AWS re:Post을(를) 사용하면 다음에 동의하게 됩니다. AWS re:Post 이용 약관
AWS re:Postre:Post

AWS利用による情報漏洩を防ぐには

0

社外秘の情報を持つPCからAWSマネジメントコンソールにログインする場合、 我々が管理するアカウントは厳密な権限分離とアクセスを許可する端末の制御が行われており、またアクセス先もドメインレベルの制御でhttps://aws.amazon.com/への接続のみを許可しています。

しかし例えば悪意のあるユーザーが社外秘の情報を持つPCから、事前に社外で作成しておいた全く関係の無いアカウントを用いてログインし、 オブジェクトストレージなどを利用し社外にデータを持ち出すことが可能だと考えています。

これを防ぐにはどのような構成が取れますでしょうか?

주제
보안, 신원 및 규정 준수관리 및 거버넌스AWS Well-Architected 프레임워크
태그
보안, 신원 및 규정 준수AWS 관리 콘솔보안AWS 계정 관리
언어
日本語
rePost-User-6842879
질문됨 일 년 전487회 조회
1개 답변
0

一つのやり方としては、仮想デスクトップサービスのAmazon WorkSpacesを構築、WorkSpacesをマネジメントコンソールへの唯一のアクセス端末とする方法が考えられます。社外秘の情報を持つPCからWorkSpacesに接続して、マネジメントコンソールを操作します。この際、WorkSpaces (Windows) の設定でドライブやクリップボード等のリダイレクトを無効化することで、社外秘の情報を持つPCとWorkSpaces間のデータの移動を完全に制限できます。WorkSpacesはNAT Gateway経由でインターネットに接続、マネジメントコンソールにアクセスします。そのNAT Gatewayに割り当てたElastic IPのパブリックIPアドレスからしかAWSを操作できないように、IAM PolicyのCondition句で制限します(以下、参考URL) https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html

imiky
답변함 일 년 전

로그인하지 않았습니다. 로그인해야 답변을 게시할 수 있습니다.

좋은 답변은 질문에 명확하게 답하고 건설적인 피드백을 제공하며 질문자의 전문적인 성장을 장려합니다.

질문 답변하기에 대한 가이드라인

관련 콘텐츠