SAP-1.2セキュリティコントロールを規定する。

カテゴリ: SAP-1.2セキュリティコントロールを規定する。

1
2
3

【SAP-34】広告運用を行う A 社 (アカウント 111111111111) は S3 バケット prod-logs を us-east-1 に保有している。
外部パートナー B 社 (アカウント 222222222222) が 1 時間あたり 1,000 オブジェクトを /incoming/ にアップロードし、A 社が後続処理を行う計画である。
要件:
1) オブジェクトは A 社の KMS キー arn:aws:kms:us-east-1:111111111111:key/logs-key で SSE-KMS 暗号化
2) バケットは BucketOwnerEnforced で ACL 不使用
3) B 社はアップロードのみ許可
4) Decrypt 権限は付与しない
最小特権で実装できる組み合わせはどれか。

バケットポリシーで Principal を arn:aws:iam::222222222222:role/PartnerDeliveryRole に限定し、s3:PutObject を arn:aws:s3:::prod-logs/incoming/* のみに許可、s3:x-amz-server-side-encryption および s3:x-amz-server-side-encryption-aws-kms-key-id に対する StringEquals 条件で上記 KMS キーを強制。B 社ロールには s3:PutObject と kms:Encrypt*, kms:GenerateDataKey* を同キーに許可する IAM ポリシーを付与する。
バケット ACL で B 社アカウントに WRITE 権限を付与し、バケットポリシーは設定しない。B 社ロールには s3:PutObject をバケット全体に許可し、暗号化は SSE-S3 を使用する。
バケットポリシーで Principal を * とし s3:PutObject を全プレフィックスに許可、Condition で aws:PrincipalArn が PartnerDeliveryRole に一致する場合に限定。B 社ロールには s3:PutObject のみ付与し、KMS 権限は与えない。
A 社が KMS キーポリシーで B 社ロールに Encrypt と GenerateDataKey を許可し、バケットは静的ウェブサイトホスティングを有効化して PUT を presigned URL で受け付ける。B 社側 IAM ポリシーは不要とする。

カテゴリ: SAP-1.2セキュリティコントロールを規定する。

1
2
3

【SAP-35】国内動画配信企業は、5 TB の MP4 を単一 S3 バケットに保存している。
要件は:
1) CloudFront (OAC 使用) 経由で常時配信する
2) 制作会社の CIDR 203.0.113.0/24 と 198.51.100.0/24 には 2 時間限定で直接 HTTPS GET を許可する
3) 公開は一切不可
4) 既存モバイルアプリは変更せず S3 署名付き URL (SigV4、有効期限 2 時間) を利用する
5) オブジェクト ACL は既存の private から変更不可
これらを満たす最小権限の実装はどれか。

バケットの Block Public Access を全項目で有効化し、ACL を private のまま保持。バケットポリシーで CloudFront OAC の aws:SourceArn と制作会社 CIDR を許可し、署名付き URL の aws:TokenIssueTime ≤2h 条件を追加してアクセスを許可する。
Block Public Access を無効化し、静的ウェブサイトホスティングを有効化。オブジェクト ACL に AuthenticatedRead を付与し、CloudFront と制作会社には CloudFront 署名付き URL を共有する。
Public ACL のみブロックを有効化し、バケットポリシーで AssumeRole した IAM ロールだけを許可。制作会社には STS で一時資格情報を払い出し、モバイルアプリは既存 URL を置換する。
Block Public Access を全項目で有効化し、S3 アクセスポイントを共有。アクセスポイントのポリシーで制作会社 CIDR と CloudFront を許可し、オブジェクト ACL に bucket-owner-full-control と public-read を併用して公開を防ぐ。

カテゴリ: SAP-1.2セキュリティコントロールを規定する。

1
2
3

【SAP-36】金融SaaS企業は3階層Webアプリを2つのAZに展開している。
VPC CIDR は10.0.0.0/16。
・パブリックサブネットの ALB は 0.0.0.0/0 から HTTPS(443) を受信し、プライベートサブネット(10.0.1.0/24,10.0.11.0/24)の EC2 へ TCP 8443 で転送する。
・プライベートサブネットの EC2 は外部決済APIへ HTTPS(443) で発信し、応答をエフェメラルポート(1024-65535)で受信する。
セキュリティグループは設定済み。
運用チームはネットワークACLを最少ルールで実装し、不要トラフィックは拒否したい。
要件を満たす NACL 構成として最も適切なのはどれか。

パブリックNACL: 受信 0.0.0.0/0 TCP 443 ALLOW, 送信 10.0.0.0/16 TCP 8443 ALLOW, 送信 0.0.0.0/0 TCP 1024-65535 ALLOW。プライベートNACL: 受信 10.0.0.0/16 TCP 8443 ALLOW, 受信 0.0.0.0/0 TCP 1024-65535 ALLOW, 送信 10.0.0.0/16 TCP 1024-65535 ALLOW, 送信 0.0.0.0/0 TCP 443 ALLOW。その他はすべて DENY。
両サブネットとも受信・送信ともに 0.0.0.0/0 TCP 443 ALLOW のみを設定し、他はすべて DENY としてエフェメラルポートは許可しない。
デフォルト NACL (全許可) を維持し、細かな制御はセキュリティグループにのみ委ね、NACL ルールは追加しない。
双方向通信を許可する構成だが、エフェメラルポートを 49152-65535 のみに限定し、1024-49151 を拒否してルール数を削減する案。

カテゴリ: SAP-1.2セキュリティコントロールを規定する。

1
2
3

【SAP-37】製薬企業 PharmaX 社は、研究部門と臨床部門のデータ分析ジョブを Amazon ECS on Fargate で実行している。
ユーザーは社内 AD を通じて AWS IAM Identity Center へ SSO し、AWS STS で AssumeRole した後にジョブを起動する。
S3 バケット research-data 内のオブジェクトには Department=Research または Department=Clinical のタグが付与されており、監査要件として「利用者は自部門タグと一致するオブジェクトのみ read/write 可能、他部門オブジェクトは一切閲覧不可」と定められている。
ロールやポリシーの複製を避け、ABAC を用いて最小限の運用負荷で要件を満たす設計はどれか。

IAM ロールの信頼ポリシーで sts:TagSession を許可し、AD の department 属性を Department セッションタグとして渡す。権限ポリシーで Condition に StringEquals:s3:ExistingObjectTag/Department=${aws:PrincipalTag/Department} を設定し、単一ロールで両部門アクセスを分離する。
S3 バケットポリシーに Condition で StringEquals:aws:PrincipalTag/Department=${s3:objecttagging:Department} を追加し、各ユーザープロフィールに Department タグを静的付与する。STS で TagSession を禁止しロール側は明示的許可のみとする。
部門ごとに 2 つの IAM ロールを新規作成し、それぞれのロールポリシーに S3 アクセス権を埋め込み、異部門データを Deny する。ユーザーは AD グループに応じて対応ロールにのみ AssumeRole させる。
AssumeRole 時に –transitive-tag Keys=Department を指定し、権限ポリシーで StringEquals:aws:RequestTag/Department=${aws:PrincipalOrgID} を用いて S3 の List/Get 操作を許可する。

カテゴリ: SAP-1.2セキュリティコントロールを規定する。

1
2
3

【SAP-38】大手製造業が複数アカウント（開発・検証・本番など計 5）で 12 個の VPC を運用している。
すべてのアウトバウンドインターネット通信を集中してマルウェア検査し、検査ログと VPC フローログを KMS で暗号化したうえで Amazon S3 に 90 日保存することが内部監査で義務付けられた。
各 VPC は AWS Transit Gateway (TGW) に接続済みで、オンプレミスとは Direct Connect 5 Gbps 回線で接続している。
EC2 ベースのアプライアンス保守は避け、可用性とコスト効率を両立した設計を選択せよ。

各 VPC に NAT Gateway と AWS Network Firewall を個別配置し、0.0.0.0/0 を各自のファイアウォールエンドポイントへルーティングし、ログは CloudWatch のみで保管する。
共有サービスアカウントに検査 VPC を新設し、TGW 添付サブネットに AWS Network Firewall エンドポイントを置く。TGW の別ルートテーブルで各 VPC のデフォルトトラフィックをこのエンドポイントへ転送し、Firewall から単一の NAT Gateway を経由してインターネットへ送出する。Firewall ログと VPC フローログは KMS で暗号化し S3 バケットに 90 日間保存する。
各アカウントに Gateway Load Balancer と EC2 ベースのサードパーティ IDS/IPS アプライアンスを配置し、TGW 内サービスインサーションで検査する。ログは各アプライアンスから syslog で送信する。
TGW エンドポイントサービスを用いてトラフィックをオンプレミスのハードウェアファイアウォールへ転送し、検査後に DX Gateway で AWS へ戻す。ログはオンプレミスの SIEM のみに保存する。

カテゴリ: SAP-1.2セキュリティコントロールを規定する。

1
2
3

【SAP-39】フィンテック企業F社は AWS Organizations で 150 アカウントを Dev、Test、Prod の 3 つの OU に分割している。
監査部門は次の強制要件を提示した。
1) 承認カタログにない AWS Marketplace 製品の新規購読を禁止する
2) アカウント ID 999999999999（Security）が承認・取り消しを一元管理する
3) 既存購読の更新は許可する
4) Dev OU の CI/CD 用 IAM ロール cicd-role は iam:PassRole だけ追加で必要
今後追加されるアカウントも自動的に対象となり、運用負荷を最小化する設計はどれか。

ルート OU に「aws-marketplace:Subscribe を Deny *」の SCP を適用し、Security アカウントのみ外す。cicd-role に iam:PassRole を許可するインラインポリシーを付加する設計とする。
Organizations で Private Marketplace を有効化し Security アカウントを委任管理者に登録、追加 SCP は作成せず cicd-role へ iam:PassRole を許可するポリシーのみを付与する設計とする。
各アカウントに Service Catalog ポートフォリオとして承認済み Marketplace 製品を登録し Root OU には FullAWSAccess のみを残す。cicd-role はポートフォリオ権限を含む IAM ポリシーを持たせる設計とする。
全 OU へ Permission Boundary を適用し aws-marketplace:* だけを Allow に限定、Security アカウントでは Marketplace 管理ポリシーを持つ IAM ユーザを作成する。Private Marketplace は利用しない設計とする。

カテゴリ: SAP-1.2セキュリティコントロールを規定する。

1
2
3

【SAP-40】製薬企業F社はAWS Organizations配下の30アカウントで研究データを扱う。
要件は
①全アカウントのCloudTrail証跡を暗号化して1年間S3に集中保管し、Athenaで日次1,000万レコードを即時検索できること
②S3バケットには必ずCMKを指定したSSE-KMSでのみ書き込めること
③違反操作は即時失敗させ、コンプライアンス部門が翌営業日までにAthenaからクエリ可能とすること。
最も運用負荷が低く、ベストプラクティスに合致する設計はどれか。

組織単位(OU)にSCPを適用し、PutObjectに対しaws:KmsKeyArn条件でCMK以外を拒否。組織の証跡を有効化し、KMSで暗号化した中央バケットに配信。Glue Data Catalogにパーティション投影を設定し、Athenaで直接照会する。
各アカウントに個別CloudTrailとSNS通知を実装し、S3はSSE-S3で暗号化。バケットポリシーでaws:SecureTransportのみ許可し、Athenaはクエリ前に毎回マニフェストを手動生成する。
SCPではなくサービスコントロールタグを用いてS3アクセスを制限。CloudTrailログはKinesis Data FirehoseでRedshiftへ配信し、Spectrumを介してAthenaから参照する。
OUレベルのSCPでPutObjectを許可し、暗号化はS3バケットのデフォルト暗号化(SSE-KMS)に委任。証跡はリージョン別に個別作成し、AthenaはGlue ETLで日次バッチ取込後に分析する。

ヒントボタン

30 アカウントの CloudTrail を 1 年保管しつつ低運用を目指すなら、AWS Organizations で「組織の証跡」を 1 つだけ有効化し、全イベントを共通 S3 バケットへ集約する方法が最もシンプルです。個別証跡や Kinesis 連携を多重化すると設定・請求・監視ポイントが散らばり、Athena で横断検索する際にリージョンやアカウントごとのプレフィックスを逐次管理する運用負荷が増大します。組織証跡なら新規アカウント追加も自動でカバーでき、Glue Data Catalog も一元化できるため、研究部門とコンプライアンス部門の双方が扱いやすい環境を維持できます。

「必ず CMK を指定した SSE-KMS だけで書き込む」「違反操作は即時失敗させる」という強い統制は、S3 のデフォルト暗号化設定だけでは不十分です。PutObject に aws:KmsKeyArn 条件を付けた SCP やバケットポリシーを組み合わせれば、ユーザが SSE-S3 や別キーを指定した瞬間に 4xx が返り、CloudTrail に失敗イベントも残るため迅速な検知と抑止が成立します。CMK を CloudTrail ログにも適用すればキー管理を一元化しつつログの機密性と完全性を確保でき、監査証跡の信頼性を高められます。

日次 1,000 万レコードを翌営業日までに調査する要件には、S3 に置かれた圧縮ログを Athena で直接クエリし、Glue Data Catalog にパーティション投影を設定する構成が最適です。投影を使えば新しい日付パーティションを手動登録する必要がなく、ETL やマニフェスト生成の待ち時間も排除できます。Redshift Spectrum 経由や Glue ETL バッチを挟むとスキーマ管理、ロード時間、VACUUM などの運用タスクが増え遅延も発生するため、即時検索という目的と相反します。暗号化強制・統制ポリシー・リアルタイム分析の三要素を同時に満たせるシンプルな全体設計を選ぶ視点が鍵となります。

カテゴリ: SAP-1.2セキュリティコントロールを規定する。

1
2
3

【SAP-41】大手 SaaS 企業は 2AZ 構成の ALB(HTTP/2 有効) をオリジンとして毎秒 8 万リクエストを処理しています。
今後、 (1) 全世界 50 PoP でレイテンシを短縮しつつ静的/動的コンテンツを配信する (2) ALB への直接アクセスを完全に遮断する (3) TLS1.2 でエッジ→オリジンを暗号化する (4) OWASP Top-10 をエッジで検査し、オリジン側での WAF 二重課金を避ける (5) 運用負荷とコストを最小化する ことが求められます。
これらの要件を同時に満たす最適な構成はどれですか。

CloudFront オリジンにカスタム HTTP ヘッダー(乱数トークン)を追加し、ALB リスナールールでそのヘッダーを必須条件に設定。CloudFront に AWS WAF v2 ウェブ ACL を関連付け、ALB のセキュリティグループは 0.0.0.0/0 を許可。
CloudFront にオリジンアクセスアイデンティティ(OAI)を紐付けて ALB をプライベートサブネットへ移動。CloudFront と ALB の双方に AWS WAF を関連付ける。
CloudFront オリジンアクセスコントロール(OAC) を ALB に適用し、OAC が生成する IAM ロールを ALB に割り当てる。Web ACL は CloudFront のみで使用。
CloudFront で Lambda@Edge を使用して referer ヘッダーを改ざん不可のトークンに書き換え、ALB 側で referer を検証。WAF は ALB に関連付ける。

カテゴリ: SAP-1.2セキュリティコントロールを規定する。

1
2
3

【SAP-42】フィンテック企業 F 社は、本番 VPC 上に Auto Scaling グループ (最大 200 台) で API サーバーを展開する予定である。
要件は次のとおり。
1) OS への直接 SSH 接続は禁止、キーペアを一切持たない
2) CreateKeyPair または LaunchTemplate の KeyName 変更 API が発生した場合、60 秒以内に SOC へメール通知する
3) 監査ログは全アカウントで一元管理用 S3 に保存し 7 年保持する
4) 運用負荷とコストを最小化し AWS ベストプラクティスを順守する
これらの要件を最も効率的に満たすアーキテクチャはどれか。

Organizations で CloudTrail を統合し、証跡を集中 S3 に暗号化保存、同時に CloudWatch Logs に送信する。Metric Filter で CreateKeyPair と ModifyLaunchTemplate を検知し、60 秒間隔の Alarm から SNS (セキュリティアカウント) へ通知する。ASG の起動テンプレートは KeyName を空欄とし、SSM Agent 用 IAM ロールのみを付与する。
各アカウントに AWS Config を個別有効化し、managed ルールをカスタム化して KeyName を検査し、Security Hub 集約後 EventBridge で 5 分毎に SNS へ転送する。ASG にはキーペア付き AMI を用いるが、22 番ポートを NACL で遮断する。
CloudTrail を S3 バケットにのみ配信し、Glue と Athena で 1 時間毎にクエリを実行、CreateKeyPair イベント検出時に Lambda で SES 通知する。ASG は userdata で rm -rf /home/ec2-user/.ssh を実行して SSH を無効化する。
GuardDuty を全リージョンで有効化し、SSH 関連の Finding を Security Hub に統合、SNS で通知する。ASG 起動テンプレートには既存キーペアを指定し、SSH 接続は Systems Manager Session Manager に委ねる。CloudTrail と CloudWatch Logs はデフォルト設定のままとする。

カテゴリ: SAP-1.2セキュリティコントロールを規定する。

1
2
3

【SAP-43】多国籍製造企業はオンプレミスの Windows Server Active Directory（2,000 ユーザー、LDAP 往復 20 ms）を保有している。
50 AWS アカウントを組織単位で一元管理し、開発チームへ IAM 権限セットを付与する SSO 基盤を 1 か月以内に構築する計画である。
要件は次のとおり：
• AD スキーマ変更や追加ドメインコントローラの展開は禁止
• ユーザー／グループ変更は 5 分以内に AWS に反映
• セッション上限 60 分、最小権限を維持
• 東京リージョン内で RTO 15 分、RPO 0 分
• 認証ログをセキュリティアカウントへ集約し Athena で検索可能
これらを満たす最も適切な設計を選べ。

AWS Managed Microsoft AD を２ AZ に配置しオンプレ AD と双方向信頼を構成、IAM Identity Center のアイデンティティソースをこのマネージド AD とし 30 分毎の AD クラウド同期を実施、ログは CloudTrail に集約する。
２ AZ に AD Connector（Small）を配置し Direct Connect 経由でオンプレ AD をリアルタイム参照、IAM Identity Center のアイデンティティソースをオンプレ AD として権限セットのセッションを 60 分に設定、CloudTrail と Identity Center の監査ログを S3（セキュリティアカウント）へ送信する。
Okta を外部 IdP として構成し Okta SCIM で IAM Identity Center へユーザー／グループをプッシュ、各アカウントに SAML フェデレーション用ロールを手動作成し、監査ログは Okta で保持する。
EC2 上に Windows Server ドメインコントローラを２ AZ に新設し AD Connector（Small）を紐付けて IAM Identity Center を利用、オンプレ AD と片方向信頼を VPN で構築し PowerShell スクリプトで 1 時間毎にグループを同期する。

カテゴリ: SAP-1.2セキュリティコントロールを規定する。

1
2
3

【SAP-44】多国籍保険企業 Apex 社では AWS Organizations 直下に本番アカウントがある。
金融監査部門が四半期ごとに 6 時間だけ、同バケットに保存されたレポート 50 GB をダウンロードする必要がある。
オンプレ AD FS を SAML 2.0 IdP とし、監査担当者は AD グループ Auditors に属する。
組織のセキュリティ基準では (1) 永続的 IAM ユーザーは禁止、(2) 個人単位で CloudTrail 監査ログが残ること、(3) 一時認証情報の有効期限は最長 12 時間、(4) 今後複数アカウントに展開可能な最小権限アプローチをとることが必須である。
これらを満たす SAML フェデレーション構成として最も適切なものはどれか。

本番アカウントに AD FS メタデータで SAML プロバイダを登録し、MaxSessionDuration を 12 h に設定した Auditors_Role を作成。信頼ポリシーに Federated principal として当該プロバイダを指定し sts:AssumeRoleWithSAML を許可、ロールに対象 S3 バケットの ReadOnly ポリシーを付与し AD FS の roles 属性に ARN を埋め込む。
管理アカウントに監査用 IAM ユーザーを新規作成し Access Key を共有、AD FS は利用せず CLI から sts:AssumeRole を実行してバケットへアクセスさせる。セッション期間は CLI 側で –duration-seconds 43200 を指定し、CloudTrail ID は共有ユーザー名で記録される。
AWS IAM アイデンティティセンターを有効化してオンプレ AD と AD Connector で同期し、Auditors 用 Permission Set に S3 ReadOnly を付与。ブラウザ経由で 12 時間の一時クレデンシャルを取得するため SAML プロバイダや sts:AssumeRoleWithSAML は不要とする。
本番アカウントに OIDC プロバイダとして AD FS の JWT 発行エンドポイントを登録し、Lambda で ID トークンを検証後 sts:AssumeRoleWithWebIdentity を呼び出して S3 ReadOnly ロールを払い出す。SAML の設定を省きながらも一時認証情報を取得できる。

カテゴリ: SAP-1.2セキュリティコントロールを規定する。

1
2
3

【SAP-45】多国籍 EC 企業は開発アカウントで 1 日最大 500 台の EC2 をブルー/グリーン展開している。
セキュリティ部門は次の制約を必須とした。
1) AMI はタグ Environment=Approved が付与され、かつ自アカウント所有であること
2) インスタンスタイプは m6a.large または c6g.large のみ
3) ルート EBS は必ず CMK arn:aws:kms:us-east-1:111122223333:key/abc… で暗号化されていること
4) PassRole 可能な IAM ロールは ProdEC2Role のみ
AppDeveloper グループがこれらの条件を満たす EC2 を自己調達できるよう、最小権限で実装すべき方法はどれか。

AppDeveloper に付与するインライン IAM ポリシーで ec2:RunInstances と iam:PassRole を Allow し、Condition に・StringEquals ec2:Owner "self" ・StringEquals ec2:ResourceTag/Environment "Approved" ・ForAnyValue:StringEquals ec2:InstanceType ["m6a.large","c6g.large"] ・Bool ec2:Encrypted "true" ・StringEquals ec2:VolumeKmsKey "arn:aws:kms:us-east-1:111122223333:key/abc…" ・StringEquals iam:PassRole "arn:aws:iam:::role/ProdEC2Role" を設定する。
セキュリティアカウントで SCP を作成し、ec2:RunInstances を Allow する代わりに NotAction で他の EC2 操作を Deny し、暗号化とインスタンスタイプは AWS Config ルールで検出し自動修正する。
承認済み AMI を共有する各 AMI のリソースベースポリシーと、ProdEC2Role を含む Launch Template を強制する Auto Scaling グループを作成し、AppDeveloper には ec2:CreateLaunchTemplateVersion のみを許可する。
AppDeveloper の IAM ユーザー／ロールに Permission Boundary を設定し、ec2:* を Allow、iam:PassRole を Condition で ProdEC2Role に制限する。インスタンス暗号化はデフォルト EBS 暗号化を有効化し、AMI とインスタンスタイプはタグベースの SCP で制御する。

ヒントボタン

RunInstances のパラメータを起動前に縛るには IAM ポリシーの Condition で ec2:Owner や ec2:ResourceTag/Environment、ForAnyValue:StringEquals ec2:InstanceType、Bool ec2:Encrypted、StringEquals ec2:VolumeKmsKey を組み合わせる方法が最も直接的です。KMS CMK やタグ、インスタンスタイプを同時に強制でき、PassRole も iam:PassRole 条件で制限すれば、その他のリソース操作を許可しなくても AppDeveloper は EC2 を安全に自己調達できます。ブルー/グリーン展開で 1 日 500 台という速度でも、条件を満たさない起動要求そのものを即座に拒否できるため、事後修復のラグを心配する必要がありません。

組織の SCP や AWS Config でも制御は可能に見えますが、SCP は ec2:ResourceTag などの EC2 特有の条件キーを使えず、Allow/Deny の大枠しか設定できません。Config ルールは違反を検出後に AWS Systems Manager や Lambda で修復するため、数百台が短時間でスケールするブルー/グリーン運用では「違反インスタンスが一時的に走る」リスクを排除できません。Launch Template や Auto Scaling に頼る設計も、開発者が新バージョンに誤ったインスタンスタイプや KMS キーを入れてしまえばブロックできず、結果として要件 1〜4 を同時に保証できる仕組みとは言えない点に注意しましょう。

最小権限の原則を満たす鍵は、AppDeveloper が必要とする ec2:RunInstances と iam:PassRole 以外の操作を与えず、それらの API に対してタグ、所有者、インスタンスタイプ、暗号化キー、ロールの 5 つの条件を粒度細かく課すことです。これにより EC2、EBS、KMS、IAM を横断した複合ポリシーが 1 枚で完結し、権限制御は予防的でシンプル、ブルー/グリーンの迅速な自己調達も阻害しません。複数要件を俯瞰し「実行前に全部縛れる場所はどこか」を見極める視点が最終判断の助けになります。

カテゴリ: SAP-1.2セキュリティコントロールを規定する。

1
2
3

【SAP-46】企業A (アカウントA) は監査ログを S3 バケット log-123 に 1 日 1 TB 保存し、SSE-KMS で暗号化している。
CMK は同アカウントの customer managed key「log-key」。
アカウントB の Athena からクロスアカウントでログを読み取るため、AccountA では trust policy によりアカウントB のロール log-reader-role が AssumeRole でき、バケットポリシーにも GetObject を許可済みである。
しかし Athena 実行時に「AccessDeniedException: kms:Decrypt」が発生する。
最小権限を維持しつつ運用負荷を増やさずに解決する方法はどれか。

バケットポリシーに kms:Decrypt と kms:GenerateDataKey を許可する文を追記し、ロール側は変更しない。
log-reader-role の IAM ポリシーに kms:* を許可すれば、キーポリシーを変更せずともアクセスできる。
CMK log-key のキーポリシーにアカウントB の log-reader-role を Principal として kms:Decrypt と kms:GenerateDataKey を許可し、同ロールの IAM ポリシーにも同じアクションを付与する。
バケット暗号化を SSE-S3 に切り替え、Athena からは透過的に読み取る。

ヒントボタン

ヒント1
SSE-KMS で暗号化された S3 オブジェクトを別アカウントの Athena や Glue から読み取るときは、呼び出し元の IAM ロールに kms:Decrypt と kms:GenerateDataKey を許可するだけでは足りません。KMS の CMK そのものが持つ key policy 側でも、そのロール（あるいはロールを含むアカウント）を Principal に追加し、同じアクションを許可する必要があります。KMS は「IAM ポリシー」と「key policy」の両方を肯定にしないとアクセスを通さない二重チェックを行うため、この点を見落とすと AccessDeniedException が発生しやすいです。

ヒント2
S3 バケットポリシーは GetObject や PutObject などの s3: プレフィックスを持つ API に対する許可・拒否を制御する場所であり、kms:Decrypt や kms:GenerateDataKey といった KMS API には適用されません。Athena がオブジェクトを読み込む際は、まず S3 がデータキーを取り出すために KMS を呼び出す流れになるため、アクセス判定は KMS 側で行われます。したがって「KMS の権限をどこに書くか」を意識すると、バケットポリシーより key policy を調整するほうが運用箇所を増やさずに済みます。

ヒント3
毎日 1 TB ものログを保管している状況で暗号化方式を SSE-S3 や SSE-C に変更すると、既存オブジェクトの再暗号化やライフサイクル設定変更など大量の S3 PUT が発生し、コストと運用負荷が跳ね上がります。一方、CMK の key policy に行を一つ追加し、呼び出し元ロールの IAM ポリシーに最小限の KMS 権限を付ける方法なら、一度の設定で済みデータ移動も不要です。AssumeRole の仕組みは既に機能しているため、この差分だけで要件を満たせます。

最終的には「SSE-KMS を維持」「クロスアカウント」「最小権限」「追加運用負荷ゼロ」の四点を同時に満たす策を俯瞰し、KMS key policy と IAM ポリシーの両面から権限を整える構成が唯一無理のない選択肢であると判断できます。

カテゴリ: SAP-1.2セキュリティコントロールを規定する。

1
2
3

【SAP-47】金融系持株会社 A（アカウント 111111111111）は S3 バケット log-prod（SSE-KMS、CMK: log-key）に全子会社の CloudTrail ログを集約している。
子会社 B（アカウント 222222222222）は週次で Athena を用いてログを分析したい。
要件は次のとおり：
• B はログの閲覧とクエリ実行のみ許可し、オブジェクトの追加・削除は禁止
• 通信は A 側の S3 VPC エンドポイント（vpce-abc123）経由に限定
• すべての復号 API 呼び出しは CloudTrail で追跡可能
• CMK とバケットの所有権は A が保持し、最小権限でクロスアカウントアクセスを実装すること
これらの要件を満たす構成として最も適切なものはどれか。

アカウント A のバケットポリシーで arn:aws:iam::222222222222:role/AthenaReadOnlyRole に s3:GetObject と ListBucket を許可し、Condition で aws:SourceVpce=vpce-abc123 を指定。log-key のキーポリシーで同ロールに kms:Decrypt と DescribeKey を許可。アカウント B では当該ロールに s3:GetObject と kms:Decrypt のみを付与し、Permission Boundary で s3:DeleteObject と PutObject を明示的に拒否する。
アカウント A でバケット ACL にアカウント 222222222222 を追加して READ 権限を付与し、暗号化方式を SSE-S3 に変更して鍵管理を S3 に委任。アカウント B では IAM ユーザに s3:ListBucket と GetObject を付与する。VPC エンドポイントによる制限は行わない。
アカウント A にクロスアカウント IAM ロール CrossAcctAthena を作成し、信頼ポリシーでアカウント 222222222222 を許可。ロールには s3:* と kms:* を付与。アカウント B では STS AssumeRole で同ロールを引き受ける。バケットポリシーとキーポリシーの変更は不要。
アカウント A で S3 アクセスポイント ap-logs を作成し、ポリシーで Principal=* のままアカウント 222222222222 に s3:GetObject、PutObject、DeleteObject を許可。CMK のキーポリシーに「*」 Principal で kms:Decrypt を追加。アカウント B では Athena 用ロールに s3:GetObject を付与し、VPC エンドポイント制限は設定しない。