Upgrade to Pro — share decks privately, control downloads, hide ads and more …

IPとVPC Endpointで IAM Userを使えるプリンシパルの制限

Kento Suzuki
March 24, 2022
Technology
0
160

IPとVPC Endpointで IAM Userを使えるプリンシパルの制限

2022.03.24.Thu
JAWS-UG CLI専門支部 #252R
発表資料

Kento Suzuki

March 24, 2022
Tweet

More Decks by Kento Suzuki

See All by Kento Suzuki
上流工程に挑戦!「俺の考えた最強サーバレス構成」が一瞬で敗北した件
kentosuzuki
2
220
S3から始めるAWS 〜S3の簡単なユースケースの紹介〜
kentosuzuki
1
260
AWS のポリシー言語 “Cedar” で実現するアクセス制御
kentosuzuki
0
110
探せぇ! お薦めAWSセキュリティワークショップ!!〜 怒涛のワークショップ 48 連戦 〜
kentosuzuki
1
490
SIEM って何? 〜 Amazon OpenSearch で始める SIEM 〜
kentosuzuki
0
450
Verified Accessから始めるゼロトラストセキュリティ
kentosuzuki
1
490
復活のAWS DeepComposer 〜 古代兵器から始める生成系AI 〜
kentosuzuki
0
220
新卒入社が考える 『AWSではじめるクラウドセキュリティ』を読むタイミング
kentosuzuki
0
510
Cloudflare Pages使ってみた - ついでにAWS Amplifyもワカル -
kentosuzuki
3
730

Other Decks in Technology

See All in Technology
サーバー間 GraphQL と webmock-graphql の話 / server-to-server graphql and webmock-graphql
qsona
2
180
家族アルバム みてねにおけるGrafana活用術 / Grafana Meetup Japan Vol.1 LT
isaoshimizu
1
430
JAWS-UG Bedrock Claude Night
yamahiro
3
550
コンテナセキュリティの基本と脅威への対策
kyohmizu
3
750
Meta Quest 3 で動く桜マシマシ WebXR アプリを IBM Cloud Code Engine と Babylon.js で作った話
1ftseabass
PRO
0
120
EMとして2023年度に頑張ったこと / What we did well in FY2023 as a EM
pauli
1
160
テストプロセスで大事にしていること #jasstnano
makky_tyuyan
0
160
複雑な構成要素を持つUIとの向き合い方 〜新・支出グラフでの実例〜 / B43 TECH TALK
nakamuuu
0
140
一生覚えておきたい「システム開発=コミュニケーション」〜初めての実務案件振り返りLT〜
maimyyym
0
120
開発生産性向上サービスを作るFindyが自分たちで開発生産性を爆上げした組織づくりの歩み / Findy's path to boosting its own development productivity 2024-04-17
ma3tk
3
630
Google Cloud の AI を支える裏側のインフラを垣間見る!
maroon1st
0
340
Hands-on Gemini, the Google DeepMind LLM
meteatamel
1
110

Featured

See All Featured
Large-scale JavaScript Application Architecture
addyosmani
504
110k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
226
51k
Atom: Resistance is Futile
akmur
259
25k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
14
1.5k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
20
1.9k
How GitHub (no longer) Works
holman
304
140k
Automating Front-end Workflow
addyosmani
1356
200k
Web Components: a chance to create the future
zenorocha
305
41k
[RailsConf 2023] Rails as a piece of cake
palkan
23
3.9k
Intergalactic Javascript Robots from Outer Space
tanoku
266
26k
Stop Working from a Prison Cell
hatefulcrawdad
266
19k
Raft: Consensus for Rubyists
vanstee
132
6.3k

Transcript

  1. IPとVPC Endpointで IAM Userを使えるプリンシパルの制限 2022.03.24.Thu JAWS-UG CLI専門支部 #252R Kento Suzuki

  2. 自己紹介 氏名:鈴木 健斗(すずき けんと) 所属:Iret株式会社 普段:インフラ周りやってる 好きな飲み物:綾鷹

  3. 概要 IAM Userを使用する プリンシパルを IPとVPC Endpointで絞りたい ※IAM Roleは使用不可

  4. プリンシパルとは AWSのリソースに対してアクションやオペレーションを実行できる人
 もしくはアプリケーションのこと 参考:Understanding how IAM works

  5. 要件 プログラム経由(CLI、SDK等)のIAM Userを使うプリンシパルが以下の場合はアクセスを許可 1. アカウントAのVPC Endpointを経由している 2. 特定のパブリックIP 3. AWSのサービス

    1 or 2 or 3であればIAM Userが使える

  6. 完成品 1. アカウントAのVPC Endpointを経由している 2. 特定のパブリックIP 3. AWSのサービス 1 or

    2 or 3を許可したいのに Deny ??

  7. Denyの理由 1. アカウントAのVPC Endpointを経由している 2. 特定のパブリックIP 3. AWSのサービス IAMポリシーのConditionに対する 評価ロジックはAND条件となる

    ➔ 1 or 2 or 3といった条件指定はできない

  8. 集合の話:ANDで同じ条件を作る

  9. ANDにすると 1. アカウントAのVPCエンドポイントを経由していない 2. 特定のパブリックIPではない 3. AWSのサービスではない 1 and 2

    and 3を拒否

  10. 確認 念のため以下コマンドで疎通確認 aws s3 ls s3://バケット名 問題がないことを確認 一方で、IAM PolicyのConditionを 存在しないIP,VPC

    EndpointのIDに 書き換え疎通不可になることも確認 ※水色のルートはローカルからCLIを実行しているのと同じ

  11. おわりに IAM PolicyのCondition句「StringNotEquals」や「NotIpAddress」といった 「Not」が含まれるキーを用いた「Deny」の書き方は分かりづらいが、 整理して考えることができれば大変柔軟が効くポリシーが書ける!! でも、IAM Roleを使えば...

  12. 参考 Understanding how IAM works https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-p rincipal AWS: Denies access

    to AWS based on the source IP https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny -ip.html Creating a condition with multiple keys or values https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditio ns.html 本スライドのQiita版 https://qiita.com/suzuki_kento/items/5e87ed8bd71f05281382