AWS re:Postを使用することにより、以下に同意したことになります 利用規約
AWS re:Postre:Post

AWS利用による情報漏洩を防ぐには

0

社外秘の情報を持つPCからAWSマネジメントコンソールにログインする場合、 我々が管理するアカウントは厳密な権限分離とアクセスを許可する端末の制御が行われており、またアクセス先もドメインレベルの制御でhttps://aws.amazon.com/への接続のみを許可しています。

しかし例えば悪意のあるユーザーが社外秘の情報を持つPCから、事前に社外で作成しておいた全く関係の無いアカウントを用いてログインし、 オブジェクトストレージなどを利用し社外にデータを持ち出すことが可能だと考えています。

これを防ぐにはどのような構成が取れますでしょうか?

トピック
セキュリティ、アイデンティティ、コンプライアンス管理とガバナンスAWS Well-Architected Framework
タグ
セキュリティ、アイデンティティ、コンプライアンスAWS マネジメントコンソールセキュリティAWS アカウントマネジメント
言語
日本語
rePost-User-6842879
質問済み 4ヶ月前146ビュー
1回答
0

一つのやり方としては、仮想デスクトップサービスのAmazon WorkSpacesを構築、WorkSpacesをマネジメントコンソールへの唯一のアクセス端末とする方法が考えられます。社外秘の情報を持つPCからWorkSpacesに接続して、マネジメントコンソールを操作します。この際、WorkSpaces (Windows) の設定でドライブやクリップボード等のリダイレクトを無効化することで、社外秘の情報を持つPCとWorkSpaces間のデータの移動を完全に制限できます。WorkSpacesはNAT Gateway経由でインターネットに接続、マネジメントコンソールにアクセスします。そのNAT Gatewayに割り当てたElastic IPのパブリックIPアドレスからしかAWSを操作できないように、IAM PolicyのCondition句で制限します(以下、参考URL) https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html

imiky
回答済み 2ヶ月前

ログインしていません。 ログイン 回答を投稿する。

優れた回答とは、質問に明確に答え、建設的なフィードバックを提供し、質問者の専門分野におけるスキルの向上を促すものです。

質問に答えるためのガイドライン

関連するコンテンツ