$30 off During Our Annual Pro Sale. View Details »

AWS のポリシー言語 “Cedar” で実現するアクセス制御

Kento Suzuki
August 26, 2023
Technology
0
41

AWS のポリシー言語 “Cedar” で実現するアクセス制御

2023/8/26 (土)
JAWS-UG 名古屋 AVAハンズオン+re:Inforceの復習
https://jawsug-nagoya.doorkeeper.jp/events/160064

Kento Suzuki

August 26, 2023
Tweet

More Decks by Kento Suzuki

See All by Kento Suzuki
上流工程に挑戦!「俺の考えた最強サーバレス構成」が一瞬で敗北した件
kentosuzuki
2
170
S3から始めるAWS 〜S3の簡単なユースケースの紹介〜
kentosuzuki
1
180
探せぇ! お薦めAWSセキュリティワークショップ!!〜 怒涛のワークショップ 48 連戦 〜
kentosuzuki
1
360
SIEM って何? 〜 Amazon OpenSearch で始める SIEM 〜
kentosuzuki
0
300
Verified Accessから始めるゼロトラストセキュリティ
kentosuzuki
1
390
復活のAWS DeepComposer 〜 古代兵器から始める生成系AI 〜
kentosuzuki
0
170
新卒入社が考える 『AWSではじめるクラウドセキュリティ』を読むタイミング
kentosuzuki
0
450
Cloudflare Pages使ってみた - ついでにAWS Amplifyもワカル -
kentosuzuki
2
580
べ、べつにアンタのことなんて 好きなんかじゃないんだからね! ねぇS3、アンタ聞いてんの!?
kentosuzuki
0
530

Other Decks in Technology

See All in Technology
2023/11/15 コンテナでDb2やMQを動かす
hfukunak
0
110
スタートアップにおける、チーム拡大を見据えたコンポーネント分割の取り組み
rynsuke
2
300
論文紹介: Improving Implicit Feedback-Based Recommendation through Multi-Behavior Alignment(Xin Xin et al., 2023)
hakubishin3
0
150
急成長スタートアップにおける技術的負債とトレードオフ・スライダー / Technical Debt and Trade-off Sliders in Fast-Growing Startups
codenote
2
1.8k
cloudflare-workersを使ってslack上に匿名チャットを作った話
sugawani
0
120
ソフトウェアの内部品質に生じる様々な問題は組織設計にその原因があることも多い / Internal Quality Issues Caused by Organizational Design
mtx2s
99
38k
FRONTEND CONFERENCE OKINAWA 2023 スポンサーセッション発表スライド/frontend-okinawa
nikkei_engineer_recruiting
1
2k
⾃律的な開発チームを⽀えるためのSLO運⽤
sansantech
PRO
5
820
GPT APIを使ったテキスト生成コンペ@YANS2023に参加した話
naohachi89
2
300
ナレコム CULTURE DECK
kc_nakanishi
0
230
エンジニア志望学生が"ブログの会社"に入社してみて思ったこと〜新卒目線のブログ戦略〜
oshanqq
1
470
Railsアプリと型検査 / Rails app and type checking
sinsoku
5
730

Featured

See All Featured
Put a Button on it: Removing Barriers to Going Fast.
kastner
56
2.8k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
318
20k
Done Done
chrislema
178
15k
Optimising Largest Contentful Paint
csswizardry
6
2k
Faster Mobile Websites
deanohume
296
29k
A Tale of Four Properties
chriscoyier
150
22k
Happy Clients
brianwarren
91
6.1k
Reflections from 52 weeks, 52 projects
jeffersonlam
342
19k
Designing for Performance
lara
601
66k
KATA
mclloyd
13
11k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
44
12k
Bootstrapping a Software Product
garrettdimon
PRO
299
110k

Transcript

  1. AWS のポリシー⾔語
    “Cedar”
    で実現するアクセス制御
    8/5(⼟) JAWS-UG 名古屋 AVAハンズオン+re:Inforceの復習

    View Slide

  2. 2
    鈴⽊健⽃
    所属
    アイレット株式会社(東京)
    業務
    AWSのインフラ構築・運⽤ → 提案
    ・Japan AWS Top Engineer (2022, 2023)
    ・Japan AWS All Certifications Engineer (2022, 2023)
    ・ AWS Community Builder(Cloud Operations)
    ・iret テクニカルアンバサダー (2023)
    自己紹介
    自費で re:Invent へ行きます!!!!!!!

    View Slide

  3. アジェンダ
    ❧ 本 LT の経緯
    ❧ Cedar とは︖
    ❧ ワークショップを通して Cedar を触ってみた
    3

    View Slide

  4. 1.
    本 LT の経緯
    Background of this Lightning Talk

    View Slide

  5. Security-JAWS DAYS の登壇が決まる
    タイトル
    探せぇ︕お薦めAWSセキュリティワークショップ︕︕
    〜 怒涛のワークショップ45連戦 〜
    “「AWS のセキュリティサービスに興味があるけど、どこから
    始めれば良いか分からない」という⽅に向けて、全AWS公式セ
    キュリティワークショップの中から、個⼈的にお薦めのワークシ
    ョップを紹介(CfP 応募時点では全45種類)”
    参考︓AWS Security Workshop
    https://workshops.aws/categories/Security
    5
    ※注意
    本日確認したところ 48 種類に増えている模様 https://jaws-tohoku.doorkeeper.jp/events/156109

    View Slide

  6. 全 AWS 公式ワークショップをやる
    6
    以下のワークショップを⾒つける
    「Cedar policy language in action」
    概要
    Cedarは、誰が何にアクセスすべきかを記述するポリシーとしてパーミッションを定義するための⾔語です。
    Amazon Verified PermissionsとAWS Verified Accessは、アプリケーションとエンドユーザーに対して
    きめ細かいパーミッションを定義するためにCedarを使⽤します。
    このワークショップでは、アクセス制御のためのCedarポリシーを構築することで学びます。
    re:Inforce でワークショップが公開された??

    View Slide

  7. 2.
    Cedar とは︖
    What is “Cedar”

    View Slide

  8. Cedar とは?
    ❧ AWS Verified AccessやAWS Verified Permission で利⽤できるAWSのポリシー⾔語
    ❧ 昨年の re:Invent 2022 にて発表
    ❧ オープンソースのポリシー⾔語
    ❧ 以下の特徴をもつ
    ・表現の幅広さ ← 今回紹介するワークショップではこれが体験できる
    ・⾼性能
    ・分析がしやすい
    8

    View Slide

  9. 表現の幅広さ
    スキーマと呼ばれるものを活⽤することで表現の幅広さを実現します。
    スキーマとは
    “アプリケーションでサポートし、Cedar に認可サービスを提供させたいエンティティタイプの構造を
    宣⾔したものです。Cedar は JSON を使ってスキーマを定義します。これは JSON スキーマに似ていま
    すが、エンティティタイプの使⽤など、Cedar の設計のユニークな⾯では若⼲の違いが求められます”
    9
    IAM でいうポリシーの構造(書き⽅)を⾃分で定義できる
    触ってみた結果

    View Slide

  10. スキーマの例
    10
    ポリシー スキーマ

    View Slide

  11. スキーマの例
    11
    ポリシー スキーマ

    View Slide

  12. 3.
    ワークショップを通して
    Cedar を触ってみた
    Experiencing “Cedar” through workshops

    View Slide

  13. ワークショップの前提
    13
    Cedar Playground という Cedar を体験できるサイトを使うため AWS アカウントにログインする必要がない
    (8/5 時点では⽇本語⾮対応)
    https://www.cedarpolicy.com/en

    View Slide

  14. Cedar Playground でできること ①
    14
    ポリシーとスキーマの定義の作成

    View Slide

  15. Cedar Playground でできること ②
    15
    作成したポリシーに対して実際にリクエストを送る

    View Slide

  16. Cedar Playground でできること ③
    16
    許可/禁⽌を確認

    View Slide

  17. ワークショップの概要
    ❧ Policy playground を使って Cedarについて⼀通りの概要を体験
    ❧ 基本的にポリシーやリクエストを書いて「これは通る」「これは通らない」を確認
    ❧ ワークショップの最後には「実際にスキーマとポリシーを⾃分で書いてみよう」的な
    応⽤問題もある
    → 答えもあるので、「似たようなアクセス制御を実現したい」となった際の
    サンプルとしても使える
    17

    View Slide

  18. ワークショップに出てくる例題①
    18
    ・⾃分がアップロードした写真は⾒れるがそれ以外は⾒れない
    ・⾃分の家族があげた写真は⾒ることができるがそれ以外は⾒れない
    ・特定のタグがついている写真だけを閲覧することができる

    View Slide

  19. ワークショップに出てくる例題②
    19
    ・Git アプリケーションもあるよ

    View Slide

  20. 感想
    ❧ IAMやS3のバケットポリシーやKMSのキーポリシーを書いたことがあれば
    ⽐較的理解できる
    ❧ AWS Verified AccessやAWS Verified Permissionといったサービスを検証する際に
    実際にリソースを作成してしまうと費⽤が発⽣してしまうが、
    Cedar Playground を使えば、無料で Cedar のポリシーやスキーマの検証ができる
    ❧ AWS Verified AccessやAWS Verified Permissionといったサービスを
    実際に触るわけではないので、「AWSのサービスでどう使うのか」という
    応⽤場⾯のイメージは付きづらい
    20

    View Slide

  21. Big concept
    Bring the attention of your audience over a key
    concept using icons or illustrations
    21
    参加登録はこちら 懇親会登録はこちら
    #jawsfesta #jawsfesta2023 #実行委員長発見
    ←この人 (@east_takumi) が実行委員長です!
    もし現地で⾒かけたら
    上のハッシュタグを付けて 通報 Tweet しよう︕︕

    View Slide