ある企業が、AWS で運用するシステムのインシデント対応時に、特定の IAM ロールを持つセキュリティエンジニアが本番 EC2 インスタンスに時間限定(最大 2 時間)でアクセスできる仕組みを構築したい。アクセス後はすべての操作ログが記録され、承認なしに 2 時間を超えてアクセスし続けることができないようにしたい。最も適切なアーキテクチャはどれか。
- A. AWS IAM Identity Center でセキュリティエンジニア用のアクセス許可セットを作成し、セッション期間を 2 時間に設定する。Session Manager を使って EC2 にアクセスし、セッションログを CloudWatch Logs と S3 に記録する。
- B. セキュリティエンジニアが必要なときに IAM ユーザーのアクセスキーを生成し、2 時間後に手動で削除する。
- C. セキュリティエンジニアの IAM ロールに EC2 へのフルアクセスを付与し、作業完了後に権限を手動で削除する。
- D. 踏み台 EC2 を本番 VPC に配置し、セキュリティエンジニアが踏み台経由で EC2 にアクセスする。2 時間後に踏み台を停止する。
解答と解説を見る
正解: A
AWS IAM Identity Center のアクセス許可セットにはセッション時間の設定(最大 12 時間)があり、2 時間に設定することでセッションが自動的に終了し、2 時間を超えてアクセスし続けることができない。Session Manager を使うと SSH ポート不要でインスタンスにアクセスでき、すべての操作(コマンド・出力)が CloudWatch Logs と S3 に自動記録される。監査証跡として完全なログが残る。選択肢Cは手動での権限削除が必要で、担当者が削除を忘れた場合に 2 時間超のアクセスが可能になる。自動制限がない。選択肢Bはアクセスキーの手動生成・削除であり、自動制限がなく管理漏れのリスクがある。また静的なアクセスキーはセキュリティリスクが高い。選択肢Dの踏み台 EC2 の停止も有効だが、Session Manager に比べてSSH鍵の管理が必要で、操作ログの自動記録機能がない。
📚 関連サービスの解説: AWS IAM Identity Center ・ AWS Systems Manager