Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
第135回 雲勉 AWS Verified Access 入門 ~ VPNを利用せずに拠点/端...
Search
iret.kumoben
May 30, 2024
Technology
1
390
第135回 雲勉 AWS Verified Access 入門 ~ VPNを利用せずに拠点/端末からAWSへアクセス ~
下記、勉強会での資料です。
https://youtu.be/r171c_hV-9M
iret.kumoben
May 30, 2024
Tweet
Share
More Decks by iret.kumoben
See All by iret.kumoben
第170回 雲勉 Lyria が切り拓く音楽制作の未来
iret
1
21
第169回 雲勉 AWS WAF 構築 RTA
iret
0
31
第168回 雲勉 JITNAの使い方とハマったポイントについて語る回
iret
0
35
第167回 雲勉 エージェント開発を加速する Agent Development Kit 入門
iret
1
42
第166回 雲勉 コードを読んで理解する AWS Amplify Gen2 Backend
iret
0
43
第165回 雲勉 Google Agentspace について
iret
0
41
第164回 雲勉 Agent Development Kit と MCP Toolbox for Databases で MCP 連携してみた
iret
1
86
第163回 雲勉 CircleCIで複数リポジトリ間のパイプラインを連携する
iret
1
38
第162回 雲勉 比較して学ぶ AWS Amplify Gen 2
iret
0
50
Other Decks in Technology
See All in Technology
相互運用可能な学修歴クレデンシャルに向けた標準技術と国際動向
fujie
0
210
JAWS AI/ML #30 AI コーディング IDE "Kiro" を触ってみよう
inariku
3
330
VLMサービスを用いた請求書データ化検証 / SaaSxML_Session_1
sansan_randd
0
220
Oracle Cloud Infrastructure:2025年7月度サービス・アップデート
oracle4engineer
PRO
1
130
Kiroから考える AIコーディングツールの潮流
oikon48
4
680
バクラクによるコーポレート業務の自動運転 #BetAIDay
layerx
PRO
1
890
人に寄り添うAIエージェントとアーキテクチャ #BetAIDay
layerx
PRO
9
2.1k
生成AI時代におけるAI・機械学習技術を用いたプロダクト開発の深化と進化 #BetAIDay
layerx
PRO
1
1.1k
AI関数が早くなったので試してみよう
kumakura
0
190
隙間時間で爆速開発! Claude Code × Vibe Coding で作るマニュアル自動生成サービス
akitomonam
3
250
Vision Language Modelと自動運転AIの最前線_20250730
yuyamaguchi
3
1.2k
データモデリング通り #2オンライン勉強会 ~方法論の話をしよう~
datayokocho
0
130
Featured
See All Featured
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
tammyeverts
8
430
Fireside Chat
paigeccino
38
3.6k
Art, The Web, and Tiny UX
lynnandtonic
301
21k
It's Worth the Effort
3n
185
28k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
31
1.3k
The Power of CSS Pseudo Elements
geoffreycrofte
77
5.9k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
8
880
We Have a Design System, Now What?
morganepeng
53
7.7k
The Art of Programming - Codeland 2020
erikaheidi
54
13k
Build your cross-platform service in a week with App Engine
jlugia
231
18k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
33
2.4k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
30
2.2k
Transcript
第135回 雲勉【オンライン】 AWS Verified Access⼊⾨ 〜VPNを利⽤せずに拠点/端末からAWSへアクセス〜
0.講師⾃⼰紹介 2 n 鈴⽊健⽃ 所属︓クラウドインテグレーション事業部 経歴︓新卒⼊社5年 業務︓AWSのインフラ構築/運⽤ → 提案/PMO ・Japan
AWS Top Engineer (2022, 2023) ・Japan AWS All Certifications Engineer (2022, 2023) ・ AWS Community Builder(Cloud Operations) ・iret テクニカルアンバサダー (2023)
アジェンダ 3 0. ⾃⼰紹介 1. AWS Verified Accessとゼロトラスト 2. AWS
Verified Accessのワークショップをやってみる 3. AWS Verified Accessの費⽤について 4. まとめ
1. AWS Verified Accessとゼロトラスト 4
AWS Verified Access (AVA) の歴史 5 re:Invent 2022にてプレビューとして発表される 2022年11⽉ 2023年4⽉
⼀般提供開始(⼀部リージョンのみ) 東京リージョンでも 利⽤可能になる 2023年10⽉
AWS Verified Access (AVA) とは 6 Ø AWSのゼロトラストのセキュリティ原則に基づいて構築されたサービス Ø VPNを利⽤せずに企業アプリケーションに安全にアクセスが可能
Ø ユーザーによって定義されたきめ細かいポリシーに基づき、ユーザーのIDとデバイス単位で アクセス制御をすることが可能
AWS Verified Access (AVA) とは 7 Ø AWSのゼロトラストのセキュリティ原則に基づいて構築されたサービス Ø VPNを利⽤せずに企業アプリケーションに安全にアクセスが可能
Ø ユーザーによって定義されたきめ細かいポリシーに基づき、ユーザーのIDとデバイス単位で アクセス制御をすることが可能 ゼロトラスト って何︖ どうやって アクセス制御する︖ 費⽤は︖
AWSにおけるゼロトラストとは 8 背景 Ø リモートワーク主体の働き⽅やデバイスの多様化によってネットワークの境界が 曖昧になっている Ø 情報漏洩などネットワーク境界内部の脅威にも対応する必要が出てきている Ø DXの推進によって企業内のネットワークを超えて価値を⽣み出す必要性が出てきた
AWSにおけるゼロトラストとは 9 背景 Ø リモートワーク主体の働き⽅やデバイスの多様化によってネットワークの境界が 曖昧になっている Ø 情報漏洩などネットワーク境界内部の脅威にも対応する必要が出てきている Ø DXの推進によって企業内のネットワークを超えて価値を⽣み出す必要性が出てきた
リモートワークによる働き⽅
AWSにおけるゼロトラストとは 10 背景 Ø リモートワーク主体の働き⽅やデバイスの多様化によってネットワークの境界が 曖昧になっている Ø 情報漏洩などネットワーク境界内部の脅威にも対応する必要が出てきている Ø DXの推進によって企業内のネットワークを超えて価値を⽣み出す必要性が出てきた
内部の⼈間が全員アクセス できる状況って 安全なの︖
AWSにおけるゼロトラストとは 11 背景 Ø リモートワーク主体の働き⽅やデバイスの多様化によってネットワークの境界が 曖昧になっている Ø 情報漏洩などネットワーク境界内部の脅威にも対応する必要が出てきている Ø DXの推進によって企業内のネットワークを超えて価値を⽣み出す必要性が出てきた
社内ネットワークだけではなく 社員のデバイスやクラウド環境などとも 相互に通信する必要がある
AWSにおけるゼロトラストとは 12 データへのアクセスはネットワークの場所だけに基づき実⾏すべきではない、 という考えを中核としたセキュリティモデル
AWSにおけるゼロトラストとは 13 データへのアクセスはネットワークの場所だけに基づき実⾏すべきではない、 という考えを中核としたセキュリティモデル 拠点内部のネットワークだから安全という考えは捨てろ
従来のネットワーク接続とゼロトラストの原則に沿ったネットワーク接続 14 社内ネットワークにVPNで接続してしまえばAWSの様々なリソースにアクセスできてしまう
従来のネットワーク接続とゼロトラストの原則に沿ったネットワーク接続 15 最低限のユーザが必要なリソースにだけにアクセスできるようにしたい
従来のネットワーク接続とゼロトラストの原則に沿ったネットワーク接続 16 そこで選ばれたのがAWS Verified Access
AWS Verified Accessでできること 17 Ø IAM Identity Center などのアイデンティティプロバイダー(IdP) で
認証を受けたユーザのみログイン可能といった制御が可能 (IdP は OpenID という規格に準拠していればOkta, Auth0 なども利⽤可能) Ø AWSが開発したオープンソースのポリシー⾔語であるCedarを使ってアクセスポリシーを記述 Cedarは以下のような特徴を持つ ・表現の幅広さ ・⾼性能 ・分析のしやすさ
AWS Verified Accessでできることの例 18 AWS Verified Accessを利⽤すると以下のようなアクセス制御ができる Ø 特定のIPアドレスを持つ場合は許可 Ø
特定のEメールアドレスでIdpの認証を受けた場合は許可 Ø MFA認証していない場合は禁⽌
AWS Verified AccessのベースとなるAWSのゼロトラストの考え⽅ 19 AWSではアクセス制御の⽅法としてネットワークベースの制御と アイデンティティベースの制御の2種類が存在する
20 AWSではアクセス制御の⽅法としてネットワークベースの制御と アイデンティティベースの制御の2種類が存在する AWS Verified AccessのベースとなるAWSのゼロトラストの考え⽅
2. AWS Verified Accessのワークショップをやってみる 21
AWS Verified Access Workshop 22 1. Route53の設定 2. AWS IAM
Identity Center の設定 3. AWS Verified Access の設定 4. AWS Verified Access でのアクセス制御 ※ IdPとしてIAM Identity CenterかOktaを選択 ① ② ③ ④ AWS Verified Accessの構築と簡単なアクセス制御を実際に試してみることができる
ワークショップをやってみて 23 Ø 所要時間︓3時間程度 Ø かかった費⽤$0.36 Ø 備考 SCPやIAMポリシー等、企業のポリシーでIAM Identity
Centerの利⽤が制限されている場合は 実施できない 感想 Ø AWS ポリシー⾔語であるCedarについて、独⾃の⾔語であるため、難しいように思えたが、 理解しやすい構造だった Ø 既存のIAM Identity Centerが存在している場合、リソースの作成に失敗し、 トラブルシューティングに時間がかかった
Cedarについて理解を深めたい場合 24 AWS ポリシー⾔語であるCedarを体験できるCedar Playgroundというサイトがある。 ・AWS アカウントにログインする必要がない ・対応⾔語は英語のみ、⽇本語⾮対応 https://www.cedarpolicy.com/en
Cedar Playgroundでできること 25 アクセス制御のポリシー定義 ポリシーに対してリクエストを投げる
Cedar Playgroundでできること 26 ③ リクエストの結果を確認
3. AWS Verified Accessの費⽤について 27
AWS Verified Accessで料⾦が発⽣する対象 28 Ø アプリケーション時間 ・アクティブな Verified Access エンドポイントに関連付けられた各アプリケーションに対して、
1時間ごとに課⾦ ・1 時間に満たないアプリケーション時間 (アプリ時間) は 1 時間として課⾦ Ø GB (処理済みデータ) ・Verified Access によって処理されたデータについて GB 単位で課⾦ アプリ時間の階層料⾦ 料⾦ 1〜148,800 アプリケーション時間 (1 か⽉に最⼤ 200 個のアプリケーションをカバー) 0.35USD/時間 148,800 + アプリケーション時間 0.26USD/時間 処理済みデータ 料⾦ データ1GBあたり 0.02USD ※東京リージョンの利⽤料
AWS Verified AccessとAWS VPNの料⾦を⽐較 29 Ø 料⾦でAWS Verified AccessとAWS VPNを⽐べるとアプリケーション時間
0.35USD/時間は少し割⾼ ・サイト間VPN 接続ごと 0.048USD/時間 ・Client VPN エンドポイントアソシエーションに 0.15USD/時間 接続ごとに 0.05USD/時間 ※東京リージョンの利⽤料
4. まとめ 30
まとめ 31 Ø AWS Verified AccessはユーザIDやデバイスに基づいて、 VPNよりもきめ細かいアクセス制御が求められるユースケースで利⽤できる Ø 実際に触ってみたい場合、AWS Verified
Access Workshopをやってみることで、 イメージを掴むことができる Ø 拠点とAWSを繋ぐ⼿段として、VPNと⽐べると割⾼
32 AWS Verified Access利⽤する上での注意 AWS Verified Accessから踏み台サーバ経由でそれぞれのアプリケーションへアクセスするような 使い⽅をする場合、踏み台にアクセスできてしまうと後段のサーバにもアクセスできるため、 アクセス制御があまり意味をなさない このケースであれば、費⽤⾯を考慮して
AWS VPNの利⽤を検討
参考 33 ・AWS でのゼロトラスト https://aws.amazon.com/jp/security/zero-trust/ ・AWS Verified Access Workshop https://catalog.us-east-1.prod.workshops.aws/workshops/dc70f5b4-a400-4c33-9a8e-c1b2baebbea4/en-US
・AWS でゼロトラストを実現するためのアプローチ(AWS-39) https://www.youtube.com/watch?v=mkxyqEmgi8w ・re:Invent Re;Cap AWS Verified AccessにちょっぴりDD https://www.youtube.com/watch?v=ag_wLBtNnVQ ・AWS Verified Access の料⾦ https://aws.amazon.com/jp/verified-access/pricing/ ・ AWS VPN の料⾦ https://aws.amazon.com/jp/vpn/pricing/