AWSが「IAM Roles Anywhere」発表。一時的にAWSへのアクセス権をAWSの外側にあるワークロードに付与

Amazon Web Services(AWS)は、AWSの外側にあるワークロードに対して一時的にAWSリソースへのアクセス権を付与できる「IAM Roles Anywhere」を発表しました。

一般に、AWSの外側からAWSへアクセスする場合、例えば、オンプレミスで稼働しているデータベースのバックアップをAWSのAmazon S3へ保存する、といった場合、Amazon S3へアクセス可能なアクセスキーやシークレットをオンプレミス側のバックアップソフトなどに持たせることが一般的です。

ただしこのアクセスキーやシークレットなどが漏洩してしまうと大きなセキュリティ上の問題になってしまうリスクがあります。

そこで、オンプレミスや他のクラウド上にあるソフトウェアなどに対して、必要なときだけ一時的に使えるアクセス権を提供できるようにすることで、セキュリティ上のリスクを大きく下げることを可能にするのが「IAM Roles Anywhere」です。

下記はAWSのブログ「Extend AWS IAM roles to workloads outside of AWS with IAM Roles Anywhere」から、説明を引用します。

With IAM Roles Anywhere, you can deliver short-term credentials to your on-premises servers, containers, or other compute platforms. When you use IAM Roles Anywhere to vend short-term credentials you can remove the need for long-term AWS access keys and secrets, which can help improve security, and remove the operational overhead of managing and rotating the long-term credentials.

IAM Roles Anywhereによりオンプレミスのサーバ、コンテナ、その他のコンピュートプラットフォームに短期的なクレデンシャルを提供できます。IAM Roles Anywhereを使用して短期的なクレデンシャルを提供することで長期的なAWSアクセスキーとシークレットが不要になり、セキュリティを向上させ、長期的なクレデンシャルの管理やローテーション運用のためのオーバーヘッドを取り除くことができるようになります。

AWS外のワークロードは一時的なAWSクレデンシャルのためにIAM Roles Anywhereを使用してX.509証明書を交換します。この証明書は、IAM Roles Anywhereでトラストアンカー(信頼できるルート)として登録したCAによって発行されます。

そのためIAM Roles Anywhereでは、既存のPKIシステムのCAか、あるいはAWS Certificate Manager Private Certificate Authority (ACM PCA)で作成したCAを利用する必要があると説明されています。