BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース 誤ったIAMポリシーによるS3データへのAWSアクセスに関する疑問

誤ったIAMポリシーによるS3データへのAWSアクセスに関する疑問

ブックマーク

原文(投稿日:2022/01/06)へのリンク

AWSサポートが使うポリシーの予期しない変更により、顧客のS3データへのアクセスに関する懸念が生じた。当クラウドプロバイダは変更を元に戻した。アクセス許可は使用されなかったし、できなかったと述べ、セキュリティ速報を公開した。セキュリティ専門家は、将来の同じような問題を検出して防止するための手順を提案している。

12月21日、AWSは、AWSSupportServiceRolePolicyの新しいバージョン(v20)を誤ってコミットし、デプロイした。AWSサポート自動システムで使用されるマネージドIAMポリシーである。新しいバージョンには、AWSサポートチームに顧客データへのアクセスを許可する可能性のあるS3:GetObject権限が誤って含まれていた。クラウドセキュリティコンサルタントのScott Piper氏は、この問題に気づき、ツイートした。

AWSSupportServiceRolePolicyがs3:GetObjectを得ました。その役割は、メタデータの可視性のみを持つことになっています。 AWSセキュリティはそれをロールバックする必要があります。

SIRT/Security OpsエンジニアのDan Urson氏は、AWS Securityがこの問題に取り組んでいることをすぐに認めた。しかし、コミュニティはそれほど寛容ではなかった。変更は約8時間後に元に戻された。AWSは古い(v19)バージョンをデフォルトバージョンにした。The Duckbill GroupのクラウドエコノミストであるCorey Quinn氏は、まず次のように書いている

ここで明確にします。これは、しばらくの間、AWSサポートが皆さんのS3データをすべて読み取ることができたことを意味します。緩和策はありません。この役割は絶対です。皆さんがCloudTrailデータイベントを有効にしている場合は、監査できます。そうでない場合は、セキュリティインシデントを宣言する時かもしれません。

この出来事の2日後に発行されたセキュリティ速報で、AWSは次のように説明している。

これらのアクセス許可は一時的に存在していましたが、使用されませんでしたし、できませんでした。厳密にコントロールされたAWSサポートシステムのみがAWSSupportServiceの役割を引き受けることができました。そのシステムには、アクセス許可が付与されている場合でもS3オブジェクトにアクセスする機能がありません。いずれにせよ、サポートポリシーが誤ってデータアクセス許可を付与することを防ぐために、追加のセーフガードを実装します。

ソース: console.aws.amazon.com

AWSのVPで、著名なエンジニアであるMatthew Wilson氏は、次のように要約している

AWSサポートがGetObject APIを呼び出すことはできませんでした。ポリシーの更新により不必要にご迷惑をおかけしたことをお詫び申し上げます。

独立系のクラウドアーキテクトのVictor Grenu氏は、どのようにして顧客がイベントを監査し、サポートロールが最後に使用された日時を確認するかを説明する記事を書いた。そして、主なポイントをツイートにまとめた。

1. IAMは難しいもので、AWSでさえ失敗する
2. IAMに加えられた変更は、常に他のメンバーのレビューを行い、手作業で、リンティングを使って行うべきである
3. 顧客自身が管理するキーを使って暗号化する

AWSサポートのサービスにリンクされたロールはサポートアクティビティの透明性と監査可能性を高める。一方で、すべての開発者がこのアプローチを信頼しているわけではない。セキュリティ速報は変更の背後にある理由を明らかにしなかった。ウィルソンは次のように説明している

これまでの慣例では、AWSSupportServiceRolePolicyを月に1回程度更新して、新しいサービスとアクションのサポートを組み込んでいます。この変化には多くの注目が集まり、顧客データの保護に重点が置かれていました。しかし、分析は、リクエストを受けた実際のAPIアクセス(私の理解において現時点では、最終的にS3オブジェクトへの読み取りアクセスを必要とするHeadObject)や、ロールを利用するすべてのAWSサポートツールの制御などに関連して追加されたコンテキストで行われました。レビュー担当者は、顧客データが保護されていることを知っていました。

Piper氏は、クラウドサービスプロバイダのセキュリティミスのリポジトリをメンテナンスしている。AWS、GCP、AzureのCVEやバグバウンティなど、セキュリティ問題を追跡するプロジェクトである。

作者について

この記事に星をつける

おすすめ度
スタイル

BT