Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS のポリシー言語 “Cedar” で実現するアクセス制御
Search
Kento Suzuki
August 26, 2023
Technology
0
390
AWS のポリシー言語 “Cedar” で実現するアクセス制御
2023/8/26 (土)
JAWS-UG 名古屋 AVAハンズオン+re:Inforceの復習
https://jawsug-nagoya.doorkeeper.jp/events/160064
Kento Suzuki
August 26, 2023
Tweet
Share
More Decks by Kento Suzuki
See All by Kento Suzuki
バッドプラクティスから学ぶ ハワイアン航空で行く re:Invent
kentosuzuki
0
260
上流工程に挑戦!「俺の考えた最強サーバレス構成」が一瞬で敗北した件
kentosuzuki
2
310
S3から始めるAWS 〜S3の簡単なユースケースの紹介〜
kentosuzuki
1
620
探せぇ! お薦めAWSセキュリティワークショップ!!〜 怒涛のワークショップ 48 連戦 〜
kentosuzuki
1
690
SIEM って何? 〜 Amazon OpenSearch で始める SIEM 〜
kentosuzuki
0
890
Verified Accessから始めるゼロトラストセキュリティ
kentosuzuki
1
670
復活のAWS DeepComposer 〜 古代兵器から始める生成系AI 〜
kentosuzuki
0
350
新卒入社が考える 『AWSではじめるクラウドセキュリティ』を読むタイミング
kentosuzuki
0
700
Cloudflare Pages使ってみた - ついでにAWS Amplifyもワカル -
kentosuzuki
3
1.2k
Other Decks in Technology
See All in Technology
データプラットフォーム技術におけるメダリオンアーキテクチャという考え方/DataPlatformWithMedallionArchitecture
smdmts
4
380
Navigation3でViewModelにデータを渡す方法
mikanichinose
0
180
Snowflake Intelligenceで 実現できるノーコードAI活用
takumimukaiyama
1
290
生成AIをテストプロセスに活用し"よう"としている話 #jasstnano
makky_tyuyan
0
250
doda開発 生成AI元年宣言!自家製AIエージェントから始める生産性改革 / doda Development Declaration of the First Year of Generated AI! Productivity Reforms Starting with Home-grown AI Agents
techtekt
0
180
vLLM meetup Tokyo
jpishikawa
1
260
Кто отправит outbox? Валентин Удальцов, автор канала Пых
lamodatech
0
210
AWS CDK 実践的アプローチ N選 / aws-cdk-practical-approaches
gotok365
4
160
2025/6/21 日本学術会議公開シンポジウム発表資料
keisuke198619
2
450
原則から考える保守しやすいComposable関数設計
moriatsushi
3
490
Amazon Q Developer for GitHubとAmplify Hosting でサクッとデジタル名刺を作ってみた
kmiya84377
0
3.5k
評価の納得感を2段階高める「構造化フィードバック」
aloerina
1
280
Featured
See All Featured
The Cost Of JavaScript in 2023
addyosmani
50
8.4k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
16
930
Reflections from 52 weeks, 52 projects
jeffersonlam
351
20k
Documentation Writing (for coders)
carmenintech
71
4.9k
What's in a price? How to price your products and services
michaelherold
245
12k
Building Adaptive Systems
keathley
43
2.6k
Gamification - CAS2011
davidbonilla
81
5.3k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
32
5.9k
The Pragmatic Product Professional
lauravandoore
35
6.7k
Six Lessons from altMBA
skipperchong
28
3.8k
Speed Design
sergeychernyshev
31
1k
Why You Should Never Use an ORM
jnunemaker
PRO
56
9.4k
Transcript
AWS のポリシー⾔語 “Cedar” で実現するアクセス制御 8/5(⼟) JAWS-UG 名古屋 AVAハンズオン+re:Inforceの復習
2 鈴⽊健⽃ 所属 アイレット株式会社(東京) 業務 AWSのインフラ構築・運⽤ → 提案 ・Japan AWS
Top Engineer (2022, 2023) ・Japan AWS All Certifications Engineer (2022, 2023) ・ AWS Community Builder(Cloud Operations) ・iret テクニカルアンバサダー (2023) 自己紹介 自費で re:Invent へ行きます!!!!!!!
アジェンダ ❧ 本 LT の経緯 ❧ Cedar とは︖ ❧ ワークショップを通して
Cedar を触ってみた 3
1. 本 LT の経緯 Background of this Lightning Talk
Security-JAWS DAYS の登壇が決まる タイトル 探せぇ︕お薦めAWSセキュリティワークショップ︕︕ 〜 怒涛のワークショップ45連戦 〜 “「AWS のセキュリティサービスに興味があるけど、どこから
始めれば良いか分からない」という⽅に向けて、全AWS公式セ キュリティワークショップの中から、個⼈的にお薦めのワークシ ョップを紹介(CfP 応募時点では全45種類)” 参考︓AWS Security Workshop https://workshops.aws/categories/Security 5 ※注意 本日確認したところ 48 種類に増えている模様 https://jaws-tohoku.doorkeeper.jp/events/156109
全 AWS 公式ワークショップをやる 6 以下のワークショップを⾒つける 「Cedar policy language in action」
概要 Cedarは、誰が何にアクセスすべきかを記述するポリシーとしてパーミッションを定義するための⾔語です。 Amazon Verified PermissionsとAWS Verified Accessは、アプリケーションとエンドユーザーに対して きめ細かいパーミッションを定義するためにCedarを使⽤します。 このワークショップでは、アクセス制御のためのCedarポリシーを構築することで学びます。 re:Inforce でワークショップが公開された??
2. Cedar とは︖ What is “Cedar”
Cedar とは? ❧ AWS Verified AccessやAWS Verified Permission で利⽤できるAWSのポリシー⾔語 ❧
昨年の re:Invent 2022 にて発表 ❧ オープンソースのポリシー⾔語 ❧ 以下の特徴をもつ ・表現の幅広さ ← 今回紹介するワークショップではこれが体験できる ・⾼性能 ・分析がしやすい 8
表現の幅広さ スキーマと呼ばれるものを活⽤することで表現の幅広さを実現します。 スキーマとは “アプリケーションでサポートし、Cedar に認可サービスを提供させたいエンティティタイプの構造を 宣⾔したものです。Cedar は JSON を使ってスキーマを定義します。これは JSON
スキーマに似ていま すが、エンティティタイプの使⽤など、Cedar の設計のユニークな⾯では若⼲の違いが求められます” 9 IAM でいうポリシーの構造(書き⽅)を⾃分で定義できる 触ってみた結果
スキーマの例 10 ポリシー スキーマ
スキーマの例 11 ポリシー スキーマ
3. ワークショップを通して Cedar を触ってみた Experiencing “Cedar” through workshops
ワークショップの前提 13 Cedar Playground という Cedar を体験できるサイトを使うため AWS アカウントにログインする必要がない (8/5
時点では⽇本語⾮対応) https://www.cedarpolicy.com/en
Cedar Playground でできること ① 14 ポリシーとスキーマの定義の作成
Cedar Playground でできること ② 15 作成したポリシーに対して実際にリクエストを送る
Cedar Playground でできること ③ 16 許可/禁⽌を確認
ワークショップの概要 ❧ Policy playground を使って Cedarについて⼀通りの概要を体験 ❧ 基本的にポリシーやリクエストを書いて「これは通る」「これは通らない」を確認 ❧ ワークショップの最後には「実際にスキーマとポリシーを⾃分で書いてみよう」的な
応⽤問題もある → 答えもあるので、「似たようなアクセス制御を実現したい」となった際の サンプルとしても使える 17
ワークショップに出てくる例題① 18 ・⾃分がアップロードした写真は⾒れるがそれ以外は⾒れない ・⾃分の家族があげた写真は⾒ることができるがそれ以外は⾒れない ・特定のタグがついている写真だけを閲覧することができる
ワークショップに出てくる例題② 19 ・Git アプリケーションもあるよ
感想 ❧ IAMやS3のバケットポリシーやKMSのキーポリシーを書いたことがあれば ⽐較的理解できる ❧ AWS Verified AccessやAWS Verified Permissionといったサービスを検証する際に
実際にリソースを作成してしまうと費⽤が発⽣してしまうが、 Cedar Playground を使えば、無料で Cedar のポリシーやスキーマの検証ができる ❧ AWS Verified AccessやAWS Verified Permissionといったサービスを 実際に触るわけではないので、「AWSのサービスでどう使うのか」という 応⽤場⾯のイメージは付きづらい 20
Big concept Bring the attention of your audience over a
key concept using icons or illustrations 21 参加登録はこちら 懇親会登録はこちら #jawsfesta #jawsfesta2023 #実行委員長発見 ←この人 (@east_takumi) が実行委員長です! もし現地で⾒かけたら 上のハッシュタグを付けて 通報 Tweet しよう︕︕
kentosuzuki
smdmts
mikanichinose
takumimukaiyama
makky_tyuyan
techtekt
jpishikawa
lamodatech
gotok365
keisuke198619
moriatsushi
kmiya84377
.PNG){kind=avatar}
aloerina
addyosmani
sergeychernyshev
jeffersonlam
carmenintech
michaelherold
keathley
davidbonilla
kevinliebholz
lauravandoore
skipperchong
jnunemaker
