S3でセキュアにファイル交換してみる　ヤマムギVol12

Transcript

1. 「S3でセキュアにファイル交換してみる」 2021/04/07 山崎 遼平 @halhira ヤマムギvol.12 - AWS認定 デベロッパーアソシエイトの試験に出るかもなデモ見せあいっこ

2. 自己紹介 2 山崎 遼平 YAMAZAKI Ryohei 文系業務系SE work at 内⽥洋⾏

   技術領域︓AWS、サーバ構築(Win/Linux)、ERP、 Oracle、グループウェア、Storage、ネットワーク機器、VB… 普段のお仕事︓ ・プロジェクトマネージャ・プリセールス・ユーザーサポート ・インフラエンジニア ・アプリケーションエンジニア…etc 好きなAWSサービス︓ Direct Connect (安定したVPNって素晴らしい…) ▪資格など IPA 情報処理安全確保⽀援⼠(登録セキスペ) IPA ネットワークスペシャリスト IPA セキュリティスペシャリスト AWS Solutions Architect Associate(期限切れ) AWS 認定 デベロッパー – アソシエイト New ︕(3/31に取ったばかり) コミュニティ︓ Twitter︓ @halhira

3. 最低限なら… 3 ・B2Bなやり取りで、最小限の要件ならこれでもいいかも。 超絶シンプル。IAMユーザーを作成し、S3アプリから双方アクセスするだけ。 AWS Cloud Amazon Simple Storage Service

   (Amazon S3) 送る人 Internet 受け取る人 WinSCP WinSCP

4. こんな構成が作りたかった(未完成) 5 ・ALBからCognitoのUserpoolのみで認証可能。(コード無しで実現) ・SSE-KMSでサーバサイド暗号化している場合、Pre-signedURLの発⾏は署名v4が必要。 Web経由でアクセス。ログインさせた後で、Pre-signedURLでダウンロード AWS Cloud Public subnet VPC

   ALB ロードバランサ AWS Certificate Manager (ACM) SSL証明書 Elastic Load Balancing Amazon S3 Webページのホスト 送る人 Internet HTTPS 受け取る人 「yamamugi-demo.ml」 SSL証明書 Amazon Route 53 「yamamugi-demo.ml」 Amazon CloudFront HTTPS 「auth.yamamugi-demo.ml」 Amazon Cognito AWS Key Management Service (AWS KMS) Amazon S3 転送するファイル SSE-KMSでの暗号化 AWS Lambda AWS Lambda Amazon API Gateway ALBのターゲット Pre-signedURLの発行(署名v4) 静的サイト生成 ここができていない