AWSマネジメントコンソールログイン時のアカウントロック実現方法#1

はじめに

AWSにてシステム構築を実施する際、PCI DSS要件に準拠させたい場面があると思います。

準拠させる要件の一つとして、システムログイン時の連続失敗時におけるアカウントロックがあります。
これを、任意のユーザーがマネジメントコンソールログイン時、ログインを連続失敗した際に、
そのユーザーアカウントをロックさせる機能(以下、アカウントロックと呼ぶ)を実現する方法を考えます。

AWSサービスから考えると、IAMで実現できそうな予想ができますが、IAMではアカウントロックの機能を提供しておりません。
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html

サインインが指定された回数失敗したユーザーをアカウントからロックアウトするために、「ロックアウトポリシー」を作成することはできません。セキュリティを強化するために、強力なパスワードポリシーと Multi-Factor Authentication (MFA) を組み合わせることをお勧めします。

IAMの他にも、AWSサービス単体でアカウントロック機能を提供しているサービスはないため、
マネジメントコンソールでのログイン時にアカウントロック機能を実装したい場合は、作り込みが必要になります。

実現案としてどのような方法があるか、見ていきます。

実現方法

実現案としては、以下の方法があります。

AWS Directory Serviceによるアカウントロック機能の実装
Cognito +AWS Directory Serviceを利用した方法
CloudTrail +Lambda +DynamoDB +CloudWatchを利用した方法

それぞれの実現案について、エントリーを分けてご紹介していきます。
本記事では、「1.AWS Directory Serviceによるアカウントロック機能の実装」の概要に触れます。

1.AWS Directory Serviceによるアカウントロック機能の実装

AWS Directory Service(以下、ADと呼ぶ)を利用し、アカウントロックを実現させる方法です。

ADの認証情報を利用し、マネジメントコンソールログイン時に認証させる
ログイン時のユーザーアカウントはIAMユーザーではなく、ADドメインのユーザーとなる
アカウントロックを定義するポリシーは、AD側のポリシーを用意し適用させる

ADの認証情報により、AWSマネジメントコンソールへのアクセスを制御することが可能です。
https://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/ms_ad_management_console_access.html

AWS Management Console へのアクセスを有効にする
デフォルトでは、コンソールへのアクセスが有効化されたディレクトリはありません。ディレクトリのユーザーおよびグループによるコンソールアクセスを有効にするには、以下の手順を実行します。

ログイン時の認証情報としてADの認証情報を利用していることから、
対象となるユーザーアカウントは、IAMユーザーではなくADドメインに登録されているユーザーとなります。

要となるアカウントロックのポリシーは、ADのポリシーで定義します
https://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/supportedpolicysettings.html

アカウントロックアウトのポリシー
パスワードポリシーでは以下のプロパティを変更することもでき、Active Directory がログインの失敗後にアカウントをロックアウトするかどうかと、その方法を指定できます。

特徴

ADのドメインユーザーをAWSコンソールへログインさせたい場合はこちらの実現案が都合が良い
ユーザー管理をADに集約させることで、IAMで二重にユーザー管理を行う必要がない
IAMでのアイデンティティ制御を利用している場合は、管理が複雑になる可能性がある

まとめ

本エントリーでは、マネジメントコンソールログイン時のアカウントロックの実現案と、
AWS Directory Serviceを利用した場合の方法について、その概要について触れました。

PCI DSS監査を実施されている企業など、セキュリティ要件の高い案件におけるAWSのアクセス管理は、
IAMだけでは実現できない可能性があり、今回のアカウントロック機能もその一つかと思われます。

次回は、今回ご紹介できなかった「Cognito +AWS Directory Serviceを利用した方法」と
「CloudTrail +Lambda +DynamoDB +CloudWatchを利用した方法」について触れます。

また、いずれの実現案についても実際に機能を実装し、メリットデメリットについて深掘りしていきます。

次回までお待ちください！

AWSマネジメントコンソールログイン時のアカウントロック実現方法#1

はじめに

実現方法

1.AWS Directory Serviceによるアカウントロック機能の実装

特徴

まとめ

アイレット中途採用グループに特化した独自の『リスキリング研修』

RHEL9にPHP8.3系をインストールする

X (旧 Twitter) を複数人で安全に運用する方法

Roblox BlenderからのImport

『Generative AI Use Cases JP』でAmazon BedrockとAmazon Kendraを使ったRAG機能付き生成AIチャットを試してみた

AWSマネジメントコンソールログイン時のアカウントロック実現方法#1

はじめに

実現方法

1.AWS Directory Serviceによるアカウントロック機能の実装

特徴

まとめ

関連記事Related Articles

【AWSマネジメントコンソール】アカウントロック・パスワードポリシー・MFA要件の実現#1

【PCI DSS要件】AWSマネジメントコンソールログイン時のアカウントロック実現方法#2

IAMロールに付与された権限(PolicyDocuments)を1回で取得するPythonスクリプト

お利口な猿発見！ IAM APEを活用したAWS IAMの確認

IAMポリシーでNotActionを使用する場合の注意点