こんにちは、佐々木です。 報告が遅くなりましたが、JAWS DAYS 2025で、「IAMのマニアックな話 2025 IAMのベストプラクティスは5年間でどう変わったのか?」というタイトルで登壇しました。
登壇資料とセッション動画
まずは登壇資料と、セッション動画です。20分という枠内では喋りきれないほど詰め込んだのですが、冒頭1分ほどマイクをオフのまま話していたために無音でした。つかみの部分で、せっかく渾身のジョークを放ったのに残念でした。
話の構成と、特に主張したかった論点
セッションでは、IAMのマニアックな話 2019として主にIAMポリシーの管理の仕方を説明後に、2025年版としてIAMがどのように変わってきているのかを、私の視点から語っています。2025年と言いつつ、未来はこうなっていくのではないかという予想の部分が大きく占めていました。方向性としては、今後は権限の動的管理が増えてきて、細かい部分まで人間が一つ一つ管理するより、大方針の元にAIが自動的に設定するのではないかと予想しています。
というのも、認証認可の部分が難しくなりすぎていて、全部理解して設定するには遠からず限界がくるのではないかなと思っているからです。また攻撃手段の多様化に対して、より即時性が求められるようになるはずです。そんな文脈の中で、特に反響が大きかったのが次の3つです。
最小権限のジレンマ
まずは最小権限のジレンマです。これは、2019年度版の出版当時からテーマの一つとして取り扱っていました。ベストプラクティスとして最小権限が正しいのは解るが、それを実現するのは難しい。もっと言うと、ユーザーが実現したいのは最小権限ではなく安全にシステムを運用できることです。これについては、会場でも共感して頂ける人が多かったと思います。
AWS Verified Accessは、単なるVPNの代替サービスにあらず
次になるほどと言ってもらえるのが多かったのが、AWS Verified Accessは単なるVPNの代替サービスではなく、AWSのリソースを動的に管理するうえで重要な要素になってくるのではという主張です。Verified Access自体、まだまだ知名度が低いサービスです。また紹介される際も、VPNでAWS内のリソースを利用できるといったものが多いので、VPNの代替サービスと認識している人も多いのではないでしょうか?
たしかに構成例を見ていると、VPNレスのサービスとして利用できることが解ります。実現できることも、VPNと重複することが多いです。でも、やっぱり名前についているVerified Access(検証済みのアクセス)というのが重要で、検証されたアクセスを動的に制御できるところが肝なんではないでしょうか。更に端末側の検証も可能となっています。この辺りは、今後さらに掘り下げようと考えています。
AWS IAM Identity Centerを巡る3つの管理者問題
最後は、AWS IAM Identity Centerを巡る管理主体の問題です。Iam Identity Centerは、ユーザーを管理するIdPと実際に使うAWSアカウント、そしてユーザーとAWSアカウントを結びつけ認可をコントロールする権限セットが登場します。そして問題は、それぞれの管理者が違うことが多いという点です。3つとも別々に管理されるケースとしては、IdPが情シス部門でIAM Identity CenterがCCoE組織、そしてAWSアカウントが事業部門といった感じです。
これ自体が悪い訳ではないのですが、管理主体が違うわけなので問題が発生しがちです。ここの部分は関わっている人は少ないのでピンとくる人は少なかったものの、一方で首がもげるほど頷いてくれる人もいました。今回のセッションでは問題提起のみで、解決案については明示しておりません。また別の機会で話そうと思います。
まとめと宣伝
JAWS DAYSは、2024年に続き2年連続の登壇です。参加者の熱気は素晴らしく、この舞台を運営している有志の皆様には大変感謝です。ありがとうございます。
最後に宣伝ですが、2025年4月17日の12時から、『企業版AWS IAMのマニアックな話 2025』と題して、企業が今後IAMや認証認可にどう向き合えばよいのかのWebinarをします。JAWS Daysの話は技術的な側面で語っていますが、次は組織という観点でのお話になります。当然ながらAWS OrganizationsやIdP、あるいは請求代行などリセラー経由の利用についても関係してきます。その辺りにご興味がある方は、ぜひWebinarにご参加ください。お待ちしております。
