当ブログの内容は筆者の経験と知識に基づいていますが、AWSのサービスおよび認定試験は定期的にアップデートされています。もし記事に誤りや古い情報がある場合、お手数ですが「コメント」や「お問い合わせ」からお知らせいただければ幸いです。読者の皆様からの貴重なフィードバックを歓迎しており、正確かつ有益な情報を提供できるよう努めてまいります。
どうぞよろしくお願いいたします。
AWS STSとは
概要
AWS Security Token Service (STS) は、IAMに含まれる一機能であり、短期間有効な認証情報(セキュリティトークン)を発行するサービスです。これにより、異なるAWSサービスやアカウント、または一時的なアクセスを必要とする外部ユーザーやアプリケーションに対して安全にアクセス権限を付与できます。
特徴
AWS STSの主な特徴には以下があります。
- 一時的なセキュリティ認証情報
AWS STSは、指定された期間だけ有効な一時的なアクセスキー、シークレットアクセスキー、およびセッショントークンを発行します。これにより、長期的な認証情報の使用リスクを軽減できます。 - フェデレーテッドユーザーのサポート
AWS STSは、社内の認証システム(例えば、Active Directory)を利用して、外部IDプロバイダーを介してユーザーを認証し、一時的な認証情報を発行します。これにより、外部ユーザーにもセキュアにAWSリソースへのアクセスを許可できます。 - クロスアカウントアクセス
AWS STSは、異なるAWSアカウント間でのリソースアクセスを容易にします。例えば、あるアカウントのIAMロールを他のアカウントから一時的に引き受けることができます。 - 柔軟なセキュリティポリシー
一時的な認証情報には、詳細なアクセス許可を定義するポリシーを適用できます。これにより、必要最低限の権限でリソースにアクセスすることができます。
ユースケース
AWS STSの代表的なユースケースをいくつか紹介します。
- 一時的なタスクの実行
外部ベンダーや短期プロジェクトのために、一時的な認証情報を発行してAWSリソースへのアクセスを許可します。例えば、プロジェクトの一部を外部に委託する場合に利用できます。 - フェデレーテッドアクセス
社内のActive DirectoryやGoogle Workspaceなどの認証システムを使用して、外部のユーザーにAWSリソースへのアクセスを提供します。これにより、既存の認証インフラを活用しつつ、セキュアなアクセスを実現します。 - クロスアカウントのアクセス管理
複数のAWSアカウントを持つ組織が、特定のリソースへのアクセスを他のアカウントから許可するためにSTSを利用します。例えば、開発アカウントから本番アカウントのリソースにアクセスする場合に役立ちます。 - 動的なセキュリティポリシーの適用
一時的な認証情報に特定の条件や時間制限を設けることで、動的なセキュリティポリシーを適用します。これにより、柔軟かつセキュアなアクセス制御が可能となります。
まとめ
AWS STS は、短期的な認証情報を発行することで、セキュアな一時的アクセスを可能にする重要なサービスです。試験では、STSがどのように一時的なセキュリティトークンを生成し、クロスアカウントアクセスやフェデレーションアクセスを提供するかを理解しておくことが重要です。これにより、セキュリティとアクセス管理を強化し、AWS環境での柔軟なアクセス制御を実現できます。
次回の記事では、「AWS Key Management Service (AWS KMS)」について詳しく解説します。
参考
・AWS公式ガイド
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_temp.html
【AWS認定試験対策 サービス一覧】
【AWS各サービス概要一覧】
【おすすめの参考書】
リンク先からご購入いただき、サイト運営をご支援いただけますと幸いです…
ポチップ
ポチップ
ポチップ
コメント