サービスが増えた今こそ気にしたいアクセス管理

Transcript

1. サービスが増えた今こそ 気にしたいアクセス管理

2. Profile 名前：久住 陽介（Yosuke Kusumi） 所属：ネクストモード株式会社 好きなこと： - 以前：AWS大好き - 最近：SaaSおじさん

3. 今日のテーマ • お話する内容 ◦ AWSのサービス／機能が増えてきた今疎 かになりがちな、アクセス管理に視点を置 いています。

4. 今日話すこと - AWSアカウントへのログイン周り - SSMセッションマネージャ, CloudShell - 詳細な設定方法 - RDS、EC2等の特定のサービス

   今日話さないこと

5. ? AWSにどうやって ログインしてますか？

6. 以前（初期型くらい）の久住 Internet IAM User IAM User IAM User IAM User

   IAMユーザを作成、個別にログイン アカウント／アクセス管理つらい セキュリティとは一体・・・

7. 最近の久住 IAM Role IAM Role IAM Role IAM Role パスワード管理から開放された！

   Role毎のアクセス権限の管理に集中！ IAMロールを作成、Jumpアカウントからスイッチロール Jumpアカウント SAML2.0 スイッチロール saml-access

8. ログインイメージ Oktaログイン後、Jumpアカウントにログイン(SAML認証)

9. ログインイメージ 各AWSアカウントにスイッチロール

10. ? CLI/SDKはどうすれば いいんだYO!

11. 最近の久住 $ saml2aws configure -a jump-account ? Please choose a

    provider: Okta ? Please choose an MFA OKTA ? AWS Profile jump-account ? URL https://xxxx.okta.com/app/amazon_aws/xxxxx/sso/saml ? Username [email protected] ? Password ************ ? Confirm ************ jump-role jump-account まだイケてない・・・ 早くAWS SSOとOktaを連携させたい！ saml2awsを利用して一時クレデンシャルを発行 $ cat ~/.aws/config [profile test] role_arn = arn:aws:iam::[test-account]:role/jump-role source_profile = jump-account $ saml2aws login -a jump-account $ cat .aws/credentials [jump-account] aws_access_key_id = xxxx aws_secret_access_key = xxxx aws_session_token = xxxx aws_security_token = xxxx x_principal_arn = arn:aws:sts::[jump-account]:assumed-role/saml-access/yosuke.kusumi @nextmode.co.jp x_security_token_expires = YYYY-MM-DDTHH:MM:SS+09:00 saml-access test-account

12. AWS SSOとOktaの連携 Oktaユーザ／グループのAWS SSOへのプロビジョニング https://aws.amazon.com/jp/about-aws/whats-new/2020/05/manage-access-to-aws-centrally-for-okta-users-with-aws-single-sign-on/

13. 簡単なCLI操作はCloudShellでも jump-role jump-account マネジメントコンソールからCloudShellで実施 saml-access test-account

14. SSM Session Managerを活用 OS認証もAWS(IAM)認証に寄せて統合管理できる jump-role jump-account saml-access test-account

15. ! SSOをうまく活用して アカウント管理を効率化 使えるところはSSM/AWS CloudShellも活用

16. Thanks!! ネクストモード クラウドであたらしい働き方を https://nextmode.co.jp/