Upgrade to Pro — share decks privately, control downloads, hide ads and more …

IPとVPC Endpointで IAM Userを使えるプリンシパルの制限

Kento Suzuki
March 24, 2022
Technology
0
170

IPとVPC Endpointで IAM Userを使えるプリンシパルの制限

2022.03.24.Thu
JAWS-UG CLI専門支部 #252R
発表資料

Kento Suzuki

March 24, 2022
Tweet

More Decks by Kento Suzuki

See All by Kento Suzuki
上流工程に挑戦!「俺の考えた最強サーバレス構成」が一瞬で敗北した件
kentosuzuki
2
260
S3から始めるAWS 〜S3の簡単なユースケースの紹介〜
kentosuzuki
1
480
AWS のポリシー言語 “Cedar” で実現するアクセス制御
kentosuzuki
0
260
探せぇ! お薦めAWSセキュリティワークショップ!!〜 怒涛のワークショップ 48 連戦 〜
kentosuzuki
1
600
SIEM って何? 〜 Amazon OpenSearch で始める SIEM 〜
kentosuzuki
0
730
Verified Accessから始めるゼロトラストセキュリティ
kentosuzuki
1
590
復活のAWS DeepComposer 〜 古代兵器から始める生成系AI 〜
kentosuzuki
0
290
新卒入社が考える 『AWSではじめるクラウドセキュリティ』を読むタイミング
kentosuzuki
0
600
Cloudflare Pages使ってみた - ついでにAWS Amplifyもワカル -
kentosuzuki
3
950

Other Decks in Technology

See All in Technology
Why App Signing Matters for Your Android Apps - Android Bangkok Conference 2024
akexorcist
0
130
Lambdaと地方とコミュニティ
miu_crescent
2
370
適材適所の技術選定 〜GraphQL・REST API・tRPC〜 / Optimal Technology Selection
kakehashi
1
400
ドメインの本質を掴む / Get the essence of the domain
sinsoku
2
150
[FOSS4G 2024 Japan LT] LLMを使ってGISデータ解析を自動化したい!
nssv
1
210
TanStack Routerに移行するのかい しないのかい、どっちなんだい! / Are you going to migrate to TanStack Router or not? Which one is it?
kaminashi
0
580
個人でもIAM Identity Centerを使おう!(アクセス管理編)
ryder472
3
200
Lexical Analysis
shigashiyama
1
150
dev 補講: プロダクトセキュリティ / Product security overview
wa6sn
1
2.3k
BLADE: An Attempt to Automate Penetration Testing Using Autonomous AI Agents
bbrbbq
0
300
テストコード品質を高めるためにMutation Testingライブラリ・Strykerを実戦導入してみた話
ysknsid25
7
2.6k
いざ、BSC討伐の旅
nikinusu
2
780

Featured

See All Featured
What's new in Ruby 2.0
geeforr
343
31k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
44
6.8k
A designer walks into a library…
pauljervisheath
204
24k
Fantastic passwords and where to find them - at NoRuKo
philnash
50
2.9k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
356
29k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
665
120k
Typedesign – Prime Four
hannesfritz
40
2.4k
Fireside Chat
paigeccino
34
3k
How To Stay Up To Date on Web Technology
chriscoyier
788
250k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
44
2.2k
Scaling GitHub
holman
458
140k

Transcript

  1. IPとVPC Endpointで IAM Userを使えるプリンシパルの制限 2022.03.24.Thu JAWS-UG CLI専門支部 #252R Kento Suzuki

  2. 自己紹介 氏名:鈴木 健斗(すずき けんと) 所属:Iret株式会社 普段:インフラ周りやってる 好きな飲み物:綾鷹

  3. 概要 IAM Userを使用する プリンシパルを IPとVPC Endpointで絞りたい ※IAM Roleは使用不可

  4. プリンシパルとは AWSのリソースに対してアクションやオペレーションを実行できる人
 もしくはアプリケーションのこと 参考:Understanding how IAM works

  5. 要件 プログラム経由(CLI、SDK等)のIAM Userを使うプリンシパルが以下の場合はアクセスを許可 1. アカウントAのVPC Endpointを経由している 2. 特定のパブリックIP 3. AWSのサービス

    1 or 2 or 3であればIAM Userが使える

  6. 完成品 1. アカウントAのVPC Endpointを経由している 2. 特定のパブリックIP 3. AWSのサービス 1 or

    2 or 3を許可したいのに Deny ??

  7. Denyの理由 1. アカウントAのVPC Endpointを経由している 2. 特定のパブリックIP 3. AWSのサービス IAMポリシーのConditionに対する 評価ロジックはAND条件となる

    ➔ 1 or 2 or 3といった条件指定はできない

  8. 集合の話:ANDで同じ条件を作る

  9. ANDにすると 1. アカウントAのVPCエンドポイントを経由していない 2. 特定のパブリックIPではない 3. AWSのサービスではない 1 and 2

    and 3を拒否

  10. 確認 念のため以下コマンドで疎通確認 aws s3 ls s3://バケット名 問題がないことを確認 一方で、IAM PolicyのConditionを 存在しないIP,VPC

    EndpointのIDに 書き換え疎通不可になることも確認 ※水色のルートはローカルからCLIを実行しているのと同じ

  11. おわりに IAM PolicyのCondition句「StringNotEquals」や「NotIpAddress」といった 「Not」が含まれるキーを用いた「Deny」の書き方は分かりづらいが、 整理して考えることができれば大変柔軟が効くポリシーが書ける!! でも、IAM Roleを使えば...

  12. 参考 Understanding how IAM works https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-p rincipal AWS: Denies access

    to AWS based on the source IP https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny -ip.html Creating a condition with multiple keys or values https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditio ns.html 本スライドのQiita版 https://qiita.com/suzuki_kento/items/5e87ed8bd71f05281382