Upgrade to Pro — share decks privately, control downloads, hide ads and more …

サービスが増えた今こそ気にしたいアクセス管理

Sponsored · SiteGround - Reliable hosting with speed, security, and support you can count on.
Avatar for Yosuke Kusumi Yosuke Kusumi
February 05, 2021
Technology
0
2.4k

 サービスが増えた今こそ気にしたいアクセス管理

2021/2/5に開催された、クラスメソッド株式会社主催「re:Growth 2020 Online インフラ特別号〜AWS re:Invent 振り返り勉強会〜」の登壇資料です。

Avatar for Yosuke Kusumi

Yosuke Kusumi

February 05, 2021
Tweet

More Decks by Yosuke Kusumi

See All by Yosuke Kusumi
Netskope, SentinelOne導入虎の巻
Avatar for Yosuke Kusumi kusumicorp
0
2k
Asanaの基本的な使い方
Avatar for Yosuke Kusumi kusumicorp
0
1.8k
SaaS特集~複数のSaaS連携で新しい働き方を~
Avatar for Yosuke Kusumi kusumicorp
0
1.2k

Other Decks in Technology

See All in Technology
vLLM Community Meetup Tokyo #3 オープニングトーク
Avatar for jpishikawa jpishikawa
0
200
Claude Cowork Plugins を読む - Skills駆動型業務エージェント設計の実像と構造
Avatar for 西岡 賢一郎 (Kenichiro Nishioka) knishioka
0
290
S3はフラットである –AWS公式SDKにも存在した、 署名付きURLにおけるパストラバーサル脆弱性– / JAWS DAYS 2026
Avatar for GMO Flatt Security flatt_security
0
260
オレ達はAWS管理をやりたいんじゃない!開発の生産性を爆アゲしたいんだ!!
Avatar for wkm2 wkm2
3
380
「Blue Team Labs Online」入門 - みんなで挑むログ解析バトル
Avatar for Noriaki Hayashi v_avenger
0
110
「ストレッチゾーンに挑戦し続ける」ことって難しくないですか? メンバーの持続的成長を支えるEMの環境設計
Avatar for SansanTech sansantech
PRO
3
390
チームメンバー迷わないIaC設計
Avatar for hayama hayama17
5
4k
Introduction to Sansan, inc / Sansan Global Development Center, Inc.
Avatar for Sansan, Inc. sansan33
PRO
0
3k
バクラクのSREにおけるAgentic AIへの挑戦/Our Journey with Agentic AI
Avatar for SadayoshiTada taddy_919
2
1.1k
マルチロールEMが実践する「組織のレジリエンス」を高めるための組織構造と人材配置戦略
Avatar for coconala_engineer coconala_engineer
3
600
Evolution of Claude Code & How to use features
Avatar for Oikon oikon48
1
510
Kaggleの経験が実務にどう活きているか / kaggle_findy
Avatar for Sansan R&D sansan_randd
6
1.2k

Featured

See All Featured
The Language of Interfaces
Avatar for Des Traynor destraynor
162
26k
Fantastic passwords and where to find them - at NoRuKo
Avatar for Phil Nash philnash
52
3.6k
Claude Code のすすめ
Avatar for schroneko schroneko
67
220k
Typedesign – Prime Four
Avatar for Hannes Fritz hannesfritz
42
3k
A brief & incomplete history of 
UX Design for the World Wide Web: 1989–2019
Avatar for Jason CranfordTeague jct
1
320
From π to Pie charts
Avatar for Rasagy Sharma rasagy
0
150
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
Avatar for panda_program panda_program
122
21k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
Avatar for Morgane Peng morganepeng
133
19k
Building AI with AI
Avatar for Ines Montani inesmontani
PRO
1
770
The Mindset for Success: Future Career Progression
Avatar for Greg Gifford greggifford
PRO
0
270
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
59
6.4k
Fight the Zombie Pattern Library - RWD Summit 2016
Avatar for Marcelo Somers marcelosomers
234
17k

Transcript

  1. サービスが増えた今こそ 気にしたいアクセス管理

  2. Profile 名前:久住 陽介(Yosuke Kusumi) 所属:ネクストモード株式会社 好きなこと: - 以前:AWS大好き - 最近:SaaSおじさん

  3. 今日のテーマ • お話する内容 ◦ AWSのサービス/機能が増えてきた今疎 かになりがちな、アクセス管理に視点を置 いています。

  4. 今日話すこと - AWSアカウントへのログイン周り - SSMセッションマネージャ, CloudShell - 詳細な設定方法 - RDS、EC2等の特定のサービス

    今日話さないこと

  5. ? AWSにどうやって ログインしてますか?

  6. 以前(初期型くらい)の久住 Internet IAM User IAM User IAM User IAM User

    IAMユーザを作成、個別にログイン アカウント/アクセス管理つらい セキュリティとは一体・・・

  7. 最近の久住 IAM Role IAM Role IAM Role IAM Role パスワード管理から開放された!

    Role毎のアクセス権限の管理に集中! IAMロールを作成、Jumpアカウントからスイッチロール Jumpアカウント SAML2.0 スイッチロール saml-access

  8. ログインイメージ Oktaログイン後、Jumpアカウントにログイン(SAML認証)

  9. ログインイメージ 各AWSアカウントにスイッチロール

  10. ? CLI/SDKはどうすれば いいんだYO!

  11. 最近の久住 $ saml2aws configure -a jump-account ? Please choose a

    provider: Okta ? Please choose an MFA OKTA ? AWS Profile jump-account ? URL https://xxxx.okta.com/app/amazon_aws/xxxxx/sso/saml ? Username [email protected] ? Password ************ ? Confirm ************ jump-role jump-account まだイケてない・・・ 早くAWS SSOとOktaを連携させたい! saml2awsを利用して一時クレデンシャルを発行 $ cat ~/.aws/config [profile test] role_arn = arn:aws:iam::[test-account]:role/jump-role source_profile = jump-account $ saml2aws login -a jump-account $ cat .aws/credentials [jump-account] aws_access_key_id = xxxx aws_secret_access_key = xxxx aws_session_token = xxxx aws_security_token = xxxx x_principal_arn = arn:aws:sts::[jump-account]:assumed-role/saml-access/yosuke.kusumi @nextmode.co.jp x_security_token_expires = YYYY-MM-DDTHH:MM:SS+09:00 saml-access test-account

  12. AWS SSOとOktaの連携 Oktaユーザ/グループのAWS SSOへのプロビジョニング https://aws.amazon.com/jp/about-aws/whats-new/2020/05/manage-access-to-aws-centrally-for-okta-users-with-aws-single-sign-on/

  13. 簡単なCLI操作はCloudShellでも jump-role jump-account マネジメントコンソールからCloudShellで実施 saml-access test-account

  14. SSM Session Managerを活用 OS認証もAWS(IAM)認証に寄せて統合管理できる jump-role jump-account saml-access test-account

  15. ! SSOをうまく活用して アカウント管理を効率化 使えるところはSSM/AWS CloudShellも活用

  16. Thanks!! ネクストモード クラウドであたらしい働き方を https://nextmode.co.jp/