Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AssumePolicyの意外なハマりどころ

Haruka Sakihara
March 15, 2022
Technology
1
1.7k

 AssumePolicyの意外なハマりどころ

22/3/14 JAWS-UG朝会 #31にて発表

Haruka Sakihara

March 15, 2022
Tweet

More Decks by Haruka Sakihara

See All by Haruka Sakihara
意外と難しい?エンジンアップグレードとIaCの両立
harukasakihara
4
630
未経験エンジニアがアウトプット駆動で自らのキャリアと生きる道を切り開くまで
harukasakihara
9
4.4k
AWS CDKで作るCloudWatch Dashboard
harukasakihara
4
2.2k
ベストな Terraform ディレクトリ構成を考察してみた
harukasakihara
16
5.8k
セキュアなTerraformの使い方 ~ 機密情報をコードに含めず環境構築するにはどうしたらいいの?
harukasakihara
21
7.5k

Other Decks in Technology

See All in Technology
BLADE: An Attempt to Automate Penetration Testing Using Autonomous AI Agents
bbrbbq
0
300
ドメイン名の終活について - JPAAWG 7th -
mikit
33
20k
Platform Engineering for Software Developers and Architects
syntasso
1
520
ISUCONに強くなるかもしれない日々の過ごしかた/Findy ISUCON 2024-11-14
fujiwara3
8
870
[FOSS4G 2024 Japan LT] LLMを使ってGISデータ解析を自動化したい!
nssv
1
210
20241120_JAWS_東京_ランチタイムLT#17_AWS認定全冠の先へ
tsumita
2
250
SSMRunbook作成の勘所_20241120
koichiotomo
2
130
【令和最新版】AWS Direct Connectと愉快なGWたちのおさらい
minorun365
PRO
5
750
EventHub Startup CTO of the year 2024 ピッチ資料
eventhub
0
110
SREによる隣接領域への越境とその先の信頼性
shonansurvivors
2
520
なぜ今 AI Agent なのか _近藤憲児
kenjikondobai
4
1.4k
rootlessコンテナのすゝめ - 研究室サーバーでもできる安全なコンテナ管理
kitsuya0828
3
380

Featured

See All Featured
Documentation Writing (for coders)
carmenintech
65
4.4k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
229
52k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
0
89
Music & Morning Musume
bryan
46
6.2k
The Cost Of JavaScript in 2023
addyosmani
45
6.7k
How to Ace a Technical Interview
jacobian
276
23k
Testing 201, or: Great Expectations
jmmastey
38
7.1k
Reflections from 52 weeks, 52 projects
jeffersonlam
346
20k
Designing for Performance
lara
604
68k
We Have a Design System, Now What?
morganepeng
50
7.2k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
47
2.1k
What's in a price? How to price your products and services
michaelherold
243
12k

Transcript

  1. AssumePolicyの意外なハマりどころ Monday, March 14. 2022 Haruka Sakihara JAWS-UG朝会 #31 JAWS-UG

    logo is licensed under a Creative Commons Attribution-NonCommercial 4.0 International License.

  2. 自己紹介 Haruka Sakihara <取得資格> • ネットワークスペシャリスト試験(IPA) • AWS Certified Security等4資格

    • アクセンチュア株式会社 テクノロジーコンサルティング本部所属 • 普段はクラウドインフラ構築の支援をしておりま す • アプリケーション……プライベートだとGo, 仕事だ と少しPython • インフラ……ほとんどAWS This presentation makes reference to marks owned by third parties. Unless otherwise noted, all such third-party marks are the property of their respective owners. No sponsorship, endorsement or approval of this content by the owners of such marks is intended, expressed or implied.

  3. 今回実現したいこと とあるAssumeRoleの権限移譲先として、「あるグループに属している IAMユーザー全員」を指定したいというケースを考えます。 Users IAM User Group Assume Policy

  4. AssumePolicyのプリンシパルに指定できる要素 AWS公式ドキュメントより 出典: AWS公式ドキュメント - AWS JSON ポリシーの要素: Principal ポリシーでは、次のいずれかのプリンシパルを指定で

    きます。 • AWS アカウントおよびルートユーザー • IAM ロール • ロールセッション • IAM ユーザー • フェデレーティッドユーザーセッション • AWS のサービス • すべてのプリンシパル Error creating IAM Role role-A: MalformedPolicyDocument: Invalid principal in policy IAMグループは対象外! IAMグループを指定すると・・・ しかし、IAMユーザーグループをAssumePolicyのプリンシパルに指定することは できません。

  5. 解決策: TerraformのDataSourceを利用 出典: Terraform公式ドキュメント - provider/aws Data Source: aws_iam_group data.aws_iam_group.example.usersで所属ユー

    ザーの情報を取得できる! Terraformを利用している場合には、DataSource “aws_iam_group”を使ってある IAMグループを参照することで、そこに属するIAMユーザー情報をリストの形で得 ることができます。

  6. 解決策: TerraformのDataSourceを利用 2. DataSourceから取得したユーザー ARNをfor文で取り出す グループに属するユーザー全員 のARNが記載されたポリシード キュメントが生成される 1. IAMグループを参照する

    DataSourceの作成 IAMグループを参照するDataSourceから得た所属ユーザーARN一覧を、for文で取 り出してAssumePolicyのプリンシパルに指定します。

  7. まとめ • AssumeRoleのプリンシパルには、IAMグループを指定できません。 • そのときはリソース管理にTerraformを使っていたため、IAMグループのDataSourceを使って所 属ユーザーARN一覧を取得し、それをプリンシパルに指定する方法で乗り切りました。 • この方法だと、グループに新しくユーザーが追加されても、そのユーザーARNをプリンシパルに 追加するところまで自動化できるのでとても便利でした。 •

    IaCは単にインフラをコード管理するためのツールではなく「通常通りに書くと面倒な設定を言語 の力で簡潔に表す」というプログラミング言語的な側面もあるので、そこも存分に活用していき ましょう。

  8. Thank You ご意見、ご質問ありましたらお気軽にご連絡下さい [email protected] Haruka Sakihara(崎原 晴香)