Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
第135回 雲勉 AWS Verified Access 入門 ~ VPNを利用せずに拠点/端...
Search
iret.kumoben
May 30, 2024
Technology
630
1
Share
第135回 雲勉 AWS Verified Access 入門 ~ VPNを利用せずに拠点/端末からAWSへアクセス ~
下記、勉強会での資料です。
https://youtu.be/r171c_hV-9M
iret.kumoben
May 30, 2024
More Decks by iret.kumoben
See All by iret.kumoben
第182回 雲勉 【Gemini 3.0 Pro】AI ベンチマーク徹底比較!他モデルに比べ優れている点まとめ
iret
0
83
第181回 雲勉 WEB制作者のちょっとした面倒をAWSで解決!Amazon S3とAWS Lambda活用術
iret
0
68
第180回 雲勉 Abuse report の調査・確認方法について
iret
0
97
第179回 雲勉 AI を活用したサポートデスク業務の改善
iret
0
130
第178回 雲勉 Amazon EKSをオンプレで! Amazon EKS Anywhere 実践構築ガイド
iret
1
100
第177回 雲勉 IdP 移行を楽に! Amazon Cognito でアプリへの影響をゼロにするアイデア
iret
0
100
第176回 雲勉 VPC 間サービス接続を考える!Private Service Connect 入門
iret
0
86
第175回 雲勉 Amazon ECS入門:コンテナ実行の基本を学ぶ
iret
0
130
第174回 雲勉 Google Agentspace × ADK Vertex AI Agent Engineにデプロイしたエージェントを呼び出す
iret
0
160
Other Decks in Technology
See All in Technology
Forget technical debt
ufried
0
180
自動テストだけで リリース判断できるチームへ - 鍵はテストの量ではなくリリース判断基準の再設計にあった / Redesigning Release Criteria for Lightweight Releases
ewa
7
3.5k
GKE Agent SandboxでAIが生成したコードを 安全に実行してみた
lamaglama39
0
210
Fabric MCPの紹介と使い分け
ryomaru0825
1
150
PdM・Eng・QAで進めるAI駆動開発の現在地/aidd-with-pdm-eng-qa
shota_kusaba
0
100
データモデリング通り #5オンライン勉強会: AIに『ビジネスの文脈』を教え込むデータモデリング
datayokocho
0
190
AI時代に越境し、 組織を変えるQAスキルの正体 / QA Skills for Transforming an Organization
mii3king
5
4.1k
Google Cloud Next '26 の裏でこっそりリリースされたCloud Number Registry & Cloud Hub コスト分析 を試してみた
hikaru1001
0
170
Oracle Base Database Service 技術詳細
oracle4engineer
PRO
15
100k
そのSLO 99.9%、本当に必要ですか? 〜優先度付きSLOによる責任共有の設計思想〜 / Is that 99.9% SLO really necessary? Design philosophy of shared responsibility through prioritized SLOs
vtryo
0
210
2026年春のAgentCoreアプデ 細かいやつ全部まとめ
minorun365
3
210
[Scram Fest Niigata2026]Quality as Code〜AIにQAの思考を再現させる試み〜
masamiyajiri
1
290
Featured
See All Featured
Collaborative Software Design: How to facilitate domain modelling decisions
baasie
1
210
Being A Developer After 40
akosma
91
590k
Design of three-dimensional binary manipulators for pick-and-place task avoiding obstacles (IECON2024)
konakalab
0
410
Heart Work Chapter 1 - Part 1
lfama
PRO
6
35k
Digital Projects Gone Horribly Wrong (And the UX Pros Who Still Save the Day) - Dean Schuster
uxyall
0
1.3k
Organizational Design Perspectives: An Ontology of Organizational Design Elements
kimpetersen
PRO
1
690
The agentic SEO stack - context over prompts
schlessera
0
770
Ruling the World: When Life Gets Gamed
codingconduct
0
220
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
31
3.2k
Data-driven link building: lessons from a $708K investment (BrightonSEO talk)
szymonslowik
1
1k
State of Search Keynote: SEO is Dead Long Live SEO
ryanjones
0
190
Fantastic passwords and where to find them - at NoRuKo
philnash
52
3.7k
Transcript
第135回 雲勉【オンライン】 AWS Verified Access⼊⾨ 〜VPNを利⽤せずに拠点/端末からAWSへアクセス〜
0.講師⾃⼰紹介 2 n 鈴⽊健⽃ 所属︓クラウドインテグレーション事業部 経歴︓新卒⼊社5年 業務︓AWSのインフラ構築/運⽤ → 提案/PMO ・Japan
AWS Top Engineer (2022, 2023) ・Japan AWS All Certifications Engineer (2022, 2023) ・ AWS Community Builder(Cloud Operations) ・iret テクニカルアンバサダー (2023)
アジェンダ 3 0. ⾃⼰紹介 1. AWS Verified Accessとゼロトラスト 2. AWS
Verified Accessのワークショップをやってみる 3. AWS Verified Accessの費⽤について 4. まとめ
1. AWS Verified Accessとゼロトラスト 4
AWS Verified Access (AVA) の歴史 5 re:Invent 2022にてプレビューとして発表される 2022年11⽉ 2023年4⽉
⼀般提供開始(⼀部リージョンのみ) 東京リージョンでも 利⽤可能になる 2023年10⽉
AWS Verified Access (AVA) とは 6 Ø AWSのゼロトラストのセキュリティ原則に基づいて構築されたサービス Ø VPNを利⽤せずに企業アプリケーションに安全にアクセスが可能
Ø ユーザーによって定義されたきめ細かいポリシーに基づき、ユーザーのIDとデバイス単位で アクセス制御をすることが可能
AWS Verified Access (AVA) とは 7 Ø AWSのゼロトラストのセキュリティ原則に基づいて構築されたサービス Ø VPNを利⽤せずに企業アプリケーションに安全にアクセスが可能
Ø ユーザーによって定義されたきめ細かいポリシーに基づき、ユーザーのIDとデバイス単位で アクセス制御をすることが可能 ゼロトラスト って何︖ どうやって アクセス制御する︖ 費⽤は︖
AWSにおけるゼロトラストとは 8 背景 Ø リモートワーク主体の働き⽅やデバイスの多様化によってネットワークの境界が 曖昧になっている Ø 情報漏洩などネットワーク境界内部の脅威にも対応する必要が出てきている Ø DXの推進によって企業内のネットワークを超えて価値を⽣み出す必要性が出てきた
AWSにおけるゼロトラストとは 9 背景 Ø リモートワーク主体の働き⽅やデバイスの多様化によってネットワークの境界が 曖昧になっている Ø 情報漏洩などネットワーク境界内部の脅威にも対応する必要が出てきている Ø DXの推進によって企業内のネットワークを超えて価値を⽣み出す必要性が出てきた
リモートワークによる働き⽅
AWSにおけるゼロトラストとは 10 背景 Ø リモートワーク主体の働き⽅やデバイスの多様化によってネットワークの境界が 曖昧になっている Ø 情報漏洩などネットワーク境界内部の脅威にも対応する必要が出てきている Ø DXの推進によって企業内のネットワークを超えて価値を⽣み出す必要性が出てきた
内部の⼈間が全員アクセス できる状況って 安全なの︖
AWSにおけるゼロトラストとは 11 背景 Ø リモートワーク主体の働き⽅やデバイスの多様化によってネットワークの境界が 曖昧になっている Ø 情報漏洩などネットワーク境界内部の脅威にも対応する必要が出てきている Ø DXの推進によって企業内のネットワークを超えて価値を⽣み出す必要性が出てきた
社内ネットワークだけではなく 社員のデバイスやクラウド環境などとも 相互に通信する必要がある
AWSにおけるゼロトラストとは 12 データへのアクセスはネットワークの場所だけに基づき実⾏すべきではない、 という考えを中核としたセキュリティモデル
AWSにおけるゼロトラストとは 13 データへのアクセスはネットワークの場所だけに基づき実⾏すべきではない、 という考えを中核としたセキュリティモデル 拠点内部のネットワークだから安全という考えは捨てろ
従来のネットワーク接続とゼロトラストの原則に沿ったネットワーク接続 14 社内ネットワークにVPNで接続してしまえばAWSの様々なリソースにアクセスできてしまう
従来のネットワーク接続とゼロトラストの原則に沿ったネットワーク接続 15 最低限のユーザが必要なリソースにだけにアクセスできるようにしたい
従来のネットワーク接続とゼロトラストの原則に沿ったネットワーク接続 16 そこで選ばれたのがAWS Verified Access
AWS Verified Accessでできること 17 Ø IAM Identity Center などのアイデンティティプロバイダー(IdP) で
認証を受けたユーザのみログイン可能といった制御が可能 (IdP は OpenID という規格に準拠していればOkta, Auth0 なども利⽤可能) Ø AWSが開発したオープンソースのポリシー⾔語であるCedarを使ってアクセスポリシーを記述 Cedarは以下のような特徴を持つ ・表現の幅広さ ・⾼性能 ・分析のしやすさ
AWS Verified Accessでできることの例 18 AWS Verified Accessを利⽤すると以下のようなアクセス制御ができる Ø 特定のIPアドレスを持つ場合は許可 Ø
特定のEメールアドレスでIdpの認証を受けた場合は許可 Ø MFA認証していない場合は禁⽌
AWS Verified AccessのベースとなるAWSのゼロトラストの考え⽅ 19 AWSではアクセス制御の⽅法としてネットワークベースの制御と アイデンティティベースの制御の2種類が存在する
20 AWSではアクセス制御の⽅法としてネットワークベースの制御と アイデンティティベースの制御の2種類が存在する AWS Verified AccessのベースとなるAWSのゼロトラストの考え⽅
2. AWS Verified Accessのワークショップをやってみる 21
AWS Verified Access Workshop 22 1. Route53の設定 2. AWS IAM
Identity Center の設定 3. AWS Verified Access の設定 4. AWS Verified Access でのアクセス制御 ※ IdPとしてIAM Identity CenterかOktaを選択 ① ② ③ ④ AWS Verified Accessの構築と簡単なアクセス制御を実際に試してみることができる
ワークショップをやってみて 23 Ø 所要時間︓3時間程度 Ø かかった費⽤$0.36 Ø 備考 SCPやIAMポリシー等、企業のポリシーでIAM Identity
Centerの利⽤が制限されている場合は 実施できない 感想 Ø AWS ポリシー⾔語であるCedarについて、独⾃の⾔語であるため、難しいように思えたが、 理解しやすい構造だった Ø 既存のIAM Identity Centerが存在している場合、リソースの作成に失敗し、 トラブルシューティングに時間がかかった
Cedarについて理解を深めたい場合 24 AWS ポリシー⾔語であるCedarを体験できるCedar Playgroundというサイトがある。 ・AWS アカウントにログインする必要がない ・対応⾔語は英語のみ、⽇本語⾮対応 https://www.cedarpolicy.com/en
Cedar Playgroundでできること 25 アクセス制御のポリシー定義 ポリシーに対してリクエストを投げる
Cedar Playgroundでできること 26 ③ リクエストの結果を確認
3. AWS Verified Accessの費⽤について 27
AWS Verified Accessで料⾦が発⽣する対象 28 Ø アプリケーション時間 ・アクティブな Verified Access エンドポイントに関連付けられた各アプリケーションに対して、
1時間ごとに課⾦ ・1 時間に満たないアプリケーション時間 (アプリ時間) は 1 時間として課⾦ Ø GB (処理済みデータ) ・Verified Access によって処理されたデータについて GB 単位で課⾦ アプリ時間の階層料⾦ 料⾦ 1〜148,800 アプリケーション時間 (1 か⽉に最⼤ 200 個のアプリケーションをカバー) 0.35USD/時間 148,800 + アプリケーション時間 0.26USD/時間 処理済みデータ 料⾦ データ1GBあたり 0.02USD ※東京リージョンの利⽤料
AWS Verified AccessとAWS VPNの料⾦を⽐較 29 Ø 料⾦でAWS Verified AccessとAWS VPNを⽐べるとアプリケーション時間
0.35USD/時間は少し割⾼ ・サイト間VPN 接続ごと 0.048USD/時間 ・Client VPN エンドポイントアソシエーションに 0.15USD/時間 接続ごとに 0.05USD/時間 ※東京リージョンの利⽤料
4. まとめ 30
まとめ 31 Ø AWS Verified AccessはユーザIDやデバイスに基づいて、 VPNよりもきめ細かいアクセス制御が求められるユースケースで利⽤できる Ø 実際に触ってみたい場合、AWS Verified
Access Workshopをやってみることで、 イメージを掴むことができる Ø 拠点とAWSを繋ぐ⼿段として、VPNと⽐べると割⾼
32 AWS Verified Access利⽤する上での注意 AWS Verified Accessから踏み台サーバ経由でそれぞれのアプリケーションへアクセスするような 使い⽅をする場合、踏み台にアクセスできてしまうと後段のサーバにもアクセスできるため、 アクセス制御があまり意味をなさない このケースであれば、費⽤⾯を考慮して
AWS VPNの利⽤を検討
参考 33 ・AWS でのゼロトラスト https://aws.amazon.com/jp/security/zero-trust/ ・AWS Verified Access Workshop https://catalog.us-east-1.prod.workshops.aws/workshops/dc70f5b4-a400-4c33-9a8e-c1b2baebbea4/en-US
・AWS でゼロトラストを実現するためのアプローチ(AWS-39) https://www.youtube.com/watch?v=mkxyqEmgi8w ・re:Invent Re;Cap AWS Verified AccessにちょっぴりDD https://www.youtube.com/watch?v=ag_wLBtNnVQ ・AWS Verified Access の料⾦ https://aws.amazon.com/jp/verified-access/pricing/ ・ AWS VPN の料⾦ https://aws.amazon.com/jp/vpn/pricing/
iret
ufried
ewa
.jpg){kind=avatar}
lamaglama39
ryomaru0825
.jpg){kind=avatar}
shota_kusaba
datayokocho
mii3king
hikaru1001
oracle4engineer
vtryo
minorun365
masamiyajiri
baasie
akosma
konakalab
lfama
uxyall
kimpetersen
schlessera
codingconduct
danielanewman
szymonslowik
ryanjones
philnash
