Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
第135回 雲勉 AWS Verified Access 入門 ~ VPNを利用せずに拠点/端...
Search
iret.kumoben
May 30, 2024
Technology
1
410
第135回 雲勉 AWS Verified Access 入門 ~ VPNを利用せずに拠点/端末からAWSへアクセス ~
下記、勉強会での資料です。
https://youtu.be/r171c_hV-9M
iret.kumoben
May 30, 2024
Tweet
Share
More Decks by iret.kumoben
See All by iret.kumoben
第174回 雲勉 Google Agentspace × ADK Vertex AI Agent Engineにデプロイしたエージェントを呼び出す
iret
0
20
第173回 雲勉 ノーコードで生成 AI アプリを構築!Google Cloud AI Applications(旧 Vertex AI Agent Builder)入門
iret
0
48
第170回 雲勉 Lyria が切り拓く音楽制作の未来
iret
1
27
第169回 雲勉 AWS WAF 構築 RTA
iret
0
35
第168回 雲勉 JITNAの使い方とハマったポイントについて語る回
iret
0
39
第167回 雲勉 エージェント開発を加速する Agent Development Kit 入門
iret
1
52
第166回 雲勉 コードを読んで理解する AWS Amplify Gen2 Backend
iret
0
45
第165回 雲勉 Google Agentspace について
iret
0
65
第164回 雲勉 Agent Development Kit と MCP Toolbox for Databases で MCP 連携してみた
iret
1
130
Other Decks in Technology
See All in Technology
Django's GeneratedField by example - DjangoCon US 2025
pauloxnet
0
120
バイブスに「型」を!Kent Beckに学ぶ、AI時代のテスト駆動開発
amixedcolor
2
520
「どこから読む?」コードとカルチャーに最速で馴染むための実践ガイド
zozotech
PRO
0
280
EncryptedSharedPreferences が deprecated になっちゃった!どうしよう! / Oh no! EncryptedSharedPreferences has been deprecated! What should I do?
yanzm
0
190
AI開発ツールCreateがAnythingになったよ
tendasato
0
120
データアナリストからアナリティクスエンジニアになった話
hiyokko_data
2
440
Snowflake Intelligenceにはこうやって立ち向かう!クラシルが考えるAI Readyなデータ基盤と活用のためのDataOps
gappy50
0
100
Terraformで構築する セルフサービス型データプラットフォーム / terraform-self-service-data-platform
pei0804
1
150
Webブラウザ向け動画配信プレイヤーの 大規模リプレイスから得た知見と学び
yud0uhu
0
230
初めてAWSを使うときのセキュリティ覚書〜初心者支部編〜
cmusudakeisuke
1
230
react-callを使ってダイヤログをいろんなとこで再利用しよう!
shinaps
1
230
ガチな登山用デバイスからこんにちは
halka
1
230
Featured
See All Featured
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
tammyeverts
8
520
Docker and Python
trallard
45
3.6k
The World Runs on Bad Software
bkeepers
PRO
70
11k
Side Projects
sachag
455
43k
Visualization
eitanlees
148
16k
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
Reflections from 52 weeks, 52 projects
jeffersonlam
352
21k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
46
7.6k
Done Done
chrislema
185
16k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
333
22k
The Straight Up "How To Draw Better" Workshop
denniskardys
236
140k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
34
3.1k
Transcript
第135回 雲勉【オンライン】 AWS Verified Access⼊⾨ 〜VPNを利⽤せずに拠点/端末からAWSへアクセス〜
0.講師⾃⼰紹介 2 n 鈴⽊健⽃ 所属︓クラウドインテグレーション事業部 経歴︓新卒⼊社5年 業務︓AWSのインフラ構築/運⽤ → 提案/PMO ・Japan
AWS Top Engineer (2022, 2023) ・Japan AWS All Certifications Engineer (2022, 2023) ・ AWS Community Builder(Cloud Operations) ・iret テクニカルアンバサダー (2023)
アジェンダ 3 0. ⾃⼰紹介 1. AWS Verified Accessとゼロトラスト 2. AWS
Verified Accessのワークショップをやってみる 3. AWS Verified Accessの費⽤について 4. まとめ
1. AWS Verified Accessとゼロトラスト 4
AWS Verified Access (AVA) の歴史 5 re:Invent 2022にてプレビューとして発表される 2022年11⽉ 2023年4⽉
⼀般提供開始(⼀部リージョンのみ) 東京リージョンでも 利⽤可能になる 2023年10⽉
AWS Verified Access (AVA) とは 6 Ø AWSのゼロトラストのセキュリティ原則に基づいて構築されたサービス Ø VPNを利⽤せずに企業アプリケーションに安全にアクセスが可能
Ø ユーザーによって定義されたきめ細かいポリシーに基づき、ユーザーのIDとデバイス単位で アクセス制御をすることが可能
AWS Verified Access (AVA) とは 7 Ø AWSのゼロトラストのセキュリティ原則に基づいて構築されたサービス Ø VPNを利⽤せずに企業アプリケーションに安全にアクセスが可能
Ø ユーザーによって定義されたきめ細かいポリシーに基づき、ユーザーのIDとデバイス単位で アクセス制御をすることが可能 ゼロトラスト って何︖ どうやって アクセス制御する︖ 費⽤は︖
AWSにおけるゼロトラストとは 8 背景 Ø リモートワーク主体の働き⽅やデバイスの多様化によってネットワークの境界が 曖昧になっている Ø 情報漏洩などネットワーク境界内部の脅威にも対応する必要が出てきている Ø DXの推進によって企業内のネットワークを超えて価値を⽣み出す必要性が出てきた
AWSにおけるゼロトラストとは 9 背景 Ø リモートワーク主体の働き⽅やデバイスの多様化によってネットワークの境界が 曖昧になっている Ø 情報漏洩などネットワーク境界内部の脅威にも対応する必要が出てきている Ø DXの推進によって企業内のネットワークを超えて価値を⽣み出す必要性が出てきた
リモートワークによる働き⽅
AWSにおけるゼロトラストとは 10 背景 Ø リモートワーク主体の働き⽅やデバイスの多様化によってネットワークの境界が 曖昧になっている Ø 情報漏洩などネットワーク境界内部の脅威にも対応する必要が出てきている Ø DXの推進によって企業内のネットワークを超えて価値を⽣み出す必要性が出てきた
内部の⼈間が全員アクセス できる状況って 安全なの︖
AWSにおけるゼロトラストとは 11 背景 Ø リモートワーク主体の働き⽅やデバイスの多様化によってネットワークの境界が 曖昧になっている Ø 情報漏洩などネットワーク境界内部の脅威にも対応する必要が出てきている Ø DXの推進によって企業内のネットワークを超えて価値を⽣み出す必要性が出てきた
社内ネットワークだけではなく 社員のデバイスやクラウド環境などとも 相互に通信する必要がある
AWSにおけるゼロトラストとは 12 データへのアクセスはネットワークの場所だけに基づき実⾏すべきではない、 という考えを中核としたセキュリティモデル
AWSにおけるゼロトラストとは 13 データへのアクセスはネットワークの場所だけに基づき実⾏すべきではない、 という考えを中核としたセキュリティモデル 拠点内部のネットワークだから安全という考えは捨てろ
従来のネットワーク接続とゼロトラストの原則に沿ったネットワーク接続 14 社内ネットワークにVPNで接続してしまえばAWSの様々なリソースにアクセスできてしまう
従来のネットワーク接続とゼロトラストの原則に沿ったネットワーク接続 15 最低限のユーザが必要なリソースにだけにアクセスできるようにしたい
従来のネットワーク接続とゼロトラストの原則に沿ったネットワーク接続 16 そこで選ばれたのがAWS Verified Access
AWS Verified Accessでできること 17 Ø IAM Identity Center などのアイデンティティプロバイダー(IdP) で
認証を受けたユーザのみログイン可能といった制御が可能 (IdP は OpenID という規格に準拠していればOkta, Auth0 なども利⽤可能) Ø AWSが開発したオープンソースのポリシー⾔語であるCedarを使ってアクセスポリシーを記述 Cedarは以下のような特徴を持つ ・表現の幅広さ ・⾼性能 ・分析のしやすさ
AWS Verified Accessでできることの例 18 AWS Verified Accessを利⽤すると以下のようなアクセス制御ができる Ø 特定のIPアドレスを持つ場合は許可 Ø
特定のEメールアドレスでIdpの認証を受けた場合は許可 Ø MFA認証していない場合は禁⽌
AWS Verified AccessのベースとなるAWSのゼロトラストの考え⽅ 19 AWSではアクセス制御の⽅法としてネットワークベースの制御と アイデンティティベースの制御の2種類が存在する
20 AWSではアクセス制御の⽅法としてネットワークベースの制御と アイデンティティベースの制御の2種類が存在する AWS Verified AccessのベースとなるAWSのゼロトラストの考え⽅
2. AWS Verified Accessのワークショップをやってみる 21
AWS Verified Access Workshop 22 1. Route53の設定 2. AWS IAM
Identity Center の設定 3. AWS Verified Access の設定 4. AWS Verified Access でのアクセス制御 ※ IdPとしてIAM Identity CenterかOktaを選択 ① ② ③ ④ AWS Verified Accessの構築と簡単なアクセス制御を実際に試してみることができる
ワークショップをやってみて 23 Ø 所要時間︓3時間程度 Ø かかった費⽤$0.36 Ø 備考 SCPやIAMポリシー等、企業のポリシーでIAM Identity
Centerの利⽤が制限されている場合は 実施できない 感想 Ø AWS ポリシー⾔語であるCedarについて、独⾃の⾔語であるため、難しいように思えたが、 理解しやすい構造だった Ø 既存のIAM Identity Centerが存在している場合、リソースの作成に失敗し、 トラブルシューティングに時間がかかった
Cedarについて理解を深めたい場合 24 AWS ポリシー⾔語であるCedarを体験できるCedar Playgroundというサイトがある。 ・AWS アカウントにログインする必要がない ・対応⾔語は英語のみ、⽇本語⾮対応 https://www.cedarpolicy.com/en
Cedar Playgroundでできること 25 アクセス制御のポリシー定義 ポリシーに対してリクエストを投げる
Cedar Playgroundでできること 26 ③ リクエストの結果を確認
3. AWS Verified Accessの費⽤について 27
AWS Verified Accessで料⾦が発⽣する対象 28 Ø アプリケーション時間 ・アクティブな Verified Access エンドポイントに関連付けられた各アプリケーションに対して、
1時間ごとに課⾦ ・1 時間に満たないアプリケーション時間 (アプリ時間) は 1 時間として課⾦ Ø GB (処理済みデータ) ・Verified Access によって処理されたデータについて GB 単位で課⾦ アプリ時間の階層料⾦ 料⾦ 1〜148,800 アプリケーション時間 (1 か⽉に最⼤ 200 個のアプリケーションをカバー) 0.35USD/時間 148,800 + アプリケーション時間 0.26USD/時間 処理済みデータ 料⾦ データ1GBあたり 0.02USD ※東京リージョンの利⽤料
AWS Verified AccessとAWS VPNの料⾦を⽐較 29 Ø 料⾦でAWS Verified AccessとAWS VPNを⽐べるとアプリケーション時間
0.35USD/時間は少し割⾼ ・サイト間VPN 接続ごと 0.048USD/時間 ・Client VPN エンドポイントアソシエーションに 0.15USD/時間 接続ごとに 0.05USD/時間 ※東京リージョンの利⽤料
4. まとめ 30
まとめ 31 Ø AWS Verified AccessはユーザIDやデバイスに基づいて、 VPNよりもきめ細かいアクセス制御が求められるユースケースで利⽤できる Ø 実際に触ってみたい場合、AWS Verified
Access Workshopをやってみることで、 イメージを掴むことができる Ø 拠点とAWSを繋ぐ⼿段として、VPNと⽐べると割⾼
32 AWS Verified Access利⽤する上での注意 AWS Verified Accessから踏み台サーバ経由でそれぞれのアプリケーションへアクセスするような 使い⽅をする場合、踏み台にアクセスできてしまうと後段のサーバにもアクセスできるため、 アクセス制御があまり意味をなさない このケースであれば、費⽤⾯を考慮して
AWS VPNの利⽤を検討
参考 33 ・AWS でのゼロトラスト https://aws.amazon.com/jp/security/zero-trust/ ・AWS Verified Access Workshop https://catalog.us-east-1.prod.workshops.aws/workshops/dc70f5b4-a400-4c33-9a8e-c1b2baebbea4/en-US
・AWS でゼロトラストを実現するためのアプローチ(AWS-39) https://www.youtube.com/watch?v=mkxyqEmgi8w ・re:Invent Re;Cap AWS Verified AccessにちょっぴりDD https://www.youtube.com/watch?v=ag_wLBtNnVQ ・AWS Verified Access の料⾦ https://aws.amazon.com/jp/verified-access/pricing/ ・ AWS VPN の料⾦ https://aws.amazon.com/jp/vpn/pricing/
iret
pauloxnet
amixedcolor
zozotech
yanzm
tendasato
hiyokko_data
gappy50
pei0804
yud0uhu
cmusudakeisuke
shinaps
halka
tammyeverts
trallard
bkeepers
sachag
eitanlees
aarron
jeffersonlam
eileencodes
chrislema
caitiem20
denniskardys
rmw
