理:
Redhat…
容器和编排:
Kubernetes、Openshift…
云计算:
AWS、IBM…
AI入门
以及技术笔记和考证经验
定期更新,欢迎互动。
感谢访问!
快速浏览相关标签
标签 | みなみの風物詩
自分らしく未来へ
标签 | みなみの風物詩
https://notion-next-theta-gray.vercel.app/tag
标签 | みなみの風物詩
 
目录
0%