AWSアカウント番号を共有する（外部ID用）

Question

ここでは、参考資料に基づいて内部組織がAWSアカウントを管理するためのサービスをAWS上に構築しています。

参考：http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html

質問：ドキュメントを参照して、当社のサービスは、 'ExampleCorp' と同じです。したがって、AWSアカウントの役割を引き受けるためにAWSアカウント番号を共有する必要があります。

「AWSアカウント番号」を共有することはセキュリティ上の懸念事項ですか？誰かがこの情報（AWSアカウント番号）を悪意のある目的のために使用できますか？

あるいは、

我々はプロジェクト/ユーザーごとにAWSアカウント番号を作成する必要がありますか？

注： （私はこれに関連し、インターネットで見つけた唯一の参照は、それが主張&下のリンクがあり、その共有しても大丈夫 - https://acloud.guru/forums/aws-certified-solutions-architect-professional/discussion/-KRUT9T6gFZ4Ebyv0hLp/my-aws-account-id-should-it-remain-private）。

ありがとうございます。

Answer 1

共有AWSアカウント番号は、ビジネスパートナ間でかなり安全です。アカウント番号だけで誰でもできることがあればあまりありません。役割を引き受けるには、アカウント番号が必要ですが、承認アカウントでもポリシーの信頼関係を設定する必要があります。パートナーのIAMロールに付与する権限に注意してください。

Amazonを騙すことに関してあなたが参照したリンクのコメント。彼らは言及されたものよりも多くの情報を知る必要があります。アマゾンは非常に賢く、この点で非常に慎重です。

なぜ、別のアカウントが必要かどうかを判断するために第三者にアクセスを許可する理由を考える必要があります。たとえば、第三者からセキュリティ/監視サービスを購入する場合、そのインスタンスを持つアカウント内のインスタンスにアクセスする必要があります。

Answer 2

「AWSアカウント番号」を共有することはセキュリティ上の懸念事項ですか？誰かがこの情報（AWSアカウント番号）を悪意のある目的のために使用できますか？

アカウント間のアクセスを提供する必要がある場合は、アカウントIDを共有する必要があります。それが信頼関係を確立する方法です。だから、あなたのアカウント番号の共有に関するセキュリティ上の懸念はないはずです。

あるいは、

我々はプロジェクト/ユーザーごとにAWSアカウント番号を作成する必要がありますか？

いいえ。アカウントを1つだけ使用して他のプロジェクトにリンクしてください。

外部IDとしてAWSアカウント番号を共有

これはなしなしです！想定するクロスアカウントの役割ごとに、外部IDの一意の文字列を生成します。外部IDは、あなたがその役割を担っていることを認識し、信頼関係を確立するものです。外部IDとしてアカウント番号を使用するだけで、何らかの理由でIAMユーザーの資格情報が侵害された場合、リンクされたアカウント（ロールを持つ）も潜在的に危険にさらされます。私の提案は、プロジェクトごとに新しい外部IDを生成し、プロジェクトごとにIAMユーザーを生成し、それぞれのアカウントプロジェクトと必要とされる可能性のある他のAWSサービスの役割を引き受けるポリシーを割り当てます。