Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
サービスが増えた今こそ気にしたいアクセス管理
Search
Yosuke Kusumi
February 05, 2021
Technology
0
2.1k
サービスが増えた今こそ気にしたいアクセス管理
2021/2/5に開催された、クラスメソッド株式会社主催「re:Growth 2020 Online インフラ特別号〜AWS re:Invent 振り返り勉強会〜」の登壇資料です。
Yosuke Kusumi
February 05, 2021
Tweet
Share
More Decks by Yosuke Kusumi
See All by Yosuke Kusumi
Netskope, SentinelOne導入虎の巻
kusumicorp
0
1.8k
Asanaの基本的な使い方
kusumicorp
0
1.6k
SaaS特集~複数のSaaS連携で新しい働き方を~
kusumicorp
0
1.1k
Other Decks in Technology
See All in Technology
マルチモーダル理解と生成の統合 DeepSeek Janus, etc... / Multimodal Understanding and Generation Integration
hiroga
0
370
地方拠点で エンジニアリングマネージャーってできるの? 〜地方という制約を楽しむオーナーシップとコミュニティ作り〜
1coin
1
220
ハッキングの世界に迫る~攻撃者の思考で考えるセキュリティ~
nomizone
13
5k
「海外登壇」という 選択肢を与えるために 〜Gophers EX
logica0419
0
640
スタートアップ1人目QAエンジニアが QAチームを立ち上げ、“個”からチーム、 そして“組織”に成長するまで / How to set up QA team at reiwatravel
mii3king
2
1.3k
現場で役立つAPIデザイン
nagix
32
11k
エンジニアの育成を支える爆速フィードバック文化
sansantech
PRO
3
990
ビジネスモデリング道場 目的と背景
masuda220
PRO
9
410
関東Kaggler会LT: 人狼コンペとLLM量子化について
nejumi
3
540
室長と気ままに学ぶマイクロソフトのビジネスアプリケーションとビジネスプロセス
ryoheig0405
0
350
Developer Summit 2025 [14-D-1] Yuki Hattori
yuhattor
19
5.8k
5分で紹介する生成AIエージェントとAmazon Bedrock Agents / 5-minutes introduction to generative AI agents and Amazon Bedrock Agents
hideakiaoyagi
0
230
Featured
See All Featured
Code Reviewing Like a Champion
maltzj
521
39k
Six Lessons from altMBA
skipperchong
27
3.6k
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
Build your cross-platform service in a week with App Engine
jlugia
229
18k
A Modern Web Designer's Workflow
chriscoyier
693
190k
The Pragmatic Product Professional
lauravandoore
32
6.4k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
132
33k
How to Think Like a Performance Engineer
csswizardry
22
1.3k
A better future with KSS
kneath
238
17k
The Invisible Side of Design
smashingmag
299
50k
Become a Pro
speakerdeck
PRO
26
5.1k
Product Roadmaps are Hard
iamctodd
PRO
50
11k
Transcript
サービスが増えた今こそ 気にしたいアクセス管理
Profile 名前:久住 陽介(Yosuke Kusumi) 所属:ネクストモード株式会社 好きなこと: - 以前:AWS大好き - 最近:SaaSおじさん
今日のテーマ • お話する内容 ◦ AWSのサービス/機能が増えてきた今疎 かになりがちな、アクセス管理に視点を置 いています。
今日話すこと - AWSアカウントへのログイン周り - SSMセッションマネージャ, CloudShell - 詳細な設定方法 - RDS、EC2等の特定のサービス
今日話さないこと
? AWSにどうやって ログインしてますか?
以前(初期型くらい)の久住 Internet IAM User IAM User IAM User IAM User
IAMユーザを作成、個別にログイン アカウント/アクセス管理つらい セキュリティとは一体・・・
最近の久住 IAM Role IAM Role IAM Role IAM Role パスワード管理から開放された!
Role毎のアクセス権限の管理に集中! IAMロールを作成、Jumpアカウントからスイッチロール Jumpアカウント SAML2.0 スイッチロール saml-access
ログインイメージ Oktaログイン後、Jumpアカウントにログイン(SAML認証)
ログインイメージ 各AWSアカウントにスイッチロール
? CLI/SDKはどうすれば いいんだYO!
最近の久住 $ saml2aws configure -a jump-account ? Please choose a
provider: Okta ? Please choose an MFA OKTA ? AWS Profile jump-account ? URL https://xxxx.okta.com/app/amazon_aws/xxxxx/sso/saml ? Username
[email protected]
? Password ************ ? Confirm ************ jump-role jump-account まだイケてない・・・ 早くAWS SSOとOktaを連携させたい! saml2awsを利用して一時クレデンシャルを発行 $ cat ~/.aws/config [profile test] role_arn = arn:aws:iam::[test-account]:role/jump-role source_profile = jump-account $ saml2aws login -a jump-account $ cat .aws/credentials [jump-account] aws_access_key_id = xxxx aws_secret_access_key = xxxx aws_session_token = xxxx aws_security_token = xxxx x_principal_arn = arn:aws:sts::[jump-account]:assumed-role/saml-access/yosuke.kusumi @nextmode.co.jp x_security_token_expires = YYYY-MM-DDTHH:MM:SS+09:00 saml-access test-account
AWS SSOとOktaの連携 Oktaユーザ/グループのAWS SSOへのプロビジョニング https://aws.amazon.com/jp/about-aws/whats-new/2020/05/manage-access-to-aws-centrally-for-okta-users-with-aws-single-sign-on/
簡単なCLI操作はCloudShellでも jump-role jump-account マネジメントコンソールからCloudShellで実施 saml-access test-account
SSM Session Managerを活用 OS認証もAWS(IAM)認証に寄せて統合管理できる jump-role jump-account saml-access test-account
! SSOをうまく活用して アカウント管理を効率化 使えるところはSSM/AWS CloudShellも活用
Thanks!! ネクストモード クラウドであたらしい働き方を https://nextmode.co.jp/