クラウド 元SEママの情シスなりきりAWS奮闘記

【セキュリティ】 クラウドポータル開発者インタビュー vol.2
「セキュリティ強化や情シスの運用負荷軽減のためにも、細かなアクセス制御が必須だと考えました」

2018年3月6日掲載

こんにちは。元SEママライター・シイノキです。今回は「クラウドポータル」開発者インタビューシリーズvol.2をお届けします。クラウドポータルは「マネージドクラウド with AWS」が標準提供する運用管理ツールで、AWSを誰でも簡単に運用できることを目指して独自に開発したもの。vol.1では2017年にリリースした新機能のなかから注目の機能として「EC2リモート管理」についてエンジニアの平山さんに紹介してもらいました。

そんな平山さんがもうひとつおすすめしてくれたのが「ポータルユーザ権限管理」機能です。この機能を使うと、AWSの管理コンソールではできないことができる……ということなのですが、いったい何ができるのでしょうか?詳しく伺いました!

ユーザの権限を細かく制御できる「ポータルユーザ権限管理」機能

――― 2017年のバージョンアップで追加された機能で、「ポータルユーザ権限管理」も注目ということですが、ユーザごとに操作できる権限などを管理する、ということですよね。こちらも要望が多いということでしょうか?
平山 AWS環境も規模が大きくなってくると情報システム部門ですべてを管理するのではなく、部署ごとに管理を任せるケースが増えてきます。A部署のサーバはA部署の担当者が管理する、B部署はB部署で……といった形ですね。そうなったときに当然出てくるのが、各部署の担当者が他部署のサーバを操作できないように制御したい、というニーズです。これまでもクラウドポータルで、操作できるEC2インスタンスを制限することはできたのですが、大規模な環境で使うお客さまが増えてきたので、権限管理の機能を強化しました。

――― 自分の部署のサーバは自由に起動しても停止してもいいけれど、ほかの部署の人にサーバを勝手に操作されたら困る、ということですよね。
平山 単に「困る」だけではないんです。セキュリティやガバナンスの観点では、誰でもどのインスタンスにでもアクセスできてしまう状態では問題があります。たとえば人事の情報や、機密情報が保存されている場合もありますし、各部署のサーバには該当部署の管理者しかアクセスできないように制御する必要があります。少し違った観点では、インスタンスの管理は任せたいけれど、料金は見せたくない、という要望もありますね。

アカウントごとに使える機能・リソースを制御できる!

――― なるほど。確かにセキュリティやガバナンスなどは大きな問題になりそうです。この問題を「ポータルユーザ権限管理」で解決できる、ということですか?
平山 クラウドポータルでは、ユーザアカウントを複数作成することができるんですが、アカウントごとに使える機能とリソースを制限することができます。
まずは機能ですが、機能ごとに「表示/非表示」を設定できるんですね。なので、たとえばAさんにはS3管理機能は表示させるけれど、契約情報や利用料金、セキュリティなどの機能は非表示、という設定ができます。非表示に設定すると、そのアカウントでログインした際にメニュー自体が表示されなくなります。
管理対象のリソースについても、あらかじめEC2やRDS、ELBのインスタンスをグループ化し、アカウントを紐づけることで、グループに登録されたインスタンスだけが表示されるようになります。

同じ構成図でもユーザによって“見えるサーバ”を制御

「操作できない」だけでなく、「見えない」ことが大切

――― メニューやインスタンス自体が見えなければ、操作を間違えようがないですよね。
平山 はい。ここがクラウドポータルならではの特長でもあります。AWSのユーザ管理サービスであるIAMでも権限管理はできるんですが、「見えるけれど、操作はできない」状態になるだけで、「インスタンス自体を見せない」ということはできないんです。
ですが、セキュリティやガバナンスを考えたときに、「部署の管理担当者以外に、サーバの構成やリソース自体を見せたくない」という声は多かったので、今回クラウドポータルの機能で対応しました。

――― どんなサーバがあるのかがほかの部署からも見えてしまう状況が、セキュリティのリスクになりかねない……ということですよね。IAMでできるような気がしていました。
平山 IAMはアクセス権の管理をおこなうものですが、リソースの一覧は見れてしまって、それに対して操作しようとすると「操作できない」とエラーが出る形になります。これでは足りない、と考えるお客さまも多いようですね。
こういったAWSの管理コンソールと、お客さまのニーズのギャップを埋めるような機能を、今後もクラウドポータルで提供していけたらと考えています。

AWSセキュリティ強化支援サービス

AWSのセキュリティが不安な方へ 運用負荷をおさえた効果的な対策強化を支援します

AWS運用管理・自動化ツール「クラウドポータル」

「はじめてでも運用できる」 「もっと使いこなせる」 独自開発ツール

マネージドクラウド with AWS

はじめてのAWSから 一歩進んだ活用までトータルサポート

まとめ

AWS環境は、使いたいときにすぐにサーバを立ち上げられることが魅力とされています。確かに開発や検証などの用途にすぐに環境を用意できることはかなり嬉しいはず。ですが、その「使いたいときにすぐに環境を構築」って全部情シスが対応するかというと……正直「マジで?」みたいな気持ちになりそうですし、かといって「全部事業部に任せた!」とするのは、それはそれで不安が大きい気がします。

セキュリティやガバナンスといった大きな課題に対応しなければならないのはもちろんですが、まずは情シスにとって日常業務の運用をラクにしたい、というのもあるでしょう。アクセス権限を細かく管理することで、不安なく運用を事業部に任せることができれば、結構な負担軽減につながるはず。かなり嬉しい機能だと思います。
ちなみに、クラウドポータルでは各種監視や通知機能も充実していまして、あらかじめ設定したイベント(インスタンスの起動・停止や削除など)が発生したときにアラート通知する、といったことも簡単に設定できちゃいます。

お話を聞いていると、確かにこれは便利!と思う機能が多いクラウドポータル。これからも3ヵ月に1度のバージョンアップでどんどん進化していく予定とのことですので、ぜひ今後もご期待ください!

パンフレットをダウンロード

AWS運用管理・自動化ツール「クラウドポータル」

「AWS運用管理・自動化ツール「クラウドポータル」」のダウンロードをご希望のお客様は、
以下必要事項をご入力ください。

関連コラム

このコラムに関連する製品

  • AWSセキュリティ強化支援サービス

    AWSのセキュリティが不安な方へ
    運用負荷をおさえた効果的な対策強化を支援します

    詳細はこちら

  • AWS運用管理・自動化ツール「クラウドポータル」

    「はじめてでも運用できる」
    「もっと使いこなせる」
    独自開発ツール

    詳細はこちら

  • マネージドクラウド with AWS

    はじめてのAWSから
    一歩進んだ活用までトータルサポート

    詳細はこちら

このコラムに関連する
導入事例

【セキュリティ】 クラウドポータル開発者インタビュー vol.2
「セキュリティ強化や情シスの運用負荷軽減のためにも、細かなアクセス制御が必須だと考えました」

SHARE
シェアシェア ポストポスト
【セキュリティ】 クラウドポータル開発者インタビュー vol.2<br>「セキュリティ強化や情シスの運用負荷軽減のためにも、細かなアクセス制御が必須だと考えました」
SHARE
ポスト シェア