CloudWatchFullAccessV2とV1の違い・影響・変更方法について

AWS公式から「[Action Required] Changes to AWS Managed Policy 」という文言のメールが届いていました。

翻訳すると、「AWS 管理ポリシーCloudWatchFullAccessがサポートされなくなるため、CloudWatchFullAccessV2への置き換えが推奨されています。」みたいな内容が書いてありました。

これについて、色々サポートに問い合わせてみたので、共有します。

目次

何が起きるのか

簡単に言うと、CloudWatchFullAccessがサポートされなくなるため、CloudWatchFullAccessV2に乗り換えてね。ということです。

今まで権限が広めにとられていたV1に比べ、V2は権限が狭まってセキュリティ向上しているようです。

2023 年 12 月 7 日までに廃止される予定。みたいなことも書いてあったので、詳しくサポートに問い合わせてみたところ、以下のような回答を頂きました。

「CloudWatchFullAccess」というポリシーは 2023 年 12 月 7 日までに廃止される予定であることをお知らせいたしました。 しかしながら、大変恐縮ではございますが、最初にお客様に行われた通知は正確ではありませんでした。 「CloudWatchFullAccess」ポリシーは、以前お伝えしたスケジュール(2023 年 12 月 7 日)で廃止されることはございません。そのため、お客様にてただちに修正を行う必要はございません。 現状、具体的な廃止時期については未定となりますものの、今後「CloudWatch FullAccess」は廃止される予定であるため、「CloudWatch FullAccess V2」に移行することを推奨いたします。廃止までは、どちらのポリシーも引き続き完全にサポートされます。

V1の正確な廃止時期は未定だが、今後廃止する予定ではあるのでV2に移行することを推奨しているようです。

影響

今までのポリシーは権限が広めに取られていて、リスクがあります。ですが、今のところ使い続ける分にはそこまで問題はないように思えます。

引き続きV1は利用できますが、新規のエンティティへのアタッチや、アタッチ済みのエンティティがないAWSアカウントからのポリシーの参照ができなくなります。

例えば、IAMグループにV1ポリシーをアタッチしている場合、新規IAMユーザーをそのグループに追加できなくなるということです。

V1とV2の差分

AWSから回答貰ったV1とV2の差分が以下になります。

  • V1
    autoscaling:Describe*
    sns:*
  • V2
    application-autoscaling:DescribeScalingPolicies
    autoscaling:DescribeAutoScalingGroups
    autoscaling:DescribePolicies
    sns:CreateTopic
    sns:ListSubscriptions
    sns:ListSubscriptionsByTopic
    sns:ListTopics
    sns:Subscribe

軽く整理したものが以下になります。

  • application-autoscaling:DescribeScalingPolicies の追加
  • サービスプレフィックス autoscaling の Describe に関するアクションの許可が一部に変更
    • autoscaling:DescribeAutoScalingGroups
    • autoscaling:DescribePolicies
  • サービスプレフィックス sns に関するアクションの許可が一部に変更
    • sns:CreateTopic
    • sns:ListSubscriptions
    • sns:ListSubscriptionsByTopic
    • sns:ListTopics
    • sns:Subscribe

以上のことから、V2になって制限をされるのはautoscalingとsnsのアクションだという事が分かります。

影響を受けるリソースの確認方法

影響を受けるリソースの確認方法をとして、2つご紹介します。

①AWS Health Dashboardから確認

AWS Health Dashboardのコンソールを開き、「イベントログ」から「Cloudwatch security notification」のログがないか確認します。「Cloudwatch security notification」のログがあった場合、「影響を受けるリソース」から確認できます。

その後、CloudTrailのコンソールを開き、「イベント履歴」を選択、検索欄で「ユーザー名」を選択して、対象のARNを入力することでログから影響があるか調査することができます。

②IAMポリシーから確認

IAMのコンソールを開き、「ポリシー」で「CloudWatchFullAccess」と検索し、「CloudWatchFullAccess」を選択します。「アタッチされたエンティティ」開き、影響を受ける可能性があるリソースを確認できます。

その後、同画面からアクセスアドバイザーを開き、autoscalingとsnsのアクションに対してのアクセス履歴を確認することで影響があるか調査できます。

また、AthenaでIAM ロールによって実行されるすべての API アクティビティをフィルタリングするクエリの例をサポートから回答して貰えたので、そちらも共有しておきます。

SELECT *
FROM athena-table
WHERE useridentity.sessionContext.sessionissuer.arn LIKE ‘%role-name%’
AND useridentity.sessionContext.sessionissuer.type = ‘Role’;

role-name は、自分の IAM ロール名に置き換えてください。

変更方法

変更方法としてはとても簡単です。

IAMのコンソールを開き、「ポリシー」を選択、「CloudWatchFullAccessV2」と検索し、「アタッチされたエンティティ」から対象のリソースをアタッチします。

その後、同じく「CloudWatchFullAccess」と検索し、「アタッチされたエンティティ」からV1ポリシーをデタッチします。

必ず、V2アタッチ→V1デタッチの順番で作業を行いましょう。

まとめ

今後日程は決まっていないものの、「V1を廃止する予定」と公式から宣言されている以上、この際、どのリソースが影響あるかを今のうちに調べて変更しておくべきだと思います。

最悪、権限不足でシステム障害が怖い場合、V2に変更して、AutoScalingとSNSのFullAccessを付けるのが最終手段かと思います。

タイトルとURLをコピーしました