Skip to content

AWS Systems Manager Change Managerによる 変更管理と本番アクセス統制 ⑥動作確認編


  1. Change Managerで本番アクセスする
  2. 作業終了のリクエスト忘れへの対策
  3. まとめ

こんにちは、クラウドセキュリティアーキテクトの大島です。

7編にわたって、「AWS Systems Manager Change Managerによる変更管理と本番アクセス統制」について紹介しています。

前回の「⑤テンプレート作成編」では、本番アクセス統制を実現するために、Change Managerに必要なテンプレートの作成と登録方法を紹介しました。今回の「⑥動作確認編」では、Change Mangerのリクエスト作成を行ってみて、変更管理と本番アクセス統制が可能になっているかを紹介します。

AWS01

 

Change Managerで本番アクセスする

前提
  • JumpアカウントのIAMユーザ member01が、本番環境の変更作業のためにProdアカウントにスイッチロールするケースを想定します。

  • Prodアカウントにはあらかじめ、以下のような本番作業用ロールが作成されています。

AWS02AWS03

  • Jumpアカウントには以下のような本番アクセス用グループが用意されており、上記のProdにある本番作業用ロールにスイッチする権限があります。

AWS04AWS05

  • member01は本番アクセス用グループに参加していません。

AWS06

本番環境へスイッチロールしても当然失敗します。

 AWS07
 AWS08
 
リクエストを作成①

Change Managerから「リクエストを作成」を押下します。

AWS09

 

グループ追加用のテンプレートを選択します。

AWS10

変更の名前を付けます。

AWS11

 

ターゲット通知トピックを選択し、「通知を追加」を押下します。

AWS12

ロールはドキュメント作成時にデフォルトの設定をしているため変更は不要です。ランブックのパラメータは、リクエストするユーザ、加入したいグループ、作業終了日時を入力します。

AWS13

「承認のために送信」を押下します。

AWS14

 

リクエストが保留中になり、選択したターゲット通知トピックからメールが届きます。

AWS15

 

AWS16

 

AWS17

 

承認者グループのユーザがリクエスト画面を確認すると、承認/拒否ボタンがありますので「承認」を押下します。

AWS18

 

コメントを記入して承認します。

AWS19

ランブックのタスクが実行され、成功になりました。

AWS20

 

AWS21

 

タイムラインも確認できますので便利です。

AWS22

変更結果を確認①

partner01が新たに本番アクセス用グループに参加し、タグが付与されています。

AWS23AWS24

 

もう一度、Prodアカウントにスイッチロールしてみます。

AWS25

今度はProdアカウントにスイッチロールできました。

AWS26

リクエストを作成②

変更作業が終了したので、今度はグループから離脱するリクエストを作成します。要領は先ほどと同じです。

AWS27

AWS28

AWS29

 

タスクの実行が成功しました。

AWS30

AWS31

AWS32

 

変更結果を確認②

partner01が本番アクセス用グループから離脱され、タグも削除されています。

AWS33AWS34

当然、Prodアカウントにスイッチロールできなくなっています。

AWS35

作業終了のリクエスト忘れへの対策

Change Managerにより、本番環境アクセスを制御できるようになりました。

リクエスト作成時にリクエスト情報を書き込めるようになっているので、あらかじめ作業計画や切り戻し計画を書いてもらう運用にすると、さらに管理しやすくなるでしょう。

ただ、ここまでの設定だけだとユーザから作業終了リクエストが行われなかった場合、本番アクセス用グループに参加し続けることができるので本番アクセスが常に可能になってしまいます。

そこで、ユーザに付与したタグが活きてくるわけです。

image-20221024-143947

タグキーにグループ名、タグ値に作業終了日時を付与しているので、これを自動的に監視する仕組みを実装すればよいのです。

例えば、以下のようなLambdaを定期的に実行するとよいでしょう。

  • 全ユーザのタグ値と現在日時を比較する
  • タグ値 < 現在日時 なら、タグとともにタグキーに記載のグループから離脱させる
  • 強制離脱させた場合やタグ値のフォーマット誤りがあれば、エラーメールを出す

このようなエラーメールがあれば運用しやすいのではないでしょうか。

AWS36

 

まとめ

今回の「⑥動作確認編」では、Change Mangerのリクエスト作成を行ってみて、変更管理と本番アクセス統制が可能になっているかを紹介しました。非常に使い勝手がよく、セキュリティやガバナンスの向上に役立つことを実感できたのではないでしょうか。


次回の「⑦まとめ」では、これまでの内容のポイントを振り返りたいと思います。

 

 

「AWS Systems Manager Change Managerによる変更管理
と本番アクセス統制」シリーズ全編はこちら