Wasabi
初めてWasabiを利用する場合の留意点 ~ユーザー管理ベストプラクティス~
初めてWasabiを利用する場合の留意点
~ユーザー管理ベストプラクティス~
By Kazuyuki Fukaya
シニア ソリューション アーキティクト
このブログでは、初めてWasabi Hot Cloud Storageを利用する管理者を対象に、重要な機能である「ユーザー管理」にフォーカスを当てて、それに関連するベストプラクティスを説明します。
実際にクラウド・ストレージのサービスを利用するにあたり、一番最初に管理者として行う作業は、ユーザー作成や権限付与などの操作であり、ぜひ、下記に解説する内容を理解して、Wasabi Hot Cloud Storageを最大限活用して下さい。
ユーザ管理のベストプラクティス
Wasabi Hot Cloud Storageを安全かつ最適に、利用するためには、ユーザー管理を適切に実施することが重要です。そのためにも、特に、利用はじめの場合、以下の点を考慮し、正しいユーザー管理を心掛けるようにして下さい。
- 管理者特権アカウントを保護すること
- 利用者の役割に応じて、適切なユーザーアカウントの権限を割り当てること
- ユーザーアカウントの認証情報を適切に管理すること
ユーザーアカウント自体に対してのセキュリティー対策は、別途考慮する必要が有りますので、その点は、今後、別のブログで説明する予定です。ここでは、あくまでも、管理者向けにどのようにユーザーを管理するかに焦点を当てて、「ユーザー管理のベストプラクティス」を解説します。以降のセッションでは、そのベストプラクティスに関連する基本となる考え方に続けて、ユーザー管理の具体的な運用に関する詳細を説明します。
ユーザー管理のための基本的な考え方
ゼロトラストセキュリティアプローチとは
ゼロトラストセキュリティアプローチとは、ネットワークでのセキュリティを強化する考え方を拡張し、アプリケーションやサービスへのアクセスにも適用できるようにしたものです。その根幹に有るのは、『すべてのデバイス、ユーザーとアプリケーションは、ネットワークの内外を問わず、信頼されるべきではない』という考え方です。
例えば、「ユーザーが正しいパスワードを入力できた」という理由だけで、そのユーザーに対して全幅の信頼を与えてはいけません。ユーザー管理においては、このようなアプローチで、企業の情報資産を守ることに繋がり、より安全にサービスを利用することができます。そのため、ユーザー管理においても、このゼロトラストセキュリティアプローチを念頭に常に、何が最善かを考えることが重要になります。
最小特権の原則とは
最小特権の原則とは、『ユーザーに必要最小限のアクセス権限のみを割り当てる』という考え方です。
1つのユーザーにすべての権限を集中させると、システムやアプリケーションに対する脆弱性が増大します。ユーザーの役割に応じた権限を付与するようなユーザー管理を実施することで、そのような脆弱性は、減少または無くすことに繋げれます。
例えば、ファイルの閲覧しか必要のないユーザーが居る場合、その場合には、閲覧権限のみを付与することで、間違って、そのユーザーにより、ファイルが削除されたり、書き換えたりされるのを防ぐことができます。ユーザーに必要以上の権限を与えることにより、思いがけないミスを誘発したり、セキュリティインシデントに繋がります。
このように、ユーザー管理においては、この「最小特権の原則」に従って、設定などを実施することが重要になります。
ユーザ管理の具体的な運用
管理者特権アカウントを保護する
Wasabiのサインアップ時に作成したアカウントは、管理者権限を持つルートアカウントと呼ばれます。初回のWasabiコンソールへのログインは、このルートアカウントを利用して、様々な設定をすることになります。その後、通常使用するサブユーザーアカウントの作成や、様々な機能の設定等では、管理者権限が必要になります。そのため、管理者特権を持つアカウントを保護することは重要になります。パスワードを定期的に変更したり、利用する人を限定したりすることはもちろん重要ですが、それ以外に、ルートアカウントとは別に、管理者権限を持つアカウントを作成して、日常の管理者として使うことをお勧めします。
以下に2つ目の管理者アカウントを作成する際に推奨する設定を記載します。
2つ目の管理者アカウントの作成
補足:この際、「アクセスの種類」をコンソールに限定します。これにより、管理者アカウントは、Wasabiコンソールのみのアクセスとなり、管理業務のみに絞ります。
2つ目の管理者アカウントを管理者グループに追加
補足:管理者グループを作成して、対象の管理者アカウント(2つ目以降)を所属させます。上図は、管理者アカウント([email protected])を作成し、管理者グループ(Administrators)に所属した例になります。最終的には、管理者アカウントは、最低限、WasabiAdministratorAccessが必要です。ポリシーの適用は、下記に説明するグループに対して実施するのが推奨されますので、管理者アカウントの作成では、スキップすることが可能です。(「アカウントに対する適切な権限付与」を参照)
なぜ、2つの管理者を持つべきかと言うと、例えば、ルートアカウントが1つのみの場合を考えて下さい。もし、複数の人間が、管理者であった場合で、一人がパスワードなどを変更して退社したなどのケースでは、社内で誰もWasabiのコンソールへ管理者としてログインできなくなります。それ以外に、様々なケースが考えられ、2つ以上の管理者アカウントを作成して、1つは通常使わなく、非常時の場合のみ利用すると言った運用が有効な対策となります。特に、複数の人が、Wasabiの管理者となる場合には、このような運用が、適切で、より安全です。
アカウントに対する適切な権限付与
最小特権の原則に従って、アカウントを管理するためには、利用する人の役割に応じて、適切なアクセス権限を割り当てるようにします。その際、最適な運用を考慮すると、グループと組み合わせて、ユーザーのアクセス権限を付与するようにします。
具体的には、最初は、グループを作成し、そのグループに対して、必要とされる権限を付与します。Wasabiでは、ポリシーで必要な権限を定義でるようにしていますので、実際には、グループのポリシーを設定することになります。
その後、ユーザーアカウントを役割に応じて、グループに所属させます。これにより、最終的には、ユーザーアカウントに対して、適切な権限が付与されたと同じになります。この運用方法で、個別にユーザーアカウント単位で権限をその都度設定する手間が省けます。特に、ユーザーアカウント数が多い場合には、管理者の作業も少なくできて、作業効率が上がります。
管理者グループのポリシー設定
アカウントを適切に管理する最善の方法として、まずは、グループを作成します。その上、そのグループに対して、ポリシーを設定します。
例として、管理者グループに対しては、管理者として必要な特権権限を付与します。特権権限としては、AdministratorAccess、WasabiAdministratorAccess、WasabiFullAccessなどのポリシーがデフォルトで作成されており、それをグループのポリシー設定で選択することができます。
別の例として、閲覧グループに対しては、閲覧のみに絞って、権限を付与します。例えば、閲覧のみに制限する場合には、WasabiReaOnlyAccessのデフォルトで作成されているポリシーを設定します。
グループへのユーザー追加
特定グループに対して、ユーザーアカウントを追加することで、対象のユーザーアカウントは、グループに設定されているポリシーにより、特定の権限を持ちます。
例えば、閲覧グループに対して、ユーザーアカウントを追加することにより、そのユーザーアカウントは、書き込みなどの操作ができなく、閲覧のみの操作に制限されます。
補足:上図の例では、ReadOnlyMembersグループに対して、readonlyuserと言うユーザーアカウントを追加しています。管理者として、Wasabiコンソールにログインし、メニューから「グループ」を選択することで、作成済みのグループリストが表示されます。対象のグループ名を選択することで、グループ設定画面が表示されます。
ユーザーの認証情報の管理
コンソールへのログインのための認証情報とオブジェクト・ストレージへのアクセスのための認証情報、何をアクセスするかにより、どの認証情報を利用すべきかが決まります。Wasabiコンソール(Web UI)へログインする場合には、ユーザー名(email形式が通常)とパスワードを入力します。Wasabi Hot Cloud Storage(S3互換オブジェクト・クラウド・ストレージ)サービスに対して、APIなどを使って、アクセスする場合には、アクセスキーとセキュリティーキーのペアを認証情報として利用します。
Wasabiコンソールへのログインのためのユーザー・パスワード管理
補足:上図では、特定のユーザー(アカウント)のWasabiコンソールへのログインに必要なパスワードを変更または、リセットを行うための画面となります。リセットは、ユーザーがパスワードを再設定するオプションですので、必要に応じて、利用して下さい。
特に、セキュリティーキーは、作成時には、確認できますが、それ以降、Wasabiコンソールでも確認する方法がありません。これは、セキュリティのためですので、作成時にその値(セキュリティーキー)を安全な場所に保管して、利用する必要が有りますので、注意して下さい。セキュリティーキーが分からなくなった場合には、再発行するしかありません。逆に、何らかの形で、アクセスキーとセキュリティーキーが漏洩した場合には、直ぐに、管理者でログインして、対象の情報を削除して、新しいキーペアを作成するようにしましょう。
アクセスキーとセキュリティキーの管理
補足:上図では、特定のユーザー(アカウント)に紐づく、アクセスキーとセキュリティキーを作成する際の確認画面です。このタイミングでのみ、セキュリティキーを参照できますので、「CSVのダウンロード」または、「キーをクリップボードにコピー」して、アクセスのための認証情報を安全な場所に保存します。
当然ですが、認証情報が正しい場合でも、適切な権限がない場合には、目的の操作は実行できませんので、その点も、確認するようにしましょう。
まとめ
ここまで読んで頂いたので、初めてWasabi Hot Cloud Storageを利用する際に、最初にユーザー管理関連の設定をどう実施すべきか、また何が重要で、その理由や根拠が理解できたかと思います。
ユーザー管理として、『管理者特権アカウントを保護すること』、 『利用者の役割に応じて、適切なユーザーアカウントの権限を割り当てること』、そして、『ユーザーアカウントの認証情報を適切に管理すること』を最初に取り組むことが重要です。つまり、これらの「ユーザー管理のベストプラクティス」を対応することで、Wasabiを最大限活用できることに繋がります。
the bucket
By Kazuyuki Fukaya
シニア ソリューション アーキティクト
このブログでは、初めてWasabi Hot Cloud Storageを利用する管理者を対象に、重要な機能である「ユーザー管理」にフォーカスを当てて、それに関連するベストプラクティスを説明します。
実際にクラウド・ストレージのサービスを利用するにあたり、一番最初に管理者として行う作業は、ユーザー作成や権限付与などの操作であり、ぜひ、下記に解説する内容を理解して、Wasabi Hot Cloud Storageを最大限活用して下さい。
ユーザ管理のベストプラクティス
Wasabi Hot Cloud Storageを安全かつ最適に、利用するためには、ユーザー管理を適切に実施することが重要です。そのためにも、特に、利用はじめの場合、以下の点を考慮し、正しいユーザー管理を心掛けるようにして下さい。
- 管理者特権アカウントを保護すること
- 利用者の役割に応じて、適切なユーザーアカウントの権限を割り当てること
- ユーザーアカウントの認証情報を適切に管理すること
ユーザーアカウント自体に対してのセキュリティー対策は、別途考慮する必要が有りますので、その点は、今後、別のブログで説明する予定です。ここでは、あくまでも、管理者向けにどのようにユーザーを管理するかに焦点を当てて、「ユーザー管理のベストプラクティス」を解説します。以降のセッションでは、そのベストプラクティスに関連する基本となる考え方に続けて、ユーザー管理の具体的な運用に関する詳細を説明します。
ユーザー管理のための基本的な考え方
ゼロトラストセキュリティアプローチとは
ゼロトラストセキュリティアプローチとは、ネットワークでのセキュリティを強化する考え方を拡張し、アプリケーションやサービスへのアクセスにも適用できるようにしたものです。その根幹に有るのは、『すべてのデバイス、ユーザーとアプリケーションは、ネットワークの内外を問わず、信頼されるべきではない』という考え方です。
例えば、「ユーザーが正しいパスワードを入力できた」という理由だけで、そのユーザーに対して全幅の信頼を与えてはいけません。ユーザー管理においては、このようなアプローチで、企業の情報資産を守ることに繋がり、より安全にサービスを利用することができます。そのため、ユーザー管理においても、このゼロトラストセキュリティアプローチを念頭に常に、何が最善かを考えることが重要になります。
最小特権の原則とは
最小特権の原則とは、『ユーザーに必要最小限のアクセス権限のみを割り当てる』という考え方です。
1つのユーザーにすべての権限を集中させると、システムやアプリケーションに対する脆弱性が増大します。ユーザーの役割に応じた権限を付与するようなユーザー管理を実施することで、そのような脆弱性は、減少または無くすことに繋げれます。
例えば、ファイルの閲覧しか必要のないユーザーが居る場合、その場合には、閲覧権限のみを付与することで、間違って、そのユーザーにより、ファイルが削除されたり、書き換えたりされるのを防ぐことができます。ユーザーに必要以上の権限を与えることにより、思いがけないミスを誘発したり、セキュリティインシデントに繋がります。
このように、ユーザー管理においては、この「最小特権の原則」に従って、設定などを実施することが重要になります。
ユーザ管理の具体的な運用
管理者特権アカウントを保護する
Wasabiのサインアップ時に作成したアカウントは、管理者権限を持つルートアカウントと呼ばれます。初回のWasabiコンソールへのログインは、このルートアカウントを利用して、様々な設定をすることになります。その後、通常使用するサブユーザーアカウントの作成や、様々な機能の設定等では、管理者権限が必要になります。そのため、管理者特権を持つアカウントを保護することは重要になります。パスワードを定期的に変更したり、利用する人を限定したりすることはもちろん重要ですが、それ以外に、ルートアカウントとは別に、管理者権限を持つアカウントを作成して、日常の管理者として使うことをお勧めします。
以下に2つ目の管理者アカウントを作成する際に推奨する設定を記載します。
2つ目の管理者アカウントの作成
補足:この際、「アクセスの種類」をコンソールに限定します。これにより、管理者アカウントは、Wasabiコンソールのみのアクセスとなり、管理業務のみに絞ります。
2つ目の管理者アカウントを管理者グループに追加
補足:管理者グループを作成して、対象の管理者アカウント(2つ目以降)を所属させます。上図は、管理者アカウント([email protected])を作成し、管理者グループ(Administrators)に所属した例になります。最終的には、管理者アカウントは、最低限、WasabiAdministratorAccessが必要です。ポリシーの適用は、下記に説明するグループに対して実施するのが推奨されますので、管理者アカウントの作成では、スキップすることが可能です。(「アカウントに対する適切な権限付与」を参照)
なぜ、2つの管理者を持つべきかと言うと、例えば、ルートアカウントが1つのみの場合を考えて下さい。もし、複数の人間が、管理者であった場合で、一人がパスワードなどを変更して退社したなどのケースでは、社内で誰もWasabiのコンソールへ管理者としてログインできなくなります。それ以外に、様々なケースが考えられ、2つ以上の管理者アカウントを作成して、1つは通常使わなく、非常時の場合のみ利用すると言った運用が有効な対策となります。特に、複数の人が、Wasabiの管理者となる場合には、このような運用が、適切で、より安全です。
アカウントに対する適切な権限付与
最小特権の原則に従って、アカウントを管理するためには、利用する人の役割に応じて、適切なアクセス権限を割り当てるようにします。その際、最適な運用を考慮すると、グループと組み合わせて、ユーザーのアクセス権限を付与するようにします。
具体的には、最初は、グループを作成し、そのグループに対して、必要とされる権限を付与します。Wasabiでは、ポリシーで必要な権限を定義でるようにしていますので、実際には、グループのポリシーを設定することになります。
その後、ユーザーアカウントを役割に応じて、グループに所属させます。これにより、最終的には、ユーザーアカウントに対して、適切な権限が付与されたと同じになります。この運用方法で、個別にユーザーアカウント単位で権限をその都度設定する手間が省けます。特に、ユーザーアカウント数が多い場合には、管理者の作業も少なくできて、作業効率が上がります。
管理者グループのポリシー設定
アカウントを適切に管理する最善の方法として、まずは、グループを作成します。その上、そのグループに対して、ポリシーを設定します。
例として、管理者グループに対しては、管理者として必要な特権権限を付与します。特権権限としては、AdministratorAccess、WasabiAdministratorAccess、WasabiFullAccessなどのポリシーがデフォルトで作成されており、それをグループのポリシー設定で選択することができます。
別の例として、閲覧グループに対しては、閲覧のみに絞って、権限を付与します。例えば、閲覧のみに制限する場合には、WasabiReaOnlyAccessのデフォルトで作成されているポリシーを設定します。
グループへのユーザー追加
特定グループに対して、ユーザーアカウントを追加することで、対象のユーザーアカウントは、グループに設定されているポリシーにより、特定の権限を持ちます。
例えば、閲覧グループに対して、ユーザーアカウントを追加することにより、そのユーザーアカウントは、書き込みなどの操作ができなく、閲覧のみの操作に制限されます。
補足:上図の例では、ReadOnlyMembersグループに対して、readonlyuserと言うユーザーアカウントを追加しています。管理者として、Wasabiコンソールにログインし、メニューから「グループ」を選択することで、作成済みのグループリストが表示されます。対象のグループ名を選択することで、グループ設定画面が表示されます。
ユーザーの認証情報の管理
コンソールへのログインのための認証情報とオブジェクト・ストレージへのアクセスのための認証情報、何をアクセスするかにより、どの認証情報を利用すべきかが決まります。Wasabiコンソール(Web UI)へログインする場合には、ユーザー名(email形式が通常)とパスワードを入力します。Wasabi Hot Cloud Storage(S3互換オブジェクト・クラウド・ストレージ)サービスに対して、APIなどを使って、アクセスする場合には、アクセスキーとセキュリティーキーのペアを認証情報として利用します。
Wasabiコンソールへのログインのためのユーザー・パスワード管理
補足:上図では、特定のユーザー(アカウント)のWasabiコンソールへのログインに必要なパスワードを変更または、リセットを行うための画面となります。リセットは、ユーザーがパスワードを再設定するオプションですので、必要に応じて、利用して下さい。
特に、セキュリティーキーは、作成時には、確認できますが、それ以降、Wasabiコンソールでも確認する方法がありません。これは、セキュリティのためですので、作成時にその値(セキュリティーキー)を安全な場所に保管して、利用する必要が有りますので、注意して下さい。セキュリティーキーが分からなくなった場合には、再発行するしかありません。逆に、何らかの形で、アクセスキーとセキュリティーキーが漏洩した場合には、直ぐに、管理者でログインして、対象の情報を削除して、新しいキーペアを作成するようにしましょう。
アクセスキーとセキュリティキーの管理
補足:上図では、特定のユーザー(アカウント)に紐づく、アクセスキーとセキュリティキーを作成する際の確認画面です。このタイミングでのみ、セキュリティキーを参照できますので、「CSVのダウンロード」または、「キーをクリップボードにコピー」して、アクセスのための認証情報を安全な場所に保存します。
当然ですが、認証情報が正しい場合でも、適切な権限がない場合には、目的の操作は実行できませんので、その点も、確認するようにしましょう。
まとめ
ここまで読んで頂いたので、初めてWasabi Hot Cloud Storageを利用する際に、最初にユーザー管理関連の設定をどう実施すべきか、また何が重要で、その理由や根拠が理解できたかと思います。
ユーザー管理として、『管理者特権アカウントを保護すること』、 『利用者の役割に応じて、適切なユーザーアカウントの権限を割り当てること』、そして、『ユーザーアカウントの認証情報を適切に管理すること』を最初に取り組むことが重要です。つまり、これらの「ユーザー管理のベストプラクティス」を対応することで、Wasabiを最大限活用できることに繋がります。
