Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
サービスが増えた今こそ気にしたいアクセス管理
Search
Yosuke Kusumi
February 05, 2021
Technology
0
1.9k
サービスが増えた今こそ気にしたいアクセス管理
2021/2/5に開催された、クラスメソッド株式会社主催「re:Growth 2020 Online インフラ特別号〜AWS re:Invent 振り返り勉強会〜」の登壇資料です。
Yosuke Kusumi
February 05, 2021
Tweet
Share
More Decks by Yosuke Kusumi
See All by Yosuke Kusumi
Netskope, SentinelOne導入虎の巻
kusumicorp
0
1.4k
Asanaの基本的な使い方
kusumicorp
0
1.5k
SaaS特集~複数のSaaS連携で新しい働き方を~
kusumicorp
0
1k
Other Decks in Technology
See All in Technology
FrontDoorとWebAppsを組み合わせた際のリダイレクト処理の注意点
kenichirokimura
1
530
Janus
bkuhlmann
1
490
20240418_Google ColabにLLMが搭載されたようなのでPython x データ分析の勉強方法を考えてみる
doradora09
0
140
現代CSSフレームワークの内部実装とその仕組み
poteboy
7
3.6k
Python と Snowflake はズッ友だょ!~ Snowflake の Python 関連機能をふりかえる ~
__allllllllez__
1
120
エンジニアのキャリアをちょっと楽しくする3本の軸/Three Pillars to Make an Engineer's Career More Enjoyable
kwappa
0
2.7k
生成AIの変革の時代に、直近1年で直面した課題とその解決策
ktc_wada
0
310
チームでロジカルシンキングに改めて向き合っている話 〜学習環境と実践⽅法〜
sansantech
PRO
3
2.6k
複雑な構成要素を持つUIとの向き合い方 〜新・支出グラフでの実例〜 / B43 TECH TALK
nakamuuu
0
140
サーバー間 GraphQL と webmock-graphql の話 / server-to-server graphql and webmock-graphql
qsona
2
190
反実仮想機械学習とは何か
usaito
PRO
11
4.7k
20分で完全に理解するGrafanaダッシュボード
hamadakoji
3
670
Featured
See All Featured
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
244
20k
Fireside Chat
paigeccino
21
2.6k
Scaling GitHub
holman
457
140k
Being A Developer After 40
akosma
57
580k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
2
3.4k
What's new in Ruby 2.0
geeforr
337
31k
Happy Clients
brianwarren
92
6.4k
Put a Button on it: Removing Barriers to Going Fast.
kastner
58
3.1k
The World Runs on Bad Software
bkeepers
PRO
61
6.7k
In The Pink: A Labor of Love
frogandcode
138
21k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
2
1.3k
Typedesign – Prime Four
hannesfritz
36
2.1k
Transcript
サービスが増えた今こそ 気にしたいアクセス管理
Profile 名前:久住 陽介(Yosuke Kusumi) 所属:ネクストモード株式会社 好きなこと: - 以前:AWS大好き - 最近:SaaSおじさん
今日のテーマ • お話する内容 ◦ AWSのサービス/機能が増えてきた今疎 かになりがちな、アクセス管理に視点を置 いています。
今日話すこと - AWSアカウントへのログイン周り - SSMセッションマネージャ, CloudShell - 詳細な設定方法 - RDS、EC2等の特定のサービス
今日話さないこと
? AWSにどうやって ログインしてますか?
以前(初期型くらい)の久住 Internet IAM User IAM User IAM User IAM User
IAMユーザを作成、個別にログイン アカウント/アクセス管理つらい セキュリティとは一体・・・
最近の久住 IAM Role IAM Role IAM Role IAM Role パスワード管理から開放された!
Role毎のアクセス権限の管理に集中! IAMロールを作成、Jumpアカウントからスイッチロール Jumpアカウント SAML2.0 スイッチロール saml-access
ログインイメージ Oktaログイン後、Jumpアカウントにログイン(SAML認証)
ログインイメージ 各AWSアカウントにスイッチロール
? CLI/SDKはどうすれば いいんだYO!
最近の久住 $ saml2aws configure -a jump-account ? Please choose a
provider: Okta ? Please choose an MFA OKTA ? AWS Profile jump-account ? URL https://xxxx.okta.com/app/amazon_aws/xxxxx/sso/saml ? Username
[email protected]
? Password ************ ? Confirm ************ jump-role jump-account まだイケてない・・・ 早くAWS SSOとOktaを連携させたい! saml2awsを利用して一時クレデンシャルを発行 $ cat ~/.aws/config [profile test] role_arn = arn:aws:iam::[test-account]:role/jump-role source_profile = jump-account $ saml2aws login -a jump-account $ cat .aws/credentials [jump-account] aws_access_key_id = xxxx aws_secret_access_key = xxxx aws_session_token = xxxx aws_security_token = xxxx x_principal_arn = arn:aws:sts::[jump-account]:assumed-role/saml-access/yosuke.kusumi @nextmode.co.jp x_security_token_expires = YYYY-MM-DDTHH:MM:SS+09:00 saml-access test-account
AWS SSOとOktaの連携 Oktaユーザ/グループのAWS SSOへのプロビジョニング https://aws.amazon.com/jp/about-aws/whats-new/2020/05/manage-access-to-aws-centrally-for-okta-users-with-aws-single-sign-on/
簡単なCLI操作はCloudShellでも jump-role jump-account マネジメントコンソールからCloudShellで実施 saml-access test-account
SSM Session Managerを活用 OS認証もAWS(IAM)認証に寄せて統合管理できる jump-role jump-account saml-access test-account
! SSOをうまく活用して アカウント管理を効率化 使えるところはSSM/AWS CloudShellも活用
Thanks!! ネクストモード クラウドであたらしい働き方を https://nextmode.co.jp/