4. 軽減アクションの作成

この章のゴール

この章では、 Device Defenderの軽減アクションを利用して監査でエラーとなった項目を修正する方法について学びます。

Step1

まず最初にこのワークショップの残りの作業で利用する軽減アクションを作成します。

権限過大なポリシーの軽減アクションの作成

ここでは、権限過大なポリシーを発見したら、軽減アクションによってポリシーを空にする設定を行います。

AWS IoT Coreのコンソールに戻り、メニューからDefender > Mitigation actionと開き、Createを開き最初のactionを作成します。 もしくはこちらのリンクから開いてください。

chapter4-01

以下の項目を指定された内容で設定します。

  • Action name
    • Empty_Policy
  • Action Type
    • Replace default policy version
  • Action execution role
    • AWSIoTDeviceDefenderAudit を選択
    • Managed policy not attached. Attachが表示されたら、Attachをクリックします
  • Parameters
    • Empty Policy

最後にSaveをクリックします。

注意) 現在は、Replace default policy versionで指定できるのは、Empty Policyのみです。

chapter4-02

監査対象のデバイスを静的グループに追加する軽減アクションを作成

ここでは、監査対象デバイスを静的なデバイスグループに追加する軽減アクションを設定します。

再度Mitigation action画面で、Createをクリックします。 次は以下の内容で作成します。

  • Action name
    • Quarantine_Things
  • Action Type
    • Add things to thing group
  • Action execution role
    • AWSIoTDeviceDefenderAudit を選択
    • Managed policy not attached. Attachが表示されたら、Attachをクリックします
  • Parameters
    • Selectをクリックし、Thing groupsの中にあるQuarantine_Staticにチェックを付けます

最後にSaveをクリックします。

chapter4-03

Step2

オンデマンド監査を実行

AWS IoTのコンソールでメニューのDefend > Audit > Schedulesと開き、Createをクリックします。 もしくはこちらのリンクをクリックします。

次の画面で一番下までスクロールして、Createをクリックして、実行します。

chapter4-04

監査結果の確認

AWS IoTのコンソールでメニューのDefend > Audit > Results と開き、結果を確認すると、監査でエラーとなったのを確認することができるはずです。

chapter4-05

On-demandをクリックして、詳細に進むと、Policyの権限が大きすぎるというのが確認できます。これは、Thingを登録した際に、PolicyのResourceを”*“に変更したことからが理由です。

chapter4-06

エラーとして表示しているIoT Policies overly permissiveをクリックすると、この問題の詳細を確認することが出来ます。

chapter4-07

軽減アクションの実行

この問題を簡単に解決方法について紹介します。 該当するエラーの左にあるチェックボックスにチェックを付け、画面右上にあるStart mitigration actionsをクリックします。

chapter4-08

Task nameとしてWildcard_Policy_Mitigationと入力し、Select actionsEmpty_Policyにチェックを付けます。

chapter4-09

最後に、Confirmをクリックすると処理が実行されます。数分してブラウザの再表示を行うと、StatusにCompletedが表示されるのが確認できます。

chapter4-10

では、実行結果をみてみましょう。 左側のメニューからManage > Things >ThingOneと開き、作成したThingを開きます。Thingの詳細画面でSecurity > 証明書を開きます。

chapter4-11

さらに、Policies > ThingOne-Policyと開き

chapter4-12

Policy Documentを確認すると、ポリシーが変更されているのが確認できます。

注意) このポリシーだとすべてのアクセスが拒否されます

chapter4-13

以上で、軽減アクションの設定を行うと、このようにポリシーの設定を一括で変更したり、証明書を一括で無効にすることが確認できました。

次の手順を進める為に、今回変更したポリシーを前のバージョンに戻します。 ポリシーの詳細画面で、左側のVersionsを選択すると一覧が表示されるので、Version 2の右側にある...をクリックしてSet as defaultをクリックして、バージョンを戻します。

chapter4-14

ここでは、簡単に監査で見つけた問題を解決することが出来る、軽減アクションについて作業を進めました。 軽減アクションをもっと詳しいく知りたい場合は、こちらのドキュメントを参照ください。

この章の手順は以上です。