Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AssumePolicyの意外なハマりどころ

Haruka Sakihara
March 15, 2022
Technology
1
1.7k

 AssumePolicyの意外なハマりどころ

22/3/14 JAWS-UG朝会 #31にて発表

Haruka Sakihara

March 15, 2022
Tweet

More Decks by Haruka Sakihara

See All by Haruka Sakihara
意外と難しい?エンジンアップグレードとIaCの両立
harukasakihara
4
620
未経験エンジニアがアウトプット駆動で自らのキャリアと生きる道を切り開くまで
harukasakihara
9
4.4k
AWS CDKで作るCloudWatch Dashboard
harukasakihara
4
2.2k
ベストな Terraform ディレクトリ構成を考察してみた
harukasakihara
16
5.8k
セキュアなTerraformの使い方 ~ 機密情報をコードに含めず環境構築するにはどうしたらいいの?
harukasakihara
21
7.4k

Other Decks in Technology

See All in Technology
AI機能の開発運用のリアルと今後のリアル
akiroom
0
250
データの信頼性を支える仕組みと技術
chanyou0311
6
1.6k
地理情報データをデータベースに格納しよう~ GPUを活用した爆速データベース PG-Stromの紹介 ~
sakaik
1
110
Terraform Stacks入門 #HashiTalks
msato
0
220
ライブラリでしかお目にかかれない珍しい実装
mikanichinose
2
330
スクラムチームを立ち上げる〜チーム開発で得られたもの・得られなかったもの〜
ohnoeight
2
290
福岡新卒エンジニアの会
teba_eleven
1
190
Microsoft Fabric OneLake の実体について
ryomaru0825
0
190
第23回Ques_タイミーにおけるQAチームの在り方 / QA Team in Timee
takeyaqa
0
190
Microsoft Intune アプリのトラブルシューティング
sophiakunii
1
400
FOSS4G 2024 Japan コアデイ 一般発表25 PythonでPLATEAUのデータを手軽に扱ってみる
ra0kley
1
130
SREの前に
nwiizo
11
2.7k

Featured

See All Featured
Gamification - CAS2011
davidbonilla
80
5k
Typedesign – Prime Four
hannesfritz
40
2.4k
Code Review Best Practice
trishagee
64
17k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
43
6.8k
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
What's in a price? How to price your products and services
michaelherold
243
12k
How STYLIGHT went responsive
nonsquared
95
5.2k
Designing for humans not robots
tammielis
249
25k
Faster Mobile Websites
deanohume
305
30k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
246
1.3M
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
25
1.8k
Testing 201, or: Great Expectations
jmmastey
38
7.1k

Transcript

  1. AssumePolicyの意外なハマりどころ Monday, March 14. 2022 Haruka Sakihara JAWS-UG朝会 #31 JAWS-UG

    logo is licensed under a Creative Commons Attribution-NonCommercial 4.0 International License.

  2. 自己紹介 Haruka Sakihara <取得資格> • ネットワークスペシャリスト試験(IPA) • AWS Certified Security等4資格

    • アクセンチュア株式会社 テクノロジーコンサルティング本部所属 • 普段はクラウドインフラ構築の支援をしておりま す • アプリケーション……プライベートだとGo, 仕事だ と少しPython • インフラ……ほとんどAWS This presentation makes reference to marks owned by third parties. Unless otherwise noted, all such third-party marks are the property of their respective owners. No sponsorship, endorsement or approval of this content by the owners of such marks is intended, expressed or implied.

  3. 今回実現したいこと とあるAssumeRoleの権限移譲先として、「あるグループに属している IAMユーザー全員」を指定したいというケースを考えます。 Users IAM User Group Assume Policy

  4. AssumePolicyのプリンシパルに指定できる要素 AWS公式ドキュメントより 出典: AWS公式ドキュメント - AWS JSON ポリシーの要素: Principal ポリシーでは、次のいずれかのプリンシパルを指定で

    きます。 • AWS アカウントおよびルートユーザー • IAM ロール • ロールセッション • IAM ユーザー • フェデレーティッドユーザーセッション • AWS のサービス • すべてのプリンシパル Error creating IAM Role role-A: MalformedPolicyDocument: Invalid principal in policy IAMグループは対象外! IAMグループを指定すると・・・ しかし、IAMユーザーグループをAssumePolicyのプリンシパルに指定することは できません。

  5. 解決策: TerraformのDataSourceを利用 出典: Terraform公式ドキュメント - provider/aws Data Source: aws_iam_group data.aws_iam_group.example.usersで所属ユー

    ザーの情報を取得できる! Terraformを利用している場合には、DataSource “aws_iam_group”を使ってある IAMグループを参照することで、そこに属するIAMユーザー情報をリストの形で得 ることができます。

  6. 解決策: TerraformのDataSourceを利用 2. DataSourceから取得したユーザー ARNをfor文で取り出す グループに属するユーザー全員 のARNが記載されたポリシード キュメントが生成される 1. IAMグループを参照する

    DataSourceの作成 IAMグループを参照するDataSourceから得た所属ユーザーARN一覧を、for文で取 り出してAssumePolicyのプリンシパルに指定します。

  7. まとめ • AssumeRoleのプリンシパルには、IAMグループを指定できません。 • そのときはリソース管理にTerraformを使っていたため、IAMグループのDataSourceを使って所 属ユーザーARN一覧を取得し、それをプリンシパルに指定する方法で乗り切りました。 • この方法だと、グループに新しくユーザーが追加されても、そのユーザーARNをプリンシパルに 追加するところまで自動化できるのでとても便利でした。 •

    IaCは単にインフラをコード管理するためのツールではなく「通常通りに書くと面倒な設定を言語 の力で簡潔に表す」というプログラミング言語的な側面もあるので、そこも存分に活用していき ましょう。

  8. Thank You ご意見、ご質問ありましたらお気軽にご連絡下さい [email protected] Haruka Sakihara(崎原 晴香)