Al usar AWS re:Post, aceptas las AWS re:Post Términos de uso
AWS re:Postre:Post

AWS利用による情報漏洩を防ぐには

0

社外秘の情報を持つPCからAWSマネジメントコンソールにログインする場合、 我々が管理するアカウントは厳密な権限分離とアクセスを許可する端末の制御が行われており、またアクセス先もドメインレベルの制御でhttps://aws.amazon.com/への接続のみを許可しています。

しかし例えば悪意のあるユーザーが社外秘の情報を持つPCから、事前に社外で作成しておいた全く関係の無いアカウントを用いてログインし、 オブジェクトストレージなどを利用し社外にデータを持ち出すことが可能だと考えています。

これを防ぐにはどのような構成が取れますでしょうか?

Temas
Seguridad, identidad y cumplimientoGestión y gobiernoAWS Well-Architected Framework
Etiquetas
Seguridad, identidad y cumplimientoAWS Management ConsoleSeguridadAWS Account Management
Idioma
日本語
rePost-User-6842879
preguntada hace un año472 visualizaciones
1 Respuesta
0

一つのやり方としては、仮想デスクトップサービスのAmazon WorkSpacesを構築、WorkSpacesをマネジメントコンソールへの唯一のアクセス端末とする方法が考えられます。社外秘の情報を持つPCからWorkSpacesに接続して、マネジメントコンソールを操作します。この際、WorkSpaces (Windows) の設定でドライブやクリップボード等のリダイレクトを無効化することで、社外秘の情報を持つPCとWorkSpaces間のデータの移動を完全に制限できます。WorkSpacesはNAT Gateway経由でインターネットに接続、マネジメントコンソールにアクセスします。そのNAT Gatewayに割り当てたElastic IPのパブリックIPアドレスからしかAWSを操作できないように、IAM PolicyのCondition句で制限します(以下、参考URL) https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html

imiky
respondido hace un año

No has iniciado sesión. Iniciar sesión para publicar una respuesta.

Una buena respuesta responde claramente a la pregunta, proporciona comentarios constructivos y fomenta el crecimiento profesional en la persona que hace la pregunta.

Pautas para responder preguntas

Contenido relevante