Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
サービスが増えた今こそ気にしたいアクセス管理
Search
Yosuke Kusumi
February 05, 2021
Technology
0
2.1k
サービスが増えた今こそ気にしたいアクセス管理
2021/2/5に開催された、クラスメソッド株式会社主催「re:Growth 2020 Online インフラ特別号〜AWS re:Invent 振り返り勉強会〜」の登壇資料です。
Yosuke Kusumi
February 05, 2021
Tweet
Share
More Decks by Yosuke Kusumi
See All by Yosuke Kusumi
Netskope, SentinelOne導入虎の巻
kusumicorp
0
1.8k
Asanaの基本的な使い方
kusumicorp
0
1.6k
SaaS特集~複数のSaaS連携で新しい働き方を~
kusumicorp
0
1.1k
Other Decks in Technology
See All in Technology
リアルタイム分析データベースで実現する SQLベースのオブザーバビリティ
mikimatsumoto
0
950
これからSREになる人と、これからもSREをやっていく人へ
masayoshi
6
4.1k
テストアーキテクチャ設計で実現する高品質で高スピードな開発の実践 / Test Architecture Design in Practice
ropqa
3
710
急成長する企業で作った、エンジニアが輝ける制度/ 20250214 Rinto Ikenoue
shift_evolve
2
880
AndroidデバイスにFTPサーバを建立する
e10dokup
0
240
SCSAから学ぶセキュリティ管理
masakamayama
0
140
転生CISOサバイバル・ガイド / CISO Career Transition Survival Guide
kanny
3
410
インフラをつくるとはどういうことなのか、 あるいはPlatform Engineeringについて
nwiizo
5
2.1k
20250208_OpenAIDeepResearchがやばいという話
doradora09
PRO
0
170
技術負債の「予兆検知」と「状況異変」のススメ / Technology Dept
i35_267
1
1k
技術的負債解消の取り組みと専門チームのお話 #技術的負債_Findy
bengo4com
1
1.2k
事業継続を支える自動テストの考え方
tsuemura
0
300
Featured
See All Featured
The Cost Of JavaScript in 2023
addyosmani
47
7.3k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
248
1.3M
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
StorybookのUI Testing Handbookを読んだ
zakiyama
28
5.5k
Statistics for Hackers
jakevdp
797
220k
Facilitating Awesome Meetings
lara
51
6.2k
Why You Should Never Use an ORM
jnunemaker
PRO
55
9.2k
Automating Front-end Workflow
addyosmani
1367
200k
Thoughts on Productivity
jonyablonski
69
4.5k
Writing Fast Ruby
sferik
628
61k
The Invisible Side of Design
smashingmag
299
50k
Building Flexible Design Systems
yeseniaperezcruz
328
38k
Transcript
サービスが増えた今こそ 気にしたいアクセス管理
Profile 名前:久住 陽介(Yosuke Kusumi) 所属:ネクストモード株式会社 好きなこと: - 以前:AWS大好き - 最近:SaaSおじさん
今日のテーマ • お話する内容 ◦ AWSのサービス/機能が増えてきた今疎 かになりがちな、アクセス管理に視点を置 いています。
今日話すこと - AWSアカウントへのログイン周り - SSMセッションマネージャ, CloudShell - 詳細な設定方法 - RDS、EC2等の特定のサービス
今日話さないこと
? AWSにどうやって ログインしてますか?
以前(初期型くらい)の久住 Internet IAM User IAM User IAM User IAM User
IAMユーザを作成、個別にログイン アカウント/アクセス管理つらい セキュリティとは一体・・・
最近の久住 IAM Role IAM Role IAM Role IAM Role パスワード管理から開放された!
Role毎のアクセス権限の管理に集中! IAMロールを作成、Jumpアカウントからスイッチロール Jumpアカウント SAML2.0 スイッチロール saml-access
ログインイメージ Oktaログイン後、Jumpアカウントにログイン(SAML認証)
ログインイメージ 各AWSアカウントにスイッチロール
? CLI/SDKはどうすれば いいんだYO!
最近の久住 $ saml2aws configure -a jump-account ? Please choose a
provider: Okta ? Please choose an MFA OKTA ? AWS Profile jump-account ? URL https://xxxx.okta.com/app/amazon_aws/xxxxx/sso/saml ? Username
[email protected]
? Password ************ ? Confirm ************ jump-role jump-account まだイケてない・・・ 早くAWS SSOとOktaを連携させたい! saml2awsを利用して一時クレデンシャルを発行 $ cat ~/.aws/config [profile test] role_arn = arn:aws:iam::[test-account]:role/jump-role source_profile = jump-account $ saml2aws login -a jump-account $ cat .aws/credentials [jump-account] aws_access_key_id = xxxx aws_secret_access_key = xxxx aws_session_token = xxxx aws_security_token = xxxx x_principal_arn = arn:aws:sts::[jump-account]:assumed-role/saml-access/yosuke.kusumi @nextmode.co.jp x_security_token_expires = YYYY-MM-DDTHH:MM:SS+09:00 saml-access test-account
AWS SSOとOktaの連携 Oktaユーザ/グループのAWS SSOへのプロビジョニング https://aws.amazon.com/jp/about-aws/whats-new/2020/05/manage-access-to-aws-centrally-for-okta-users-with-aws-single-sign-on/
簡単なCLI操作はCloudShellでも jump-role jump-account マネジメントコンソールからCloudShellで実施 saml-access test-account
SSM Session Managerを活用 OS認証もAWS(IAM)認証に寄せて統合管理できる jump-role jump-account saml-access test-account
! SSOをうまく活用して アカウント管理を効率化 使えるところはSSM/AWS CloudShellも活用
Thanks!! ネクストモード クラウドであたらしい働き方を https://nextmode.co.jp/