Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS re:Inforce 2019 re:Cap

AWS re:Inforce 2019 re:Cap

6月25日、26日の2日間、ボストンで開催された AWS re:Inforce に参加してきて思ったこと

2019/07/30 AWS re:Inforce 2019 re:Cap at AWS Loft Tokyo
https://awsreinforce2019recap.splashthat.com/

[ref] https://tech.speee.jp/entry/attending-reinforce-2019

Ippei Ogiwara

July 30, 2019
Tweet

More Decks by Ippei Ogiwara

Other Decks in Technology

Transcript

  1. 荻原 ⼀平 (おぎわら いっぺい / @iogi) • Speee 開発部 開発基盤ユニット

    兼
 セキュリティ推進室 • Webサービスや、コンソールゲーム機の ネットワークサービス基盤などの設計から 開発・運⽤や、AWS Supportなどを経て、 2018年6⽉から現職 • 開発部全体や、全社軸での基盤の整備など いろいろ
  2. SpeeeでのAWS • 複数の事業ごとにシステム構築。基本クラウドでAWSが多め • 開発基盤/セキュリティでやっていること • AWS Organizationsの導⼊、CloudFormation StackSetsでのベー スライン構築

    • 中央でのログ集約、モニタリング (CloudTrail, GuardDuty, Config Rules等) • IDaaS基盤からのAWSコンソールへのFederated Login • これらは、可能な限りサーバレスでコード化して運⽤
  3. マルチアカウント対応の強化 • AWS Organizations は re:Invent 2016でPreviewリリース • 複数アカウントの⼀元管理や接続のための機能が充実してきて、 2018/06のAWS

    Landing Zone Solutionの発表あたりから、マルチ アカウントの時代が加速してきた感 • 対応サービス例 • まとめてモニタリング: GuardDuty、Config Rules、CloudTrail • まとめてポリシー適⽤: Organizations、CloudFormation StackSets、Firewall Manager、Service Quotas
  4. 今回のre:Inforce • Security Hub・Control TowerがGenerally Availableに • Control Towerは、すでにAWS Organizationsを有効にしてい

    ると現状使えないので⼀旦おあずけ • マルチアカウント環境をどう管理していくか、というテーマの セッションが多数
  5. タグがつけられるようになった • 2018/11 IAM User, Roleにタグが設定できるようになった • IAM User/Roleのタグを元に操作を制限できる •

    [SDD350-R] Scale permissions management in AWS with attribute- based access control • https://aws.amazon.com/blogs/security/working-backward-from-iam- policies-and-principal-tags-to-standardized-names-and-tags-for-your- aws-resources/ • 2019/06 AWSアカウントにタグを付けられるようになった • アカウントの属性をタグにもたせて⾃動化が捗る
  6. OrganizationsのSCPの強化 • 2019/05 Condition, Resource, NotActionが使えるように • これまでかなり機能が制限されたIAMポリシーだった • できることがぐっと増えた

    • aws:RequestedRegion のConditionでリージョンを限定する • aws:PrincipalOrgID のConditionで同⼀の組織以外へのアク セスを拒否する • 特定のリソースや、特定のタグが付いたリソースの操作を禁⽌する
  7. Organizationsの他サービスへの連携 • 2018/11 CloudTrail • メンバーアカウントにTrail収集を⾃動適⽤ • 2019/06 IAM •

    組織単位 (OU) レベルでAWSサービス利⽤のサマリが出て、そ れを⾒てSCPを改善できるように
  8. 関連セッション • [FND314] Managing and governing multi-account AWS environments using

    AWS Organizations: Organizationの機能アップデートと活⽤⽅法 • [SDD314] Enforcing security invariants with AWS Organizations: SCPやIAMの運⽤ • [GRC313-R] Using AWS Control Tower to govern multi-account AWS environments at scale: Control Towerの利⽤、マルチアカウントの管理、ガードレールの例など • [FND210] Implementing your landing zone: AWS Landing Zoneの説明、Control Tower利⽤との選択⽅法 • [SDD350-R] Scale permissions management in AWS with attribute-based access control: タグを利⽤した属性ベースでの権限管理