はぐれメタルはにげだした

身近な趣味からテクニカルな話題まで幅広く取り扱っていきます

技術

AWSでIAMユーザのパスワードポリシー設定方法

投稿日:

この記事の所要時間: 42

IAMのデフォルトのパスワードポリシーは非常に低セキュリティです。

どれくらい低セキュリティかというと aaaaaa とか 123456 とか6文字以上の文字列なら何でもパスワードとして設定できてしまうのです。他人から容易に推測されやすいパスワードを使うことはセキュリティ上あまりよろしくありません。

そのようなパスワードを設定できないようにするため、パスワードポリシーを強化するのが今回の目的です。

パスワードポリシー設定手順

IAMの管理画面を開く

マネジメントコンソールからIAMの管理画面を開きます。

前回書いた 【AWS】IAMユーザーとIAMロールの違いを理解して適切に権限管理する の記事までで、セキュリティステータス的には5項目中4項目のチェックを完了しています。

今回は最後の1つ、IAMパスワードポリシーの適用です。

パスワードポリシーの設定

左ペインのメニューから「アカウント設定」を開くと、現在設定されているパスワードポリシーが表示されます。

設定項目としては、大まかに以下の3つの分類になります。

・パスワードの長さ
・文字種ルール
・更新ルール

パスワードの長さ

パスワードとして設定すべき最小文字数です。デフォルトでは最小6文字の設定ですが、少なくとも8文字以上には設定しておくことが望ましいと思います。長ければ長いほど推測されにくいパスワードとなるからです。

文字種ルール

パスワードに最低限含める文字種について、以下4つのポリシーを設定できます。基本的には全てのチェックを入れることが望ましいと思います。文字種が多様であればあるほど推測されにくいパスワードとなるからです。

項目 パスワードに含めなければいけない文字パターン
少なくとも1つの大文字が必要 ABCDEFGHIJKLMNOPQRSTUVWXYZ
少なくとも1つの小文字が必要 abcdefghijklmnopqrstuvwxyz
少なくとも1つの数字が必要 0123456789
少なくとも1つの英数字以外の文字が必要 !@#$%^&*()_+-=[]{}|’

パスワード更新ルール

パスワードの定期更新と、更新後の新規パスワードに対する制限も可能です。

項目 内容
パスワードの失効を許可 パスワードに有効期限を設け、期限に達したら強制的に変更させる。期限は1日〜1095日(3年)の範囲で定義できる
パスワードの再利用を禁止 過去に使用したことがあるパスワードは、新規パスワードとして再利用できないようにする。過去1〜24世代の範囲で再利用を禁止にできる。
パスワードの有効期限で管理者のリセットが必要 パスワードが失効された場合にロックをかける。管理者がロック解除するまで当該ユーザを使用できないようにする。

新ポリシーを適用してみる

今回はパスワードの長さを8文字に、文字種ルールを4つ全てにチェックしてみます。左下の「パスワードポリシーの適用」をクリックすると設定が反映されます。

ポリシーの反映後にダッシュボードを開くと、セキュリティステータスが全て完了に変わっています。以上でAWSが推奨するセキュリティ対策要件を全て満たしたことになります。

まとめ

IAMユーザはパスワードポリシーを柔軟に定義することができます。パスワードの運用ポリシー自体は各企業毎に取り決められていると思いますので、自社の方針に合ったポリシーを適用すれば良いでしょう。

もちろんパスワードだけではまだセキュリティ的に弱い部分もありますので、MFA(他要素認証)も併用することをオススメします。AWSルートアカウントのMFA設定方法の記事にルートアカウントのMFA設定について書きましたが、IAMユーザでも同じように2段階認証を有効化することができますので参考にしてください。

また、IAMはActiveDirectoryなどAWSの外部で運用されてるユーザと連携してIDフェデレーションすることもできます。

公式ドキュメント:IDプロバイダーとフェデレーション

フェデレーションは外部システム側でも設定が必要になるので敷居は若干上がりますが、導入すればユーザを一元管理できるので運用は楽になると思います。

-技術
-, ,

関連記事

AWSアカウントの作成方法と無料で使い続けるたった1つの方法

この記事の所要時間: 746

この記事の所要時間: 約 7分46秒 多くのクラウドサービスでは、サービスを試用するための無料枠が用意されています。 AWSでも色々なサービスの無料枠が提供されていますが、EC2などほとんどのサービス …

AWSルートアカウントのMFA設定方法

この記事の所要時間: 432

この記事の所要時間: 約 4分32秒 通常のログインメージ MFA設定後のログインメージ ルートアカウントはAWSに対するフルアクセス権限を持っているため、もし第三者に流出し悪用されてしまうと甚大な損 …

AWS構成図の自動生成ツールCloudMapperを試した話

この記事の所要時間: 145

この記事の所要時間: 約 14分5秒 AWSのシステム構成図を作るツールとしてはcacooやcloudcraftなどが有名です。 僕はcacooを愛用していますが、できることなら自動でパパッと作ってく …

AWS WAFマネージドルールの致命的な1つのデメリット

この記事の所要時間: 1231

この記事の所要時間: 約 12分31秒 企業がWAFを導入するにあたって頭を悩ませるポイントはいくつかありますよね。 いま世の中ではどんな攻撃が蔓延ってるのか、それらの攻撃からサービスを守るにはどんな …

AWS WAFでWordPressを保護するための設定例

この記事の所要時間: 1538

この記事の所要時間: 約 15分38秒 AWS WAFはセットアップするだけならクリックぽちぽちでいけるので非常に簡単なんですが、いざ運用を検討しだすとハマりポイントがいくつも出てきて頭を悩ませてしま …

プロフィール

プロフィール



はぐれん@フリーランサー

10代〜20代前半くらいまではガンガンいこうぜ。20代半ばで鼻っ柱を砕かれて一度はめいれいさせろの支配下に置かれかけたものの、いや逃げりゃいいんじゃんって気付いてからはまた違う世界が見えて来た。30代半ばに差し掛かった今、いろいろやろうぜ。