Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AssumePolicyの意外なハマりどころ

Haruka Sakihara
March 15, 2022
Technology
0
910

 AssumePolicyの意外なハマりどころ

22/3/14 JAWS-UG朝会 #31にて発表

Haruka Sakihara

March 15, 2022
Tweet

More Decks by Haruka Sakihara

See All by Haruka Sakihara
AWS CDKで作るCloudWatch Dashboard
harukasakihara
1
350
ベストな Terraform ディレクトリ構成を考察してみた
harukasakihara
10
2.5k
セキュアなTerraformの使い方 ~ 機密情報をコードに含めず環境構築するにはどうしたらいいの?
harukasakihara
10
3k

Other Decks in Technology

See All in Technology
スマートラウンドで試してみた ChatGPT活用成功/失敗事例8選!
doyaaaaaken
2
510
スタートアップだからこそ考えるフロントエンドのテスト戦略
yoshinagaiwnl
4
500
リアルとデジタルをつなぐ、Web3社会実装への取り組み
sbtechnight
PRO
0
380
自動運転レベル4解禁にあたり求められる遠隔監視技術
sbtechnight
PRO
0
530
NIST SP800-63-4 IPD 63A: Identity Proofing 概要紹介
kthrtty
0
380
マネジメント3.0モデル入門(120分版)
takufujii
11
2.7k
Autonomous Database Cloud 技術詳細 / adb-s_technical_detail_jp
oracle4engineer
PRO
10
24k
最先端の質問応答技術の研究開発と迅速な実用化ーStudio Ousiaでの取り組みー
ikuyamada
2
400
6G/テラヘルツの取り組み
sbtechnight
PRO
0
440
様々な環境へコマンドラインツールを提供する上での苦労とその対策 / YAPC::Kyoto 2023
konboi
0
310
赤裸々図解!新卒3年目でマネジメントもこなすフルスタックエンジニアになるまで
mizunohiroaki
0
280
インターネットの最新技術をモバイル網に持ち込んで最強のエッジコンピューティング基盤を作ってみた
sbtechnight
PRO
0
370

Featured

See All Featured
Writing Fast Ruby
sferik
613
58k
Teambox: Starting and Learning
jrom
124
7.9k
Bootstrapping a Software Product
garrettdimon
299
110k
KATA
mclloyd
12
10k
The Mythical Team-Month
searls
210
40k
Clear Off the Table
cherdarchuk
79
290k
Designing for humans not robots
tammielis
245
24k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
109
16k
Rebuilding a faster, lazier Slack
samanthasiow
69
7.6k
Building Better People: How to give real-time feedback that sticks.
wjessup
346
17k
Making the Leap to Tech Lead
cromwellryan
117
7.7k
How to Ace a Technical Interview
jacobian
270
22k

Transcript

  1. AssumePolicyの意外なハマりどころ
    Monday, March 14. 2022
    Haruka Sakihara
    JAWS-UG朝会 #31
    JAWS-UG logo is licensed under a Creative Commons Attribution-NonCommercial 4.0 International License.

    View Slide

  2. 自己紹介
    Haruka Sakihara

    • ネットワークスペシャリスト試験(IPA)
    • AWS Certified Security等4資格
    • アクセンチュア株式会社
    テクノロジーコンサルティング本部所属
    • 普段はクラウドインフラ構築の支援をしておりま

    • アプリケーション……プライベートだとGo, 仕事だ
    と少しPython
    • インフラ……ほとんどAWS
    This presentation makes reference to marks owned by third parties. Unless otherwise noted, all such third-party marks are the property of their
    respective owners. No sponsorship, endorsement or approval of this content by the owners of such marks is intended, expressed or implied.

    View Slide

  3. 今回実現したいこと
    とあるAssumeRoleの権限移譲先として、「あるグループに属している
    IAMユーザー全員」を指定したいというケースを考えます。
    Users
    IAM User Group
    Assume Policy

    View Slide

  4. AssumePolicyのプリンシパルに指定できる要素
    AWS公式ドキュメントより
    出典: AWS公式ドキュメント - AWS JSON ポリシーの要素: Principal
    ポリシーでは、次のいずれかのプリンシパルを指定で
    きます。
    • AWS アカウントおよびルートユーザー
    • IAM ロール
    • ロールセッション
    • IAM ユーザー
    • フェデレーティッドユーザーセッション
    • AWS のサービス
    • すべてのプリンシパル
    Error creating IAM Role role-A:
    MalformedPolicyDocument: Invalid principal in
    policy
    IAMグループは対象外!
    IAMグループを指定すると・・・
    しかし、IAMユーザーグループをAssumePolicyのプリンシパルに指定することは
    できません。

    View Slide

  5. 解決策: TerraformのDataSourceを利用
    出典: Terraform公式ドキュメント - provider/aws Data Source: aws_iam_group
    data.aws_iam_group.example.usersで所属ユー
    ザーの情報を取得できる!
    Terraformを利用している場合には、DataSource “aws_iam_group”を使ってある
    IAMグループを参照することで、そこに属するIAMユーザー情報をリストの形で得
    ることができます。

    View Slide

  6. 解決策: TerraformのDataSourceを利用
    2. DataSourceから取得したユーザー
    ARNをfor文で取り出す
    グループに属するユーザー全員
    のARNが記載されたポリシード
    キュメントが生成される
    1. IAMグループを参照する
    DataSourceの作成
    IAMグループを参照するDataSourceから得た所属ユーザーARN一覧を、for文で取
    り出してAssumePolicyのプリンシパルに指定します。

    View Slide

  7. まとめ
    • AssumeRoleのプリンシパルには、IAMグループを指定できません。
    • そのときはリソース管理にTerraformを使っていたため、IAMグループのDataSourceを使って所
    属ユーザーARN一覧を取得し、それをプリンシパルに指定する方法で乗り切りました。
    • この方法だと、グループに新しくユーザーが追加されても、そのユーザーARNをプリンシパルに
    追加するところまで自動化できるのでとても便利でした。
    • IaCは単にインフラをコード管理するためのツールではなく「通常通りに書くと面倒な設定を言語
    の力で簡潔に表す」というプログラミング言語的な側面もあるので、そこも存分に活用していき
    ましょう。

    View Slide

  8. Thank You
    ご意見、ご質問ありましたらお気軽にご連絡下さい
    [email protected]
    Haruka Sakihara(崎原 晴香)

    View Slide