2024.05.29

AWS、信頼されたID伝播でデータアクセス、権限設定、監査を効率化

NewsPilot編集部

Amazon Web Services (AWS) は、信頼されたID伝播に基づく新しいユースケースを発表しました。これは、最近導入されたAWS IAM Identity Centerの機能です。

今回の発表により、Tableauなどのユーザー向けアプリケーションは、エンドユーザーIDをAmazon Redshiftに伝播できるようになりました。

これにより、エンドユーザーのサインイン体験が簡素化され、データオーナーは実際のエンドユーザーIDに基づいてアクセスを定義できるようになり、監査者はユーザーによるデータアクセスを検証できるようになります。

従来のデータアクセス方法は、ダウンストリームサービスの管理者が、リクエストを行っている実際のユーザーに合わせてきめ細かく調整されたアクセス制御ポリシーを定義することを困難にしていました。また、データアクセスイベントをエンドユーザーに関連付ける作業には、手間がかかっていました。

信頼されたID伝播は、ユーザー向けアプリケーションがキーボードの背後にいる実際のユーザーに代わってデータにアクセスするための技術的なメカニズムを提供します。

実際のユーザーIDを知ることで、ダウンストリームサービスの管理者は、ユーザーのID、所属するグループ、またはその2つの組み合わせに基づいてアクセス制御ポリシーを作成および管理できるようになり、監査者はシステムログで元のユーザーIDにアクセスできるようになり、ポリシーが正しく実装され、企業または業界レベルのポリシーのすべての要件を満たしていることを検証できるようになり、BIアプリケーションのユーザーは、アプリケーション間でシングルサインオンを利用できるようになります。

信頼されたID伝播は、OAuth2とJWTという業界標準のメカニズムに依存しています。OAuth2は、ユーザーがサードパーティのユーザー向けアプリケーションに資格情報を公開することなく、他のサービス（ダウンストリームサービス）のデータへのアクセスを許可できるようにするアクセス委任のオープンスタンダードです。JWT（JSON Web Token）は、2つの当事者間で転送されるIDとクレームを表すための、コンパクトでURLセーフな手段です。JWTは署名されているため、その整合性と信頼性を検証できます。

信頼されたID伝播を設定するには、IAM Identity Center、ユーザー向けアプリケーション、およびダウンストリームサービスで設定を行う必要があります。

今回の発表により、企業は、データへのアクセスをより安全かつ効率的に管理できるようになり、監査者は、組織のコンプライアンス体制を検証し、データにアクセスしているユーザーの実際のIDを知ることができるようになります。

参照元サイト：AWS analytics services streamline user access to data, permissions setting, and auditing

ABOUT ME