Startup'ta AWS IAM Yetki Yönetimini Doğru Yapmak - ConsoleMe Kullanıma Alma Hikâyesi

• IAM en az ayrıcalık politikası

"IAM politikaları oluştururken en az ayrıcalık verme yönündeki standart güvenlik tavsiyesine uyun ya da yalnızca işi yapmak için gereken minimum izinleri verin"

Daha önce geliştiricilere tüm yetkiler veriliyordu, ardından en az ayrıcalık politikasını izlemeye karar verildi.

• Jira ile yetki talep süreci kurma hikâyesi

Mevcut tüm yetkiler geri toplandıktan sonra, gerekli izinlerin talep edilebileceği bir süreç Jira + Terraform ile oluşturuldu.

Ancak aşağıdaki dört nedenle kullanımı zordu:

1. Terraform apply işlemi için yaklaşık 3~5 dakika gerekiyordu

2. Geliştiricilerin IAM policy konusundaki düşük bilgi seviyesi nedeniyle süreç uzun sürüyordu

3. Ek yetki talepleri sık oluyordu

4. Sık değişen IAM yapısı nedeniyle Github ile senkronun tutmadığı durumlar çok oluyordu

• IAM yetki talebi dünyasında bir umut ışığı: ConsoleMe

Netflix'in 2020'de tanıttığı, AWS çoklu hesap ortamında IAM yetki yönetimini kolaylaştırmaya yardımcı olan açık kaynak bir proje. Bir web konsolu sunarak IAM yetki taleplerini ve Role için geçici yetki kullanımını destekliyor. Kullanıcı web üzerindeki yetki editöründe serbestçe düzenleme yapıyor, yönetici inceleyip onayladıktan sonra değişiklikler hemen uygulanıyor.

• SSO (Single sign-on) ile geçici yetki verme

AWS üzerinde AWS STS (Secure Token Service) kullanarak IAM Role için geçici yetki almak, IAM User kullanmaktan daha güvenli bir yöntem. ConsoleMe, SSO üzerinden Google hesabı ya da SSO provider kullanarak IAM Role için geçici yetki almayı kolaylaştırıyor.

• Peki, kullanıma aldıktan sonra iyileşti mi?

Evet. Ekipte 6 ay boyunca kullanıp değerlendirdikten sonra, ConsoleMe'ye geçildikten itibaren güvenlik ekibi için yetki taleplerine ilişkin kanıt ve log yönetimi kolaylaştı; geliştirme ekibi içinse en az 30 dakika, en fazla bir gün süren süreç, yalnızca yaklaşık 5 dakika alan kolay bir yetki talep sürecine dönüştü ve herkes memnun kaldı.