วิธีจัดการสิทธิ์ AWS IAM ให้ดีในสตาร์ทอัป - ประสบการณ์นำ ConsoleMe มาใช้

• นโยบาย IAM แบบสิทธิ์เท่าที่จำเป็น

"เมื่อสร้างนโยบาย IAM ให้ปฏิบัติตามคำแนะนำด้านความปลอดภัยมาตรฐานเรื่องการให้สิทธิ์เท่าที่จำเป็น หรือให้เพียงสิทธิ์ขั้นต่ำที่จำเป็นต่อการทำงาน"

เดิมทีให้สิทธิ์ทุกอย่างกับนักพัฒนา แล้วจึงตัดสินใจเปลี่ยนมาใช้นโยบายสิทธิ์เท่าที่จำเป็น

• ประสบการณ์นำกระบวนการขอสิทธิ์โดยใช้ Jira มาใช้

หลังจากเรียกคืนสิทธิ์เดิมทั้งหมด ก็สร้างกระบวนการให้ขอสิทธิ์ที่จำเป็นได้ด้วย Jira + Terraform

แต่ใช้งานได้ยากด้วย 4 เหตุผลด้านล่าง

1. การทำ Terraform apply ต้องใช้เวลาประมาณ 3~5 นาที

2. ใช้เวลานานเพราะนักพัฒนามีความเข้าใจเกี่ยวกับ IAM policy ค่อนข้างน้อย

3. มีการยื่นขอเพิ่มสิทธิ์บ่อยครั้ง

4. เนื่องจาก IAM เปลี่ยนแปลงบ่อย จึงมักมีกรณีที่ซิงก์กับ Github ไม่ตรงกัน

• แสงสว่างของวงการขอสิทธิ์ IAM: ConsoleMe

โปรเจกต์โอเพนซอร์สที่ Netflix เปิดเผยในปี 2020 เพื่อช่วยจัดการสิทธิ์ IAM บน AWS แบบหลายบัญชีได้อย่างง่ายดาย มีเว็บคอนโซลให้ใช้งาน จึงช่วยทั้งการยื่นขอสิทธิ์ IAM และการใช้สิทธิ์ชั่วคราวสำหรับ Role ผู้ใช้สามารถแก้ไขได้อย่างอิสระผ่านตัวแก้ไขสิทธิ์บนเว็บ และเมื่อผู้ดูแลตรวจสอบแล้ว approve ก็จะนำไปใช้ได้ทันที

• การออกสิทธิ์ชั่วคราวด้วย SSO (Single sign-on)

บน AWS การใช้ AWS STS (Secure Token Service) เพื่อรับสิทธิ์ชั่วคราวสำหรับ IAM Role เป็นวิธีที่ปลอดภัยกว่าการใช้ IAM User ใน ConsoleMe สามารถใช้ SSO ผ่านบัญชี Google หรือ SSO provider เพื่อรับสิทธิ์ชั่วคราวสำหรับ IAM Role ได้อย่างง่ายดาย

• แล้วพอนำมาใช้จริง ดีขึ้นไหม?

ดีขึ้นครับ หลังจากทีมทดลองนำมาใช้และใช้งานจริงตลอด 6 เดือน เมื่อได้พูดคุยกันพบว่า หลังจากเริ่มใช้ ConsoleMe ทีมความปลอดภัยจัดการหลักฐานและล็อกที่เกี่ยวกับการขอสิทธิ์ได้สะดวกขึ้น ส่วนทีมพัฒนาก็เปลี่ยนจากกระบวนการที่เดิมใช้เวลาตั้งแต่ขั้นต่ำ 30 นาทีถึงสูงสุด 1 วัน มาเป็นกระบวนการขอสิทธิ์ที่ง่ายและใช้เวลาเพียงราว 5 นาที ทำให้ทุกฝ่ายพึงพอใจได้