Census(センサス、現Fivetran Activations)は、Amazon DynamoDBが外部IDを使用したロールベースのIAM認証をサポートするようになったと発表した。これは、混乱した代理人の問題を防ぐことを目的としている。今回のアップデートでは、DynamoDBの宛先を設定する際に、従来の認証情報方式からロール引き受けフローに切り替えるオプションが追加されたと説明されている。
DynamoDBの宛先を設定する際に、Fivetranが管理する外部IDを生成する新しい「Use Role-based Auth」トグルが追加された。外部IDは24文字のbase58文字列として指定され、宛先のロールARNとともにAWS IAMトラストポリシーに挿入する必要がある。この実装では、ロール引き受け時に外部IDを利用して、指定されたFivetranアカウントへのアクセスを制限する仕組みになっている。
セキュリティー上の影響については、役割の引き受けを管理対象の外部IDに紐付けることで、混乱した代理人の問題を軽減するという観点から説明された。役割ベースのIAM認証への変更は、Fivetranを介してDynamoDBと統合する際に、AWS IAM信頼ポリシーに追加の検証レイヤーを提供するものとして説明された。
また、従来のアクセスキー接続は新しいオプションの影響を受けないため、既存の設定はロールベース認証への強制的な移行なしに引き続き運用できることも指摘された。
出典:Census
この製品の詳細については、Census製品ページをご覧ください。