Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS IAM概要

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for Kento Takano Kento Takano
March 02, 2019
Technology
350
0

AWS IAM概要

SAAのセキュリティに関する点数が非常に悪かったので、
自戒の念を込めて作成した資料

Avatar for Kento Takano

Kento Takano

March 02, 2019

More Decks by Kento Takano

See All by Kento Takano
Drone.ioでテスト自動化
Avatar for Kento Takano kento75
0
420

Other Decks in Technology

See All in Technology
大学職員のための生成AI最前線 :最前線を、AIガバナンスとして読み直すためのTips
Avatar for gmoriki | 森木銀河 gmoriki
2
4k
AI対話分析の夢と、汚いデータの現実 Looker / Dataplex / Dataform で実現する品質ファーストな基盤設計
Avatar for Yuta Ozaki waiwai2111
0
510
Claude Code / Codex / Kiro に AWS 権限を 渡すとき、何を設計すべきか
Avatar for Kazuki Adachi k_adachi_01
5
1.3k
PdM・Eng・QAで進めるAI駆動開発の現在地/aidd-with-pdm-eng-qa
Avatar for butatamasoba / Shota Kusaba / 草場翔太 shota_kusaba
0
220
Oracle Cloud Infrastructure presents managed, serverless MCP Servers for Oracle AI Database
Avatar for thatjeffsmith thatjeffsmith
0
280
AIのための特別なアーキテクチャはいらない 0→1開発で実践した設計原則とガードレール
Avatar for 株式会社カミナシ kaminashi
0
110
みんなの考えた最強のデータ基盤アーキテクチャ'26前期〜前夜祭〜ルーキーズ_資料_遠藤な
Avatar for Naoya Endo endonanana
0
330
AI駆動開発で生産性を追いかけたら、行き着いたのは品質とシフトレフトだった
Avatar for Koichiro Matsuoka littlehands
0
500
100マイクロサービスのTerraform/Kubernetes管理地獄から抜け出すためのAI活用術
Avatar for Masaki Ishigaki markie1009
0
150
ワールドカフェ再び、そしてゴール・ルール・ロール・ツール / World Café Revisited, and the Goals-Rules-Roles-Tools
Avatar for Kenji Saito ks91
PRO
0
150
毎日の作業を Claude Code 経由にしたら、 ノウハウがコードになった
Avatar for Hajime KOSHIRO kossykinto
1
1.3k
拝啓、あの夏の僕へ〜あなたも知っているApp Runnerの世界〜
Avatar for 荒木 ARK news_it_enj
0
240

Featured

See All Featured
The untapped power of vector embeddings
Avatar for Frank van Dijk frankvandijk
2
1.7k
Distributed Sagas: A Protocol for Coordinating Microservices
Avatar for Caitie McCaffrey caitiem20
333
22k
Helping Users Find Their Own Way: Creating Modern Search Experiences
Avatar for Dan Newman danielanewman
31
3.2k
Evolving SEO for Evolving Search Engines
Avatar for Ryan Jones ryanjones
0
190
The Curse of the Amulet
Avatar for Matthew Lei leimatthew05
1
12k
Ruling the World: When Life Gets Gamed
Avatar for Sebastian Deterding codingconduct
0
220
Building Applications with DynamoDB
Avatar for Matt Wood mza
96
7k
Why Your Marketing Sucks and What You Can Do About It - Sophie Logan
Avatar for Sophie Logan marketingsoph
0
140
Designing Dashboards & Data Visualisations in Web Apps
Avatar for Des Traynor destraynor
231
54k
The SEO Collaboration Effect
Avatar for Kristina Bergwall kristinabergwall1
1
440
Unlocking the hidden potential of vector embeddings in international SEO
Avatar for Frank van Dijk frankvandijk
0
790
What’s in a name? Adding method to the madness
Avatar for The Alliance productmarketing
PRO
24
4k

Transcript

  1. AWS IAM概要 2019.03.02 Kento Takano

  2. 自己紹介 Kento Takano(@Kento75) ・自称フロントエンドエンジニア ・好きな言語 → React.js ・好きなクラウド → GCP

    ・好きな女優 → 新垣結衣 Blog → https://overreact.tk Twitter → https://twitter.com/Kento751 Github → https://github.com/Kento75

  3. IAMとは? AWS IAM とは、 AWSを安全に操作する為の認証・認可の仕組み ・AWS利用者の管理 ・アクセス許可の管理 ・ユーザー(個人) OR グループごとに管理

  4. 権限 ・EC2: OK ・S3 : NG たとえば、 ユーザーが、AWSのEC2の起動、停止に対して権限を持ち、 S3に対しては権限を持たない場合 ユーザー

    IAM AWS EC2 S3

  5. IAMの主要トピック ・ユーザー ・グループ ・ポリシー ・ロール

  6. ユーザー概要 IAMユーザーは2種類ある ・ルートユーザー ・IAMユーザー

  7. ルートユーザーとは? ・AWSアカウント作成時に作られるユーザー ・全てのAWSサービスとリソースに対する権限を持つ ・業務等(個人利用でも)ルートユーザーを使用しない。  流出した場合、やりたい放題される。

  8. ルートユーザーにしかできない操作 (主要なものだけ) ・ルートアカウントのメールアドレス、パスワード変更 ・AWSアカウントの請求情報の参照 ・Route53で登録したドメインを別AWSアカウントに移管 ・CloudFrontのキーペア作成 ・AWSアカウントの停止 ・侵入テスト申請 ・逆引き設定の申請 etc...

  9. IAMユーザーとは? ・IAMポリシー内でAWSサービスを利用できるユーザー ・基本の操作は、ルートユーザーを使わずにこちらを使う。  ※ IAMポリシーとは、アクセス権限のこと

  10. 権限 ・EC2: OK ・S3 : NG IAMユーザーとは? 先ほどのスライドのユーザーアクセスの例は、IAMユーザー IAMユーザー IAM

    AWS EC2 S3

  11. IAMユーザーの設定、設計 設定上限:アカウント毎に、5000ユーザーまで作成できる 設計内容:ユーザー名、パス、所属グループ、権限の4つ

  12. IAMグループとは? ・IAMポリシー内でAWSサービスを利用できるグループ ・IAMユーザー複数に対して同じ権限を設定したい場合に  使用する。  身近な例では、同じサーバ運用業務を行うメンバー全員に  個 別に権限を付与するのは、あまり賢くない。  グループを1つ作成すれば、メンバ

  13. 権限 ・EC2: OK ・S3 : NG 身近な例では? 同じサーバ運用業務を行うメンバー全員に  個別に権限を付与するの は、あまり賢くない。必要な権限が変わった時に全員分変更は大変。

    IAMユーザー IAM AWS EC2 S3 x2

  14. 権限 ・EC2: OK ・S3 : NG IAMグループで設定したら? IAMグループの設定1つあれば、権限を追加したい時や減らしたい時 にもIAMグループの変更だけで良い。運用が楽になる。 IAMグループ

    IAM AWS EC2 S3

  15. IAMグループの設定、設計 設定上限:アカウント毎に、100グループまで作成できる 設計内容:グループ名、パス、権限の3つ

  16. IAMの認証方式 ・アクセスキーID/シークレットアクセスキー  → 主に、API利用時に使用する ・X.509 Certificate  → 公開鍵認証形式でのAPIリクエストに使用する ・AWSマネジメントコンソールへのログイン  →

    AWSアカウントごとにパスワードを設定する ・MFA(多要素認証)  → スマートフォンなど、物理デバイスを利用した認証形式   

  17. IAMポリシーとは? ・IAMユーザーやIAMグループへAWSサービス、  リソースへのアクセス権限を付与する

  18. 権限 ・EC2: OK ・S3 : NG 先ほどの図では? IAMグループ IAM AWS

    EC2 S3 IAMポリシー

  19. IAMポリシーの種類 以下の2つの分かれている。 ・管理ポリシー  → AWS管理ポリシー、カスタム管理ポリシー ・インラインポリシー  → 自作の管理ポリシー

  20. 管理ポリシーとは? ・AWS管理ポリシー  → AWSが作成、管理するポリシー ・カスタム管理ポリシー  → AWSアカウントで作成、管理するポリシー    同じポリシーを複数のIAMエンティティにアタッチできる ※

    IAMエンティティとは、IAMユーザー、IAMグループ、   IAMロール、キー、証明書、MFAデバイスetcのこと          

  21. インラインポリシーとは? ・自作の管理ポリシー  → プリンシパルエンティティにアタッチできるポリシー ※ プリンシパルエンティティとは、IAMユーザー、IAMグループ、   IAMロールのこと

  22. IAMポリシー 人 or サービスへの適用 IAMポリシーには、 ユーザーベースとリソースベースのポリシー適用がある。 ユーザーベースのポリシー適用 サービスベースのポリシー適用 IAMユーザー SNS

    S3 SQS AWSアカウントを越したアクセス許可が 可能

  23. ユーザーベース、サービスベースを 図にするとこんな感じ IAMグループ IAM AWS EC2 S3 IAMユーザー Aポリシー ・EC2:

    OK ・S3 : OK Bポリシー ・EC2: OK ・S3 : NG etc... IAMロール Cポリシー ・EC2: NG ・S3 : OK

  24. IAMで管理しているユーザー以外がアクセスする場 合は? ・アプリケーションによっては、30分間のアクセス許可とか、   LDAPでの外部でのアクセス許可を適用したい場合は? ・顧客に対してIAMを持ちたくない(持つべきではない) → AWS Security Token Service(STS)を使う

  25. AWS STS とは? AWS Security Token Service(STS)とは、 動的にIAMユーザーを作り、認証用トークンを発行するサービス