Upgrade to Pro — share decks privately, control downloads, hide ads and more …

aws-vault を使った セキュアなアクセスキー管理 / Manage AWS Acces...

Kizashi Nagata
September 30, 2022
Technology
0
790

aws-vault を使った セキュアなアクセスキー管理 / Manage AWS Access Key More Securely By Using aws-vault

2022/09/29
AWS Startup Tech Meetup 関西 #1
発表資料

https://aws-startup-community.connpass.com/event/258486/

Kizashi Nagata

September 30, 2022
Tweet

More Decks by Kizashi Nagata

See All by Kizashi Nagata
ビルドが遅い
kizashi1122
0
300
SQS の使い方を わかっていなかった / I didn't know how to use SQS correctly
kizashi1122
0
480
inotify の話 / About inotify
kizashi1122
0
530
B2Bクラウドサービスをゼロから立ち上げて、利用社数が1000社を超えるまでの道のり / a startup started B2B SaaS business from ground zero
kizashi1122
0
860
Rails でつくるマルチテナント型Webアプリケーション / multi-tenant web application building with Rails
kizashi1122
1
2.5k

Other Decks in Technology

See All in Technology
Shopifyアプリ開発における Shopifyの機能活用
sonatard
4
250
インフラとバックエンドとフロントエンドをくまなく調べて遅いアプリを早くした件
tubone24
1
430
AWS Media Services 最新サービスアップデート 2024
eijikominami
0
200
Application Development WG Intro at AppDeveloperCon
salaboy
0
190
リンクアンドモチベーション ソフトウェアエンジニア向け紹介資料 / Introduction to Link and Motivation for Software Engineers
lmi
4
300k
20241120_JAWS_東京_ランチタイムLT#17_AWS認定全冠の先へ
tsumita
2
280
EventHub Startup CTO of the year 2024 ピッチ資料
eventhub
0
120
[CV勉強会@関東 ECCV2024 読み会] オンラインマッピング x トラッキング MapTracker: Tracking with Strided Memory Fusion for Consistent Vector HD Mapping (Chen+, ECCV24)
abemii
0
220
ドメインの本質を掴む / Get the essence of the domain
sinsoku
2
160
Making your applications cross-environment - OSCG 2024 NA
salaboy
0
190
BLADE: An Attempt to Automate Penetration Testing Using Autonomous AI Agents
bbrbbq
0
310
開発生産性を上げながらビジネスも30倍成長させてきたチームの姿
kamina_zzz
2
1.7k

Featured

See All Featured
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
42
9.2k
Statistics for Hackers
jakevdp
796
220k
Bootstrapping a Software Product
garrettdimon
PRO
305
110k
Designing Experiences People Love
moore
138
23k
Being A Developer After 40
akosma
86
590k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
4
370
Faster Mobile Websites
deanohume
305
30k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
44
6.8k
How STYLIGHT went responsive
nonsquared
95
5.2k
BBQ
matthewcrist
85
9.3k
Measuring & Analyzing Core Web Vitals
bluesmoon
4
120
Ruby is Unlike a Banana
tanoku
97
11k

Transcript

  1. aws-vault を使った セキュアなアクセスキー管理 AWS Startup Tech Meetup 関西 #1 2022/09/29

    株式会社インゲージ 永田 兆

  2. 自己紹介 • 永田 兆(ながた きざし) • @kizashi1122 • 2014年よりインゲージ社(創業メンバー) ◦ 創業時よりCTO ◦

    Re:lation(次のページ)の開発 ◦ バックエンドやインフラを担当 2

  3. サービス紹介

  4. aws のアクセスキーの管理 どうしていますか? 4

  5. サービス開発とアクセスキー • 本番環境では IAM Role(ECS TaskRoleなど)を使っているためアクセスキー を意識することはありません • 開発環境(個人の PC

    端末)では、AWS リソースにアクセスする事情がある 場合にはアクセスキーを付与する必要があります ◦ 付与したアクセスキーは $HOME/.aws/credentials に配置する、など 5

  6. 今まで • 社員メンバーについては IAM Identity Center(旧AWS SSO)で管理するよう になった • (にもかかわらず)開発環境用に最低限のポリシーをアタッチした

    IAM User Group を作成して、 • その IAM User Group 内にエンジニア(社員・パートナーともに)ごとに、 IAM User を作成していた(アクセスキーを払い出していた) 6 IAM Policy IAM User Group IAM User IAM User IAM User

  7. 7 しかし、永続アクセスキーは情報漏えいの観点からも、 付与すべきではありません! せめてもの対策で https://github.com/rhyeal/aws-rotate-iam-keys をつかって、 キーのローテーションの自動化はしていました

  8. 方針 • aws-vault を使う ◦ アクセスキーや秘匿情報を .aws/credentials ではなく、OS のキーストアに管理できる Go

    製 のコマンドラインツール ◦ brew install --cask aws-vault でインストール可能 ◦ sts/mfa/sso に対応 • 社員(IAM Identity Center 管理) ◦ IAM Identity Center と aws-vault を連携させる ◦ MFA は IdP 側でおこなっているので AWS 側では設定不要とする • パートナー(IAM Identity Center 管理外) ◦ IAM User は作成する(し、アクセスキーも発行する) ◦ MFA 認証後でないと開発者向け IAM Role を引き受けられないというポリシーを設定 ◦ このアクセスキーが漏れても実害がない 8

  9. コマンド実行例 • -- の後ろのコマンドに AWS_ACCESS_KEY_ID などの環境変数が引き渡され る ◦ aws コマンドだけでなく、docker-compose

    や terraform でも使えます • ただし、コマンド実行時に、ブラウザで許可したり(SSO)、MFA パスコー ドを入力したり(STS)は必要 9 $ aws-vault exec relation -- docker-compose up -d

  10. 結果 • 社員に発行していた分の IAM Userは撲滅できた! • $HOME/.aws/credentials も不要になった! • 手間は増えたがセキュアになった!

    10

  11. 11 インゲージではエンジニアを募集しています!