Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
サービスが増えた今こそ気にしたいアクセス管理
Search
Yosuke Kusumi
February 05, 2021
Technology
0
2.2k
サービスが増えた今こそ気にしたいアクセス管理
2021/2/5に開催された、クラスメソッド株式会社主催「re:Growth 2020 Online インフラ特別号〜AWS re:Invent 振り返り勉強会〜」の登壇資料です。
Yosuke Kusumi
February 05, 2021
Tweet
Share
More Decks by Yosuke Kusumi
See All by Yosuke Kusumi
Netskope, SentinelOne導入虎の巻
kusumicorp
0
1.9k
Asanaの基本的な使い方
kusumicorp
0
1.7k
SaaS特集~複数のSaaS連携で新しい働き方を~
kusumicorp
0
1.2k
Other Decks in Technology
See All in Technology
Kiro Hookを Terraformで検証
ao_inoue
0
140
「育てる」サーバーレス 〜チーム開発研修で学んだ、小さく始めて大きく拡張するAWS設計〜
yu_kod
1
210
TypeScript 上達の道
ysknsid25
23
5k
LLMでAI-OCR、実際どうなの? / llm_ai_ocr_layerx_bet_ai_day_lt
sbrf248
0
370
猫でもわかるQ_CLI(CDK開発編)+ちょっとだけKiro
kentapapa
0
120
私とAWSとの関わりの歩み~意志あるところに道は開けるかも?~
nagisa53
1
140
地域コミュニティへの「感謝」と「恩返し」 / 20250726jawsug-tochigi
kasacchiful
0
110
OpenTelemetry の Log を使いこなそう
biwashi
5
1.1k
SAE J1939シミュレーション環境構築
daikiokazaki
1
200
【CEDEC2025】大規模言語モデルを活用したゲーム内会話パートのスクリプト作成支援への取り組み
cygames
PRO
1
520
From Live Coding to Vibe Coding with Firebase Studio
firebasethailand
1
330
[MIRU25] NaiLIA: Multimodal Retrieval of Nail Designs Based on Dense Intent Descriptions
keio_smilab
PRO
1
160
Featured
See All Featured
Making the Leap to Tech Lead
cromwellryan
134
9.4k
Automating Front-end Workflow
addyosmani
1370
200k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
10
1k
RailsConf 2023
tenderlove
30
1.2k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
45
7.5k
Build your cross-platform service in a week with App Engine
jlugia
231
18k
Building an army of robots
kneath
306
45k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
15
1.6k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
33
2.4k
Raft: Consensus for Rubyists
vanstee
140
7k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
47
9.6k
Transcript
サービスが増えた今こそ 気にしたいアクセス管理
Profile 名前:久住 陽介(Yosuke Kusumi) 所属:ネクストモード株式会社 好きなこと: - 以前:AWS大好き - 最近:SaaSおじさん
今日のテーマ • お話する内容 ◦ AWSのサービス/機能が増えてきた今疎 かになりがちな、アクセス管理に視点を置 いています。
今日話すこと - AWSアカウントへのログイン周り - SSMセッションマネージャ, CloudShell - 詳細な設定方法 - RDS、EC2等の特定のサービス
今日話さないこと
? AWSにどうやって ログインしてますか?
以前(初期型くらい)の久住 Internet IAM User IAM User IAM User IAM User
IAMユーザを作成、個別にログイン アカウント/アクセス管理つらい セキュリティとは一体・・・
最近の久住 IAM Role IAM Role IAM Role IAM Role パスワード管理から開放された!
Role毎のアクセス権限の管理に集中! IAMロールを作成、Jumpアカウントからスイッチロール Jumpアカウント SAML2.0 スイッチロール saml-access
ログインイメージ Oktaログイン後、Jumpアカウントにログイン(SAML認証)
ログインイメージ 各AWSアカウントにスイッチロール
? CLI/SDKはどうすれば いいんだYO!
最近の久住 $ saml2aws configure -a jump-account ? Please choose a
provider: Okta ? Please choose an MFA OKTA ? AWS Profile jump-account ? URL https://xxxx.okta.com/app/amazon_aws/xxxxx/sso/saml ? Username
[email protected]
? Password ************ ? Confirm ************ jump-role jump-account まだイケてない・・・ 早くAWS SSOとOktaを連携させたい! saml2awsを利用して一時クレデンシャルを発行 $ cat ~/.aws/config [profile test] role_arn = arn:aws:iam::[test-account]:role/jump-role source_profile = jump-account $ saml2aws login -a jump-account $ cat .aws/credentials [jump-account] aws_access_key_id = xxxx aws_secret_access_key = xxxx aws_session_token = xxxx aws_security_token = xxxx x_principal_arn = arn:aws:sts::[jump-account]:assumed-role/saml-access/yosuke.kusumi @nextmode.co.jp x_security_token_expires = YYYY-MM-DDTHH:MM:SS+09:00 saml-access test-account
AWS SSOとOktaの連携 Oktaユーザ/グループのAWS SSOへのプロビジョニング https://aws.amazon.com/jp/about-aws/whats-new/2020/05/manage-access-to-aws-centrally-for-okta-users-with-aws-single-sign-on/
簡単なCLI操作はCloudShellでも jump-role jump-account マネジメントコンソールからCloudShellで実施 saml-access test-account
SSM Session Managerを活用 OS認証もAWS(IAM)認証に寄せて統合管理できる jump-role jump-account saml-access test-account
! SSOをうまく活用して アカウント管理を効率化 使えるところはSSM/AWS CloudShellも活用
Thanks!! ネクストモード クラウドであたらしい働き方を https://nextmode.co.jp/