こんにちは。Mackerelチーム CRE の三浦( id:missasan )です。
Mackerelでは今後、AWSインテグレーションの権限チェックを強化するリリースを段階的に行ってまいります。リリースに伴い、ユーザーのみなさまにご対応いただきたい点について記載しておりますので、詳細をご確認ください。
本リリースは、セキュリティを強化しMackerelをより安心してお使いいただくための変更となります。みなさまにはご協力をいただけますと幸いです。
リリースは以下の流れに沿って行います。
- 1. AWSインテグレーションでIAMロールによる認証を利用する場合、外部ID の制限設定を必須とします
- 2. AWSインテグレーションでIAMロールによる認証を利用する場合、メトリック取得時に権限チェックを行う頻度を増やします
1. AWSインテグレーションでIAMロールによる認証を利用する場合、外部ID の制限設定を必須とします
これまで、AWSインテグレーションでIAMロールによる認証を利用する場合、IAMロール側でロールを引き受けられる 外部ID を制限するよう設定することを推奨としてきましたが、よりセキュリティを強化するため、今後予定されているリリースにて、この 外部ID の制限設定を必須とします。
認証に利用するIAMロールで 外部ID が制限されていない場合、およびMackerelの設定作成ページで取得した 外部ID と異なるIDが設定されている場合は、Webコンソール、API実行による、AWSインテグレーションの登録・更新が行えないようになります。
なお、この変更により、既に設定済みのAWSインテグレーションのメトリック収集、投稿には影響はありません。 ただし、外部ID の制限設定を行わない場合、混乱した代理問題が発生する可能性がありますのでご注意ください。
このリリースに伴い、以下を実施してください。
- 1 のリリース後、外部ID の制限が行われていないIAMロールについては、AWSインテグレーション設定画面で権限チェックの結果が無効と表示されるようになります。その場合には、外部ID を制限する設定を行ってください。
IAMロールによる認証を利用したAWSインテグレーションの設定方法詳細はAWS インテグレーション - Mackerel ヘルプをご参照ください。
2. AWSインテグレーションでIAMロールによる認証を利用する場合、メトリック取得時に権限チェックを行う頻度を増やします
AWSインテグレーションでIAMロールによる認証を利用している環境で、メトリック取得時にIAMロールに不必要に強い権限(変更権限など)が付与されていないことをチェックし、不必要な権限が付与されている場合、メトリックの収集と投稿を行わないという処理を低頻度で実行しています。今後のリリースにより、より適切に権限チェックが行われるよう実行頻度を増やします。
定期的な権限チェック時にIAMロールに不必要に強い権限が付与されている場合、メトリックの収集と投稿が行われませんのでご注意ください。
またリリース後、該当の処理を実行したログがCloudTrailに出力される頻度が増加しますので、ご了承ください。どのようなログが出力されるかの詳細については、ヘルプをご参照ください。
このリリースに伴い、以下を実施してください。
- IAMロールに不必要に強い権限が付与されている場合、AWSインテグレーション設定画面で権限チェックの結果が無効と表示されます。その場合には、IAMロールのポリシーの確認および修正を行ってください。
必要な権限はAWS インテグレーション - Mackerel ヘルプをご参照ください。
この度は、Mackerelの変更に伴い、ユーザーのみなさまにはご不便をおかけいたします。 セキュリティ強化のため、みなさまにはご協力をいただけますよう重ねてお願い申し上げます。