Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
サービスが増えた今こそ気にしたいアクセス管理
Search
Yosuke Kusumi
February 05, 2021
Technology
0
2.3k
サービスが増えた今こそ気にしたいアクセス管理
2021/2/5に開催された、クラスメソッド株式会社主催「re:Growth 2020 Online インフラ特別号〜AWS re:Invent 振り返り勉強会〜」の登壇資料です。
Yosuke Kusumi
February 05, 2021
Tweet
Share
More Decks by Yosuke Kusumi
See All by Yosuke Kusumi
Netskope, SentinelOne導入虎の巻
kusumicorp
0
1.9k
Asanaの基本的な使い方
kusumicorp
0
1.7k
SaaS特集~複数のSaaS連携で新しい働き方を~
kusumicorp
0
1.2k
Other Decks in Technology
See All in Technology
Why Governance Matters: The Key to Reducing Risk Without Slowing Down
sarahjwells
0
120
セキュアな認可付きリモートMCPサーバーをAWSマネージドサービスでつくろう! / Let's build an OAuth protected remote MCP server based on AWS managed services
kaminashi
2
140
オープンソースでどこまでできる?フォーマル検証チャレンジ
msyksphinz
0
110
AIが書いたコードをAIが検証する!自律的なモバイルアプリ開発の実現
henteko
1
360
小学4年生夏休みの自由研究「ぼくと Copilot エージェント」
taichinakamura
0
510
バイブコーディングと継続的デプロイメント
nwiizo
2
470
[2025-09-30] Databricks Genie を利用した分析基盤とデータモデリングの IVRy の現在地
wxyzzz
0
510
業務自動化プラットフォーム Google Agentspace に入門してみる #devio2025
maroon1st
0
200
about #74462 go/token#FileSet
tomtwinkle
1
460
AWS Top Engineer、浮いてませんか? / As an AWS Top Engineer, Are You Out of Place?
yuj1osm
2
150
GA technologiesでのAI-Readyの取り組み@DataOps Night
yuto16
0
280
いま注目しているデータエンジニアリングの論点
ikkimiyazaki
0
620
Featured
See All Featured
Building a Scalable Design System with Sketch
lauravandoore
462
33k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
285
14k
A Tale of Four Properties
chriscoyier
160
23k
The Pragmatic Product Professional
lauravandoore
36
6.9k
The Cult of Friendly URLs
andyhume
79
6.6k
Stop Working from a Prison Cell
hatefulcrawdad
271
21k
Documentation Writing (for coders)
carmenintech
75
5k
Why You Should Never Use an ORM
jnunemaker
PRO
59
9.6k
Typedesign – Prime Four
hannesfritz
42
2.8k
Visualization
eitanlees
148
16k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
9
850
A Modern Web Designer's Workflow
chriscoyier
697
190k
Transcript
サービスが増えた今こそ 気にしたいアクセス管理
Profile 名前:久住 陽介(Yosuke Kusumi) 所属:ネクストモード株式会社 好きなこと: - 以前:AWS大好き - 最近:SaaSおじさん
今日のテーマ • お話する内容 ◦ AWSのサービス/機能が増えてきた今疎 かになりがちな、アクセス管理に視点を置 いています。
今日話すこと - AWSアカウントへのログイン周り - SSMセッションマネージャ, CloudShell - 詳細な設定方法 - RDS、EC2等の特定のサービス
今日話さないこと
? AWSにどうやって ログインしてますか?
以前(初期型くらい)の久住 Internet IAM User IAM User IAM User IAM User
IAMユーザを作成、個別にログイン アカウント/アクセス管理つらい セキュリティとは一体・・・
最近の久住 IAM Role IAM Role IAM Role IAM Role パスワード管理から開放された!
Role毎のアクセス権限の管理に集中! IAMロールを作成、Jumpアカウントからスイッチロール Jumpアカウント SAML2.0 スイッチロール saml-access
ログインイメージ Oktaログイン後、Jumpアカウントにログイン(SAML認証)
ログインイメージ 各AWSアカウントにスイッチロール
? CLI/SDKはどうすれば いいんだYO!
最近の久住 $ saml2aws configure -a jump-account ? Please choose a
provider: Okta ? Please choose an MFA OKTA ? AWS Profile jump-account ? URL https://xxxx.okta.com/app/amazon_aws/xxxxx/sso/saml ? Username
[email protected]
? Password ************ ? Confirm ************ jump-role jump-account まだイケてない・・・ 早くAWS SSOとOktaを連携させたい! saml2awsを利用して一時クレデンシャルを発行 $ cat ~/.aws/config [profile test] role_arn = arn:aws:iam::[test-account]:role/jump-role source_profile = jump-account $ saml2aws login -a jump-account $ cat .aws/credentials [jump-account] aws_access_key_id = xxxx aws_secret_access_key = xxxx aws_session_token = xxxx aws_security_token = xxxx x_principal_arn = arn:aws:sts::[jump-account]:assumed-role/saml-access/yosuke.kusumi @nextmode.co.jp x_security_token_expires = YYYY-MM-DDTHH:MM:SS+09:00 saml-access test-account
AWS SSOとOktaの連携 Oktaユーザ/グループのAWS SSOへのプロビジョニング https://aws.amazon.com/jp/about-aws/whats-new/2020/05/manage-access-to-aws-centrally-for-okta-users-with-aws-single-sign-on/
簡単なCLI操作はCloudShellでも jump-role jump-account マネジメントコンソールからCloudShellで実施 saml-access test-account
SSM Session Managerを活用 OS認証もAWS(IAM)認証に寄せて統合管理できる jump-role jump-account saml-access test-account
! SSOをうまく活用して アカウント管理を効率化 使えるところはSSM/AWS CloudShellも活用
Thanks!! ネクストモード クラウドであたらしい働き方を https://nextmode.co.jp/