246-AWS SAP AWS 「理論・実践・一問道場」信頼関係

理論

アカウントAのユーザーは、アカウントBで作成されたロールを引き受けることによって、アカウントBのリソースにアクセスできます。これは、ロールスイッチ（AssumeRole）によって実現されます。

クロスアカウントアクセスの安全な方法（AからBにアクセスする場合）

信頼関係を築いたロールを使用:

アカウントAからアカウントBにアクセスするには、まずアカウントBにIAMロールを作成し、そのロールに対してアカウントAのみがアクセスできるように設定します（信頼関係の設定）。

最小権限の原則:

アカウントBのロールには、アカウントAに提供する必要最小限の権限（例: 読み取り専用アクセス）だけを与えます。

ロールスイッチ（AssumeRole）によるアクセス:

アカウントAのユーザーは、AssumeRoleを使ってアカウントBのロールを引き受け、そこからアクセスを行います。

監査と監視:

CloudTrailを使って、アカウントAがアカウントBにアクセスした履歴を追跡・監視し、不正アクセスを防ぎます。

AWS Configで設定変更を監視し、設定ミスや不正な変更を防ぎます。

リスクと注意点

設定ミス:

アカウントBでの信頼関係設定を誤ると、アカウントA以外のアカウントが不正にアクセスできるようになってしまう可能性があります。

過剰な権限付与:

アカウントBのロールに不必要に広い権限（例えば、書き込み権限や管理者権限）を付与すると、セキュリティリスクが高まります。最小権限で設定することが重要です。

一問道場

会社は、複数の部門用に複数のAWSアカウントを中央で作成および管理する必要があります。セキュリティチームは、独自のAWSアカウントからすべてのアカウントに対して読み取り専用アクセスを持つ必要があります。会社はAWS Organizationsを使用しており、セキュリティチーム用のアカウントも作成しています。

この要件を満たすために、ソリューションアーキテクトはどのように対応すべきでしょうか？

A. OrganizationAccountAccessRole IAMロールを使用して、各メンバーアカウントに読み取り専用アクセスを持つ新しいIAMポリシーを作成します。そして、各メンバーアカウントのIAMポリシーとセキュリティアカウントとの間に信頼関係を確立します。セキュリティチームにそのIAMポリシーを使ってアクセスするよう依頼します。

B. OrganizationAccountAccessRole IAMロールを使用して、各メンバーアカウントに読み取り専用アクセスを持つ新しいIAMロールを作成します。そして、各メンバーアカウントのIAMロールとセキュリティアカウントとの間に信頼関係を確立します。セキュリティチームにそのIAMロールを使ってアクセスするよう依頼します。

C. セキュリティチームに、AWS Security Token Service (AWS STS)を使って、セキュリティアカウントから管理アカウントのOrganizationAccountAccessRole IAMロールに対してAssumeRole APIを呼び出すよう依頼します。生成された一時的な認証情報を使用してアクセスします。

D. セキュリティチームに、AWS Security Token Service (AWS STS)を使って、セキュリティアカウントからメンバーアカウントのOrganizationAccountAccessRole IAMロールに対してAssumeRole APIを呼び出すよう依頼します。生成された一時的な認証情報を使用してアクセスします。