2023/8/26 (土) JAWS-UG 名古屋 AVAハンズオン+re:Inforceの復習 https://jawsug-nagoya.doorkeeper.jp/events/160064
AWS のポリシー⾔語“Cedar”で実現するアクセス制御8/5(⼟) JAWS-UG 名古屋 AVAハンズオン+re:Inforceの復習
View Slide
2鈴⽊健⽃所属アイレット株式会社(東京)業務AWSのインフラ構築・運⽤ → 提案・Japan AWS Top Engineer (2022, 2023)・Japan AWS All Certifications Engineer (2022, 2023)・ AWS Community Builder(Cloud Operations)・iret テクニカルアンバサダー (2023)自己紹介自費で re:Invent へ行きます!!!!!!!
アジェンダ❧ 本 LT の経緯❧ Cedar とは︖❧ ワークショップを通して Cedar を触ってみた3
1.本 LT の経緯Background of this Lightning Talk
Security-JAWS DAYS の登壇が決まるタイトル探せぇ︕お薦めAWSセキュリティワークショップ︕︕〜 怒涛のワークショップ45連戦 〜“「AWS のセキュリティサービスに興味があるけど、どこから始めれば良いか分からない」という⽅に向けて、全AWS公式セキュリティワークショップの中から、個⼈的にお薦めのワークショップを紹介(CfP 応募時点では全45種類)”参考︓AWS Security Workshophttps://workshops.aws/categories/Security5※注意本日確認したところ 48 種類に増えている模様 https://jaws-tohoku.doorkeeper.jp/events/156109
全 AWS 公式ワークショップをやる6以下のワークショップを⾒つける「Cedar policy language in action」概要Cedarは、誰が何にアクセスすべきかを記述するポリシーとしてパーミッションを定義するための⾔語です。Amazon Verified PermissionsとAWS Verified Accessは、アプリケーションとエンドユーザーに対してきめ細かいパーミッションを定義するためにCedarを使⽤します。このワークショップでは、アクセス制御のためのCedarポリシーを構築することで学びます。re:Inforce でワークショップが公開された??
2.Cedar とは︖What is “Cedar”
Cedar とは?❧ AWS Verified AccessやAWS Verified Permission で利⽤できるAWSのポリシー⾔語❧ 昨年の re:Invent 2022 にて発表❧ オープンソースのポリシー⾔語❧ 以下の特徴をもつ・表現の幅広さ ← 今回紹介するワークショップではこれが体験できる・⾼性能・分析がしやすい8
表現の幅広さスキーマと呼ばれるものを活⽤することで表現の幅広さを実現します。スキーマとは“アプリケーションでサポートし、Cedar に認可サービスを提供させたいエンティティタイプの構造を宣⾔したものです。Cedar は JSON を使ってスキーマを定義します。これは JSON スキーマに似ていますが、エンティティタイプの使⽤など、Cedar の設計のユニークな⾯では若⼲の違いが求められます”9IAM でいうポリシーの構造(書き⽅)を⾃分で定義できる触ってみた結果
スキーマの例10ポリシー スキーマ
スキーマの例11ポリシー スキーマ
3.ワークショップを通してCedar を触ってみたExperiencing “Cedar” through workshops
ワークショップの前提13Cedar Playground という Cedar を体験できるサイトを使うため AWS アカウントにログインする必要がない(8/5 時点では⽇本語⾮対応)https://www.cedarpolicy.com/en
Cedar Playground でできること ①14ポリシーとスキーマの定義の作成
Cedar Playground でできること ②15作成したポリシーに対して実際にリクエストを送る
Cedar Playground でできること ③16許可/禁⽌を確認
ワークショップの概要❧ Policy playground を使って Cedarについて⼀通りの概要を体験❧ 基本的にポリシーやリクエストを書いて「これは通る」「これは通らない」を確認❧ ワークショップの最後には「実際にスキーマとポリシーを⾃分で書いてみよう」的な応⽤問題もある→ 答えもあるので、「似たようなアクセス制御を実現したい」となった際のサンプルとしても使える17
ワークショップに出てくる例題①18・⾃分がアップロードした写真は⾒れるがそれ以外は⾒れない・⾃分の家族があげた写真は⾒ることができるがそれ以外は⾒れない・特定のタグがついている写真だけを閲覧することができる
ワークショップに出てくる例題②19・Git アプリケーションもあるよ
感想❧ IAMやS3のバケットポリシーやKMSのキーポリシーを書いたことがあれば⽐較的理解できる❧ AWS Verified AccessやAWS Verified Permissionといったサービスを検証する際に実際にリソースを作成してしまうと費⽤が発⽣してしまうが、Cedar Playground を使えば、無料で Cedar のポリシーやスキーマの検証ができる❧ AWS Verified AccessやAWS Verified Permissionといったサービスを実際に触るわけではないので、「AWSのサービスでどう使うのか」という応⽤場⾯のイメージは付きづらい20
Big conceptBring the attention of your audience over a keyconcept using icons or illustrations21参加登録はこちら 懇親会登録はこちら#jawsfesta #jawsfesta2023 #実行委員長発見←この人 (@east_takumi) が実行委員長です!もし現地で⾒かけたら上のハッシュタグを付けて 通報 Tweet しよう︕︕