Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS re:Inforce 2024 re:Cap セミナー ~IAM Access Ana...

平木佳介
June 17, 2024
1
550

AWS re:Inforce 2024 re:Cap セミナー ~IAM Access Analyzerのアップデートを語ります~

【オフライン世界最速?】 AWS re:Inforce 2024 re:Cap セミナー

平木佳介

June 17, 2024
Tweet

More Decks by 平木佳介

See All by 平木佳介
踏み台の運用が変わる? VPC上で起動できるようになったCloudShellを語る
khiraki
1
3.6k
組織におけるAWSネットワーク集約王者決定戦
khiraki
1
460
速さの鍵を握る! Fastly で実現する CDN の力
khiraki
1
570
クラウドの落とし穴:AWS Backupで発生した高額請求の衝撃とその教訓
khiraki
0
5.9k
AIと一緒に音楽を作ろう ~作曲体験セッション~ | DevelopersIO 2023
khiraki
0
1.5k
Amazon Security Lake サービス概要
khiraki
0
3.6k

Featured

See All Featured
Stop Working from a Prison Cell
hatefulcrawdad
267
20k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
26
1.3k
Large-scale JavaScript Application Architecture
addyosmani
509
110k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.1k
Scaling GitHub
holman
458
140k
Git: the NoSQL Database
bkeepers
PRO
425
64k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
158
15k
The Straight Up "How To Draw Better" Workshop
denniskardys
231
130k
Side Projects
sachag
452
42k
How To Stay Up To Date on Web Technology
chriscoyier
786
250k
GraphQLとの向き合い方2022年版
quramy
43
13k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
504
140k

Transcript

  1. 【オフライン世界最速?】 
 AWS re:Inforce 2024 re:Cap セミナー 
 IAM Access

    Analyzerのアップデートを語ります
 クラスメソッド株式会社 AWS事業本部 | 平木 佳介
 
 
 1

  2. 自己紹介 2 ~$ whoami
 平木佳介 (Hiraki Keisuke) 
 ~$
 ~$

    jobs
 [2]+ 実行中 クラスメソッド(株)AWS事業本部コンサルティング部 
 ~$
 ~$ groups
 ソリューションアーキテクト 
 ~$
 ~$ cat 平木佳介.conf | grep 趣味
 趣味: 旅行/推し事 
 ~$
 ~$ cat 平木佳介.conf | grep 好きなAWSサービス
 好きなAWSサービス : AWS Security Hub 


  3. 3 人生初 海外&AWSイベント参加しました

  4. 4 キーノートや様々なセッションなどにも現地参加


  5. 5 私たちは、ゼロトラストをさらに簡単かつ コスト効率の高いものにするための機 能に投資している
 
 ゼロトラストには、詳細かつきめ細かい アクセス制御、継続的な検証、最小限 の特権アクセスを備えた強力なIDおよ びアクセス管理システムも必要
 


    多くの組織は、ワークロードとデータを ハイブリッド環境で使用しているため、 統一したセキュリティポリシーを維持す ることが困難になっている(翻訳)


  6. 6 IAM Access Analyzer のアップデート IAM Access Analyzerが
 未使用のアクセスに対する
 推奨事項をプレビュー表示


    IAM Access Analyzerのカスタムポリシー チェックでパブリックと重要リソースアクセ スのチェックが追加


  7. 7 未使用のアクセスの推奨事項プレビュー表示 (preview) IAM Access Analyzerが
 未使用のアクセスに対する
 推奨事項をプレビュー表示
 IAM Access

    Analyzerの
 「未使用のアクセス」にて、どのように 修正すべきかの推奨事項が表示
 
 検出結果タイプが2種類に分かれる
 • 未使用のロール/パスワード/アク セスキー
 • 未使用の許可
 
 最小権限の設定に役立つ。


  8. 8 未使用のアクセスの推奨事項プレビュー表示 (preview)

  9. 9 未使用のアクセスの推奨事項プレビュー表示 (preview) 未使用の許可


  10. 10 未使用のアクセスの推奨事項プレビュー表示 (preview) 未使用の許可


  11. 11 未使用のアクセスの推奨事項プレビュー表示 (preview) 未使用のロール


  12. 12 カスタムポリシーチェックにアクセスチェックの更新 (preview) IAM Access Analyzerのカスタムポリシー チェックでパブリックと重要リソースアクセ スのチェックが追加
 自動推論を利用してパブリックアクセ スや重要リソースアクセスに関するポ

    リシー変更をチェックが可能
 
 • CheckNoPublicAccess(New)
 • CheckAccessNotGranted (Update)
 
 コマンドラインまたはAPI経由で呼び出し、 チェック結果は「PASS」「FAIL」のいずれかと なる


  13. 13 カスタムポリシーチェックにアクセスチェックの更新 (preview) CheckNoPublicAccess CheckAccessNotGranted PASS FAIL PASS FAIL Q.

    パブリックアクセスがあるか
 YES
 NO
 YES
 NO
 Q. 特定リソースへの
 アクセス許可があるか


  14. 14 カスタムポリシーチェックにアクセスチェックの更新 (preview) CheckNoPublicAccess
 ~$ cat <<EOF > bucket-policy.json {

    "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::your-bucket-name/*" } ] } EOF ~$ ~$ aws accessanalyzer check-no-public-access \ --policy-document file://bucket-policy.json \ --resource-type AWS::S3::Bucket --output json { "result": "FAIL", "message": "The resource policy grants public access for the given resource type.", "reasons": [ { "description": "Public access granted in the following statement with index: 0.", "statementIndex": 0 } ] } ~$ cat <<EOF > bucket-policy-new.json { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::your-bucket-name/*" } ] } EOF ~$ ~$ aws accessanalyzer check-no-public-access \ --policy-document file://bucket-policy-new.json \ --resource-type AWS::S3::Bucket --output json { "result": "PASS", "message": "The resource policy does not grant public access for the given resource type." } FAIL
 PASS


  15. 15 カスタムポリシーチェックにアクセスチェックの更新 (preview) CheckAccessNotGranted
 ~$ cat <<EOF > iam-policy.json {

    "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::your-bucket-name/*" } ] } EOF ~$ ~$ aws accessanalyzer check-access-not-granted --policy-document file://iam-policy.json \ --access resources="arn:aws:s3:::your-bucket-name/*" \ --policy-type IDENTITY_POLICY --output json { "result": "FAIL", "message": "The policy document grants access to perform one or more of the listed actions or resources.", "reasons": [ { "description": "One or more of the listed actions or resources in the statement with index: 0.", "statementIndex": 0 } ] } ~$ cat <<EOF > iam-policy.json { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::your-bucket-name/*" } ] } EOF ~$ ~$ aws accessanalyzer check-access-not-granted --policy-document file://iam-policy.json \ --access resources="arn:aws:s3:::recap-securebucket/*" \ --policy-type IDENTITY_POLICY --output json { "result": "PASS", "message": "The policy document does not grant access to perform the listed actions or resources." } FAIL
 PASS


  16. 16 まとめ & 注意事項 • 未使用のアクセスの推奨事項のプレビュー表示
 ◦ 未使用のアクセスを活用し、さらにどのように対処すべきかが一目瞭然となった
 ◦ 今後のIAMロール、ユーザ周りの棚卸の基準にも有効活用できそう


    • カスタムポリシーチェック
 • 事前にポリシーのチェックを行うことで不用意なパブリック公開を避け、アクセスさせた くないリソースへの権限チェックに活用可能
 • CI/CDなどに組み込むことで自動化も可能
 
 注意事項
 • 未使用のアクセスの料金には要注意(1つのIAMロール・ユーザ毎に課金が発生)
 • 2つのアップデートともにプレビュー版のため仕様が変更となる可能性あり


  17. 17