2019年12月3日に発表されたSession Tagについての解説です。
何ができるようになったか
Session Tagの説明をする前にRBACとABACの軽い解説をします。
AWSではRBACというロールを使ってアクセス制御をする方法が推奨されています。
これは個人アカウントごとに権限を作成するのではなく、ロールに権限を与えて作業させるというものです。
これを使うことで、権限の管理が楽になったり、ルートアカウントで作業させないことでセキュリティリスクを減らすことができます。
万能かのようにも思えるRBACは欠点があります。それはリソースが増えてきてアクセス制御が大変になるということです。
そこでユーザとリソース、その間にある関係や動的情報を紐付けてアクセス制御を行う方法でABACが使われる事になりました。
これらはAWS内でしか使えないという欠点がありました。IAMでユーザ側の属性を管理することはできるけど、IdPと連携している場合は活用できませんでした。
この問題を解決するのがSession Tagです。
IdPを利用してフェデレーションを行う際に属性をAWSのタグとして使用できるようになりました。
対応リージョンと料金
全リージョンで利用可能で、追加費用はかかりません。
またPassing Session Tags in AWS STSのページからステップ・バイ・ステップでABACベースの許可システムを設定できます。
