IAM ロールはエクスカリバー～イメージでつかむ IAM ロールの世界～ #devio2023/IAM-Roles-are-Excalibur-Grasping-the-World-of-IAM-Roles-with-Images-devio2023

Transcript

1. IAM ロールはエクスカリバー ～イメージでつかむ IAM ロールの世界～ 2023/7/25

2. 目次 2 はじめに IAM ロール概要 IAM ロールが安全と言われるわけ IAM ロールを使えば本当に安全なのか 100%

   のセキュリティ対策は難しい

3. 目次 3 はじめに IAM ロール概要 IAM ロールが安全と言われるわけ IAM ロールを使えば本当に安全なのか 100%

   のセキュリティ対策は難しい

4. はじめに

5. はじめに 5 • 概念を理解いただくためイメージを多用しており、 正確性に欠ける表現が含まれる場合がございます。 • 概念の理解に重点を置いており、具体的な IAM ロールの作成方法や設定方法については 記載しておりません。

   • 具体的かつ正確性の高い情報を求めている方は、 そっとお戻りください。

6. 6 登場人物の紹介 はじめに ※イメージです ※イメージです

7. 目次 7 はじめに IAM ロール概要 IAM ロールが安全と言われるわけ IAM ロールを使えば本当に安全なのか 100%

   のセキュリティ対策は難しい

8. IAM ロール概要

9. IAM ロール概要 9 ロール？

10. IAM ロール概要 10 Role (俳優の)役、役割、任務、役目、本務 Weblio 英和辞典 和英辞典：https://ejje.weblio.jp/content/role

11. 11 AWS リソースに何かしらの「役割」を担わせるもの IAM ロール概要 ？ 役割を持った者 役割を全うするための 権限を持った者になる Amazon

    EC2 IAM ロール ※イメージです ※イメージです

12. 12 力のない人間に使命を担わせるために力を与える IAM ロール概要 https://dev.classmethod.jp/articles/iam-role-passrole-assumerole/ ※イメージです ※イメージです

13. 13 IAM ロール概要 力のない人間に使命を担わせるために力を与える ※イメージです ※イメージです

14. 14 IAM ロール概要 剣に力を宿す ※イメージです ※イメージです

15. 15 選ばれし勇者は剣を使うことができる IAM ロール概要 ※イメージです ※イメージです

16. 16 IAM ロールに IAM ポリシー（権限）を付与する IAM ロール概要 IAM ロール IAM

    ポリシー （権限） IAM ロール IAM ポリシー （権限）

17. 17 principal は IAM ロールを 引き受ける（AssumeRole）ことができる IAM ロール概要 Amazon EC2

    （principal） Amazon EC2 （principal） IAM ロール IAM ポリシー（権限）

18. 18 選ばれし勇者は 無限に剣を使うことができるわけではない IAM ロール概要 ※イメージです ※イメージです

19. 19 選ばれし勇者は 無限に剣を使うことができるわけではない IAM ロール概要 ※イメージです ※イメージです

20. 20 IAM ロール概要 ※イメージです ※イメージです エクスカリバーを守る妖精が存在し、 エクスカリバーのエネルギーの源を絶えず 供給し続けている

21. 21 IAM ロール概要 エクスカリバーを守る妖精が存在し、 エクスカリバーのエネルギーの源を絶えず 供給し続けている IAM ロール 一時的な クレデンシャル

    AWS STS

22. 22 AWS STS（Security Token Service）は IAM ロールの一時的な認証情報（クレデンシャル）を 発行する IAM ロール概要

    IAM ロール 一時的な クレデンシャル IAM ユーザー 永続的な クレデンシャル

23. 23 AWS STS（Security Token Service）は IAM ロールの一時的な認証情報（クレデンシャル）を 発行する IAM ロール概要

    IAM ロール IAM ユーザー 永続的な クレデンシャル 一時的な クレデンシャル

24. 24 AWS STS（Security Token Service）は IAM ロールの一時的な認証情報（クレデンシャル）を 発行する IAM ロール概要

    IAM ロール 一時的な クレデンシャル AWS STS

25. 25 AWS STS（Security Token Service）は IAM ロールの一時的な認証情報（クレデンシャル）を 発行する IAM ロール概要

    IAM ロール 一時的な クレデンシャル AWS STS

26. 26 登場人物の対応 IAM ロール概要 ※イメージです ※イメージです

27. 27 登場人物の対応 IAM ロール概要 ※イメージです ※イメージです IAM ロール IAM ポリシー

    一時的な認証情報 （クレデンシャル） AWS STS principal

28. 28 妖精がいないと旅立ちから一定の時間で剣は力を失い 力のない勇者は GAME OVER IAM ロール概要

29. 29 IAM ロール概要 私が愚かだった… 妖精がいないと旅立ちから一定の時間で剣は力を失い 力のない勇者は GAME OVER

30. 30 • IAM ロールは AWS リソースに何かしらの「役割」を 担わせる • IAM ロールには

    IAM ポリシー（権限）を付与する • principal（AWS リソース）は IAM ロールを 引き受ける（AssumeRole） • AWS STS は IAM ロールの 一時的な認証情報（クレデンシャル）を発行する IAM ロール概要

31. 目次 31 はじめに IAM ロール概要 IAM ロールが安全と言われるわけ IAM ロールを使えば本当に安全なのか 100%

    のセキュリティ対策は難しい

32. IAM ロールが安全と言われるわけ

33. 33 認証情報をコードに直接埋め込むことなく、IAM ロールが 一時的な認証情報を通じてアクセス可能にしてくれる IAM ロールが安全と言われるわけ S3 EC2 Source code

    S3 EC2 IAM ロール 永続的なクレデンシャル Source code 一時的なクレデンシャル

34. 34 AWS STS（Security Token Service）は IAM ロールの一時的な認証情報（クレデンシャル）を 発行する IAM ロールが安全と言われるわけ

    IAM ロール 一時的な クレデンシャル IAM ユーザー 永続的な クレデンシャル

35. 35 IAM ロールが安全と言われるわけ IAM ユーザー 永続的な クレデンシャル 永遠に失われない 強い力を常に持つ もしすべてが永続的なクレデンシャルで管理されるとしたら

36. 36 もしすべてが永続的なクレデンシャルで管理されるとしたら IAM ロールが安全と言われるわけ 永遠に失われない強い力 うわあああ 悪い奴が攻撃してきた 力を盗んでやろう

37. 37 もしすべてが永続的なクレデンシャルで管理されるとしたら IAM ロールが安全と言われるわけ 永続的な認証情報 （クレデンシャル） principal 認証情報を 盗んでやろう うわあああ

    情報が盗まれ改ざんされた 勝手に高額インスタンスを 立ち上げられた

38. 38 もしすべてが永続的なクレデンシャルで管理されるとしたら IAM ロールが安全と言われるわけ 強い力には危険が伴う…

39. 39 IAM ロールが安全と言われるわけ 一時的な クレデンシャル IAM ロール 一時的なクレデンシャルで管理されるとしたら 強い力には 時間制限がある

40. 40 IAM ロールが安全と言われるわけ 時間制限がある力 一時的なクレデンシャルで管理されるとしたら 時間切れになったら 新しい力を与えます いつでも 新鮮な力だ！ 力を盗んだが、

    時間切れで 使えなくなってしまった

41. 41 IAM ロールが安全と言われるわけ 一時的なクレデンシャルで管理されるとしたら 時間切れになったら 新しい認証情報 （クレデンシャル）を与えます 一時的な認証情報 （クレデンシャル） 認証情報を盗んだが、

    時間切れで 使えなくなってしまった

42. 42 • 認証情報を AWS リソースやプログラムコードに 直接埋め込むことなく、IAM ロールが一時的な認証情報 を通じてアクセス可能にしてくれる • AWS

    STS が発行する一時的な認証情報 （クレデンシャル）は自動的にローテーションされるため、 漏洩しても攻撃者がそれを永続的に 使用することができない IAM ロールが安全と言われるわけ

43. 目次 43 はじめに IAM ロール概要 IAM ロールが安全と言われるわけ IAM ロールを使えば本当に安全なのか 100%

    のセキュリティ対策は難しい

44. IAM ロールを使えば 本当に安全なのか

45. IAM ロールを使えば本当に安全なのか IAM ロールを利用しているから安心？ 45

46. 46 IAM ロールを使えば本当に安全なのか 時間制限がある力 一度盗まれたということは、侵入経路がバレているということ 侵入経路はわかっている 時間切れで使えなくなってしまうなら 繰り返し盗み続ければいい うわあああ 悪い奴が攻撃してきた

47. 47 IAM ロールを使えば本当に安全なのか 一度盗まれたということは、侵入経路がバレているということ 一時的な認証情報 （クレデンシャル） 侵入経路はわかっている 時間切れで使えなくなってしまうなら 繰り返し盗み続ければいい うわあああ

    情報が盗まれ改ざんされた 勝手に高額インスタンスを 立ち上げられた

48. 48 敵に悪用され、仲間に害を及ぼす存在に 変貌してしまった場合 IAM ロールを使えば本当に安全なのか うわあああ 仲間だと思っていた勇者が 攻撃してきた お前も鬼に ならないか？

    確かに それもいいな 時間制限がある力

49. 49 攻撃者によって悪用され、システム全体や他のサーバーに 害を及ぼす存在に変貌してしまった場合 IAM ロールを使えば本当に安全なのか 確かに それもいいな うわあああ 自社システム内のインスタンスが 情報を改ざんしたり

    マルウェアをばらまいたりしている 権限のあるインスタンスに 侵入して悪さをしよう 一時的な認証情報 （クレデンシャル）

50. 50 • 一時的な認証情報が盗まれ続ける可能性がある • 特に EC2 インスタンスに IAM ロールを付与する場合は IMDS

    v2 を利用するなどの対策をする • そもそもシステム内部に侵入させないようアクセス元を 適切に制限し、ユーザー入力の検証とサニタイズを行い 入力の悪用を防止する • 不審な挙動を発見したら速やかに隔離し権限を はく奪する IAM ロールを使えば本当に安全なのか

51. 目次 51 はじめに IAM ロール概要 IAM ロールが安全と言われるわけ IAM ロールを使えば本当に安全なのか 100%

    のセキュリティ対策は難しい

52. 100% のセキュリティ対策は難しい

53. 53 • IAM ロールは重要な防御手段だが万能ではない • セキュリティは攻撃 First • 攻撃手法は絶えず進化している •

    99% の対策を目指す 100% のセキュリティ対策は難しい

54. 99% を目指して頑張りましょう 100% のセキュリティ対策は難しい 54

55. 参考 55 Weblio 英和辞典 和英辞典 より https://ejje.weblio.jp/content/role いらすとや https://www.irasutoya.com/ インスタンスメタデータとユーザーデータ

    https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2-instance-metadata.html [待望のアプデ]EC2インスタンスメタデータサービスv2がリリースされてSSRF脆弱性等への攻 撃に対するセキュリティが強化されました！ https://dev.classmethod.jp/articles/ec2-imdsv2-release/ 選ばれし勇者の声 Amazon Polly – ニューラル 日本語 Takumi 敵の声 Amazon Polly – ニューラル 日本語 Tomoko 妖精、仲間の声 Amazon Polly – ニューラル 日本語 Kazuha https://aws.amazon.com/jp/polly/
56. None