IAMフェデレーション

フェデレーションを使用してコンソールへのログインを管理することをお薦めします。

• アイデンティティ・フェデレーションはSAML 2.0準拠のアイデンティティ・プロバイダをサポートしており、オンプレミスのユーザーとグループをIAMのユーザーとグループにフェデレートするために使用できます。企業の管理者は、オンプレミスのグループとIAMグループのマッピングの作成に加えて、オンプレミス・アイデンティティ・プロバイダ(IdP)とIAM間のフェデレーション・トラストを設定する必要があります。その後、オンプレミス・ユーザーが、コンソールにシングル・サインオン(SSO)し、所属するIAMグループの認可に基づいてリソースにアクセスできます。コンソールへのフェデレーションの詳細は、アイデンティティ・プロバイダによるフェデレーションを参照してください。フェデレーションは、ユーザー認証(たとえば、マルチファクタ認証)にカスタム・ポリシーを使用する企業にとって特に重要です。フェデレーションでのユーザーとグループの管理の詳細は、アイデンティティ・プロバイダによるフェデレーションを参照してください。
• フェデレーションを使用するときは、フェデレーション管理者グループを作成して、フェデレーテッドIdP管理者グループにマップすることをお薦めします。フェデレーション管理者グループは、顧客テナンシを管理する管理権限を持ち、フェデレーテッドIdP管理者グループと同じセキュリティ・ポリシーによって制御されます。このシナリオでは、非常時用シナリオ(たとえば、フェデレーションを介してリソースにアクセスできない場合)に対処するために、ローカル・テナンシ管理者ユーザー(つまりデフォルトのテナンシ管理者IAMグループのメンバー)にアクセスできるようにすることが大切です。ただし、高い権限を持つこのローカル・テナンシ管理者ユーザーが不正に使用されないようにする必要があります。テナンシ管理者ユーザーを安全に管理するために次のアプローチをお薦めします。
  1. デフォルトのテナンシ管理者グループに属するローカル・ユーザーを作成します。
  2. ローカル・テナンシ管理者ユーザー用に、非常に複雑なコンソール・パスワードすなわちパスフレーズ(18文字以上、少なくとも1つの小文字、1つの大文字、1つの数字および1つの特殊文字を含む)を作成します。
  3. ローカル・テナンシ管理者ユーザーのパスワードをオンプレミスの場所に安全に保護します(たとえば、パスワードを封筒に入れて封をしオンプレミスの実際の金庫に保管します)。
  4. 保管されたパスワードにアクセスするための、特定の「非常時」シナリオ専用のセキュリティ・ポリシーを作成します。
  5. セキュリティのすり抜けを防ぐため、フェデレーテッドIAM管理者グループが、デフォルト・テナンシ管理者グループのメンバーシップの追加または変更を行わないように、IAMセキュリティ・ポリシーを設定します。
  6. 監査ログをモニターして、デフォルト・テナンシ管理者によるアクセスと管理者グループに対する変更を確認し、認可されていない操作があればアラートを生成します。セキュリティを追加するには、パスワード・ポリシーに基づいて、ログインごとに、または定期的に、ローカル・テナンシ管理者ユーザーのパスワードをローテーションしてください。

様々なIAMコンポーネントの組合せの例は、ヘルス・チェックの詳細を参照してください。監査ログを定期的にモニターして、IAMのユーザー、グループ、ポリシー、コンパートメントおよびタグに対する変更を確認します。