この章では、 Device Defenderの軽減アクションを利用して監査でエラーとなった項目を修正する方法について学びます。
まず最初にこのワークショップの残りの作業で利用する軽減アクションを作成します。
ここでは、権限過大なポリシーを発見したら、軽減アクションによってポリシーを空にする設定を行います。
AWS IoT Coreのコンソールに戻り、メニューからDefender
> Mitigation action
と開き、Create
を開き最初のactionを作成します。
もしくはこちらのリンクから開いてください。
以下の項目を指定された内容で設定します。
AWSIoTDeviceDefenderAudit
を選択Managed policy not attached. Attach
が表示されたら、Attach
をクリックします最後にSave
をクリックします。
注意) 現在は、Replace default policy versionで指定できるのは、Empty Policyのみです。
ここでは、監査対象デバイスを静的なデバイスグループに追加する軽減アクションを設定します。
再度Mitigation action
画面で、Create
をクリックします。
次は以下の内容で作成します。
AWSIoTDeviceDefenderAudit
を選択Managed policy not attached. Attach
が表示されたら、Attach
をクリックしますSelect
をクリックし、Thing groups
の中にあるQuarantine_Static
にチェックを付けます最後にSave
をクリックします。
AWS IoTのコンソールでメニューのDefend
> Audit
> Schedules
と開き、Create
をクリックします。
もしくはこちらのリンクをクリックします。
次の画面で一番下までスクロールして、Create
をクリックして、実行します。
AWS IoTのコンソールでメニューのDefend
> Audit
> Results
と開き、結果を確認すると、監査でエラーとなったのを確認することができるはずです。
On-demand
をクリックして、詳細に進むと、Policyの権限が大きすぎるというのが確認できます。これは、Thingを登録した際に、PolicyのResourceを”*“に変更したことからが理由です。
エラーとして表示しているIoT Policies overly permissive
をクリックすると、この問題の詳細を確認することが出来ます。
この問題を簡単に解決方法について紹介します。
該当するエラーの左にあるチェックボックスにチェックを付け、画面右上にあるStart mitigration actions
をクリックします。
Task nameとしてWildcard_Policy_Mitigation
と入力し、Select actions
でEmpty_Policy
にチェックを付けます。
最後に、Confirm
をクリックすると処理が実行されます。数分してブラウザの再表示を行うと、StatusにCompleted
が表示されるのが確認できます。
では、実行結果をみてみましょう。 左側のメニューからManage
> Things
>ThingOne
と開き、作成したThingを開きます。Thingの詳細画面でSecurity
> 証明書
を開きます。
さらに、Policies
> ThingOne-Policy
と開き
Policy Documentを確認すると、ポリシーが変更されているのが確認できます。
注意) このポリシーだとすべてのアクセスが拒否されます
以上で、軽減アクションの設定を行うと、このようにポリシーの設定を一括で変更したり、証明書を一括で無効にすることが確認できました。
次の手順を進める為に、今回変更したポリシーを前のバージョンに戻します。
ポリシーの詳細画面で、左側のVersions
を選択すると一覧が表示されるので、Version 2
の右側にある...
をクリックしてSet as default
をクリックして、バージョンを戻します。
ここでは、簡単に監査で見つけた問題を解決することが出来る、軽減アクションについて作業を進めました。 軽減アクションをもっと詳しいく知りたい場合は、こちらのドキュメントを参照ください。
この章の手順は以上です。