Upgrade to Pro — share decks privately, control downloads, hide ads and more …

minimum-guardrails-by-aws-iam

Avatar for chadain chadain
August 17, 2021
Technology
1
2.2k

 minimum-guardrails-by-aws-iam

Minimum Guardrails by AWS IAM

Avatar for chadain

chadain

August 17, 2021
Tweet

More Decks by chadain

See All by chadain
AWS Control Towerと HashiCorp Terraformでいい感じにマルチアカウント管理をしよう
Avatar for chadain chazuke4649
1
4.2k
Account Factory for Terraform (AFT) 入門

Avatar for chadain chazuke4649
1
2.1k
"Are you Well-Architected?" Introducing about Cloud Optimization Aseesment
Avatar for chadain chazuke4649
0
1.1k
re:GrowthOSAKA2019-CoreServicesUpdate(IAM.S3.EC2)
Avatar for chadain chazuke4649
0
1.6k
How to think about Acsess controll of Amazon S3 simply
Avatar for chadain chazuke4649
1
2k

Other Decks in Technology

See All in Technology
なぜAWSを活かしきれないのか?技術と組織への処方箋
Avatar for NRI Netcom nrinetcom
PRO
5
990
Wasmの気になる最新情報
Avatar for asuka askua
0
130
AIツールでどこまでデザインを忠実に実装できるのか
Avatar for Oikon oikon48
6
3.5k
Node.js 2025: What's new and what's next
Avatar for Ruy Adorno ruyadorno
0
530
OpenTelemetry が拡げる Gemini CLI の可観測性
Avatar for Tomonori Hayashi phaya72
1
260
リセラー企業のテクサポ担当が考える、生成 AI 時代のトラブルシュート 2025
Avatar for kazzpapa3 kazzpapa3
1
370
事業開発におけるDify活用事例
Avatar for KentaroFujii kentarofujii
2
440
AI時代こそ求められる設計力- AWSクラウドデザインパターン3選で信頼性と拡張性を高める-
Avatar for Ken'ichirou Kimura kenichirokimura
3
350
やる気のない自分との向き合い方/How to Deal with Your Unmotivated Self
Avatar for Genki Sano sanogemaru
1
520
新規事業におけるGORM+SQLx併用アーキテクチャ
Avatar for hacomono Inc. hacomono
PRO
0
390
OAuthからOIDCへ ― 認可の仕組みが認証に拡張されるまで
Avatar for yamatai12 yamatai1212
0
140
All About Sansan – for New Global Engineers
Avatar for Sansan, Inc. sansan33
PRO
1
1.2k

Featured

See All Featured
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
Avatar for mongodb mongodb
48
9.7k
Unsuck your backbone
Avatar for Amy Palamountain ammeep
671
58k
Agile that works and the tools we love
Avatar for Rasmus Luckow-Nielsen rasmusluckow
331
21k
Put a Button on it: Removing Barriers to Going Fast.
Avatar for kastner kastner
60
4k
Thoughts on Productivity
Avatar for Jon Yablonski jonyablonski
70
4.9k
Building Adaptive Systems
Avatar for Chris Keathley keathley
44
2.8k
Leading Effective Engineering Teams in the AI Era
Avatar for Addy Osmani addyosmani
7
490
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
Avatar for Rebecca Miller-Webster rmw
35
3.2k
Rails Girls Zürich Keynote
Avatar for Gregor Martynus gr2m
95
14k
Designing Experiences People Love
Avatar for Jonathan Moore moore
142
24k
Faster Mobile Websites
Avatar for Dean Hume deanohume
310
31k
Building Flexible Design Systems
Avatar for Yesenia Perez-Cruz yeseniaperezcruz
329
39k

Transcript

  1. AWS IAMだけでなんとかする、 最低限のガードレール クラスメソッド株式会社 コンサルティング部 ちゃだいん

  2. 目次 • そもそもガードレールとは • 最低限防ぎたいこと • 実装方法のフローチャート • 1. MFAの強制

    • 2. 特定のアクションを禁止する • 3. IAMロール作成はOK、IAMユーザー作成はNG

  3. 自己紹介 • 名前: ちゃだいん • 所属: AWS事業本部 コンサルティング部 • 役割:

    ソリューションアーキテクト • ジョイン: 2019.1~ • Fav: クラフトビール(IPA)、茶碗蒸し

  4. そもそもガードレールとは

  5. ガードレール? • セキュリティ・ガバナンスに関する新めの概念(守り→攻め) • ゲートからガードレールへ ◦ いままで:ゲート(都度関所のように止めていた) ◦ これから:ガードレール(基本自由、でも立ち入り禁止区域には入れない) •

    ビジネスや開発のスピードを止めず、必要十分なセキュリティ・ガバナンスを担保す る方法 • むしろ、ガードレールがない道路より、ガードレールがある道路の方がスピードを出 せるはず(崖から落ちる心配をしないでOK)

  6. • 予防的ガードレール ◦ 禁止事項を未然に防止する ◦ IAMポリシー ◦ SCP • 発見的ガードレール

    ◦ 禁止事項を事後検出する ◦ Security Hub ◦ Configルール 2つのガードレールの概念

  7. 最低限防ぎたいこと

  8. • アクセスキーの漏洩 • 基本設定の変更・削除 • クラウド破産 • 権限昇格 • ...

    ワークロード、ユースケース、組織文化によって様々 最低限防ぎたいことの例

  9. 実装方法のフローチャート

  10. 超カンタンなフローチャート マルチアカウント戦略 やりたい? or Organizations 使いたい? No Yes • IAMポリシー

    • パーミッションバウンダリー • スイッチロール • Organizations • SCP • AWS SSO マルチアカウントじゃない or マルチアカウントだけど、Organizations使わない(使えない) マルチアカウントで、 Organizations使いたい

  11. 今回紹介するのはこちら マルチアカウント戦略 やりたい? or Organizations 使いたい? No Yes • IAMポリシー

    • パーミッションバウンダリー • スイッチロール • Organizations • SCP • AWS SSO マルチアカウントじゃない or マルチアカウントだけど、Organizations使わない(使えない) マルチアカウントで、 Organizations使いたい

  12. ただし... マルチアカウント戦略 やりたい? or Organizations 使いたい? No Yes • IAMポリシー

    • パーミッションバウンダリー • スイッチロール • Organizations • SCP • AWS SSO マルチアカウントじゃない or マルチアカウントだけど、Organizations使わない(使えない) マルチアカウントで、 Organizations使いたい 正直、今回やる「最低限のガードレール」は、 Organizations/SCP/AWS SSOを使う方がカンタン&オススメ。 ただし、全ての利用者で Organizationsが利用できる訳ではない ので、今回のパターン( IAMだけでなんとかする パターン) をご 紹介します。

  13. Organizations使わないで IAMだけでなんとかするパターン

  14. 元ネタのブログ 「最低限のガードレールを考慮したシンプルな IAM 設計を CloudFormation でデプロイ する | DevelopersIO」より引用 https://dev.classmethod.jp/articles/build-simple-guardrail-iam-design-pattern-by-

    cfn/

  15. 構成図

  16. 構成図(シンプル版)

  17. 技術要素 • IAM ポリシー • パーミッションバウンダリー • スイッチロール

  18. 最低限防ぎたいこと 1. MFAの強制 2. 特定のアクションを禁止する(例:Config/CloudTrailの変更・削除) 3. IAMロール作成はOK、IAMユーザー作成はNG

  19. 1. MFAの強制

  20. 1. MFAの強制 IAMロールに付与する信頼ポリシーに条件を追加し、 MFA認証済みのIAMユーザーのみスイッチロールできるようにする 開発者には、ログイ ン時の仮想MFAを設 定をしてもらう

  21. 1. MFAの強制

  22. 1. MFAの強制

  23. 1. MFAの強制

  24. 2. 特定のアクションの禁止

  25. 2. 特定のアクションを禁止する(例:Config/CloudTrail) IAMロールに付与するユーザーポリシーにフルアクセス、 パーミッションバウンダリーに特定のアクション禁止を記述する

  26. パーミッションバウンダリー(Permissions Boundary) 引用元)IAM エンティティのアクセス許可の境界 - AWS https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/access_policies_boundaries.html

  27. Tips: IAMポリシーの基本(権限の勝ち負け)

  28. 2. 特定のアクションを禁止する(例:Config/CloudTrail) IAMロールに付与するユーザーポリシーにフルアクセス、 パーミッションバウンダリーに特定のアクション禁止を記述する

  29. 2.1 パーミッションバウンダリーで特定のアクションを禁止 パーミッションバウンダリー パーミッションバウンダリー

  30. 2.1 パーミッションバウンダリーで特定のアクションを禁止 パーミッションバウンダリー ①全て「許可」 ②一部のIAMアクションを 「禁止」 ③一部のIAM以外の アクションを「禁止」 ②一部のIAMアクションを「禁 止」

    パーミッションバウンダリー

  31. 2.1 パーミッションバウンダリーで特定のアクションを禁止 パーミッションバウンダリー ①全て「許可」 ③一部のIAM以外の アクションを「禁止」 パーミッションバウンダリー

  32. 2.1 パーミッションバウンダリーで特定のアクションを禁止 パーミッションバウンダリー ①全て「許可」 パーミッションバウンダリー

  33. 2.1 パーミッションバウンダリーで特定のアクションを禁止 パーミッションバウンダリー ③一部のIAM以外の アクションを「禁止」

  34. 2.2 IAMロールのユーザーポリシーにフルアクセスを許可 実行権限(管理ポリシー)

  35. 2.3 パーミッションバウンダリーをアタッチ 実行権限(管理ポリシー)

  36. 2. 特定のアクションを禁止する(例:Config/CloudTrail)

  37. 2. 特定のアクションを禁止する(例:Config/CloudTrail) • EC2の起動 → OK • Config/CloudTrailの設定変更 → NG

    • ...

  38. 3. IAMロール作成はOK、IAMユーザー作成はNG

  39. なぜ? • IAM系のリソース作成を全て禁止しちゃうと管理者大変・業務スピード低下 • IAMロールは自由に作れるようにしたい • IAMユーザーは禁止したい(作れると最低限のアクション制限が崩壊) • 権限昇格も防ぎたい →管理者が開発者などへ一部IAM権限を移譲することで業務効率化を図る

  40. 3. IAMロール作成はOK、IAMユーザー作成はNG パーミッションバウンダリーに 「IAMロール作成はOK・IAMユーザー作成はNG」をを記述する

  41. 3. IAMロール作成はOK、IAMユーザー作成はNG パーミッションバウンダリー ①全て「許可」 ②一部のIAMアクションを 「禁止」 ③一部のIAM以外の アクションを「禁止」 ②一部のIAMアクションを「禁 止」

    パーミッションバウンダリー

  42. 3. IAMロール作成はOK、IAMユーザー作成はNG パーミッションバウンダリー ②一部のIAMアクションを 「禁止」 ②一部のIAMアクションを「禁 止」 パーミッションバウンダリー

  43. 3. IAMロール作成はOK、IAMユーザー作成はNG パーミッションバウンダリー ②-1 ②-3 パーミッションバウンダリー ②-2 ②-4

  44. ②-1 IAMユーザーの作成、変更などを禁止

  45. ②-2 パーミッションバウンダリーのないIAMロール作成禁止 言い換えると、 パーミッションバウンダリーのある IAMロールは 作成OK

  46. ②-3 パーミッションバウンダリーの変更禁止

  47. ②-4 パーミッションバウンダリーの削除禁止

  48. 3. IAMロール作成はOK、IAMユーザー作成はNG • IAMユーザーの作成 → NG • パーミッションバウンダリーのない IAMロールの作成 →

    NG • パーミッションバウンダリーのある IAMロールの作成 → OK • パーミッションバウンダリーの変更・削除 → NG

  49. 最低限防ぎたいこと 1. MFAの強制 2. 特定のアクションを禁止する 3. IAMロール作成はOK、IAMユーザー作成はNG

  50. 注意事項 • 権限まわり、IAMまわりの変更は、十分検証する • Webコンソールのウィザードで作成しようとするIAMロールは作成失敗します ◦ (例)Lambdaファンクションをコンソールのウィザードで作成する際に、新たに IAMロールを作成す る場合ウィザードではパーミッションバウンダリーを指定できないため失敗します。 ←正直、ここが

    本構成の1番の難点です。ウィザードでカンタンにサービスのリソース一式を作成する際につまずく 可能性が高いです。

  51. 元ネタのブログ 「最低限のガードレールを考慮したシンプルな IAM 設計を CloudFormation でデプロイ する | DevelopersIO」より引用 https://dev.classmethod.jp/articles/build-simple-guardrail-iam-design-pattern-by-

    cfn/

  52. ありがとうございました