Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Amazon Verified PermissionsのWorkshopをやってみた

Sponsored · SiteGround - Reliable hosting with speed, security, and support you can count on.
Avatar for Takahiro Tanaka Takahiro Tanaka
August 06, 2023
Technology
0
240

Amazon Verified PermissionsのWorkshopをやってみた

Avatar for Takahiro Tanaka

Takahiro Tanaka

August 06, 2023
Tweet

More Decks by Takahiro Tanaka

See All by Takahiro Tanaka
脅威モデリングをやってみた
Avatar for Takahiro Tanaka ledsue
0
230
マネージドサービスで作る認証機能
Avatar for Takahiro Tanaka ledsue
0
190

Other Decks in Technology

See All in Technology
AWSの資格って役に立つの?
Avatar for Hiroki Takatsuka tk3fftk
1
330
Scrumは歪む — 組織設計の原理原則
Avatar for Daisuke Ashihara dashi
0
150
Go標準パッケージのI/O処理をながめる
Avatar for matumoto matumoto
0
190
進化するBits AI SREと私と組織
Avatar for 株式会社ヌーラボ nulabinc
PRO
0
130
作りっぱなしで終わらせない! 価値を出し続ける AI エージェントのための「信頼性」設計 / Designing Reliability for AI Agents that Deliver Continuous Value
Avatar for Kento Kimura aoto
PRO
2
290
AI時代のSaaSとETL
Avatar for Shu Suzuki shoe116
1
140
クラウド × シリコンの Mashup - AWS チップ開発で広がる AI 基盤の選択肢
Avatar for Hiroshi Tokoyo htokoyo
2
240
kintone開発のプラットフォームエンジニアの紹介
Avatar for Cybozu cybozuinsideout
PRO
0
870
Claude Code のコード品質がばらつくので AI に品質保証させる仕組みを作った話 / A story about building a mechanism to have AI ensure quality, because the code quality from Claude Code was inconsistent
Avatar for nrs nrslib
13
7.5k
JAWS DAYS 2026 ExaWizards_20260307
Avatar for ExaWizards exawizards
0
420
身体を持ったパーソナルAIエージェントの 可能性を探る開発
Avatar for yoko / Naoki Yokomachi yokomachi
1
110
Evolution of Claude Code & How to use features
Avatar for Oikon oikon48
1
600

Featured

See All Featured
10 Git Anti Patterns You Should be Aware of
Avatar for Lemi Orhan Ergin lemiorhan
PRO
659
61k
Navigating Algorithm Shifts & AI Overviews - #SMXNext
Avatar for Aleyda Solis aleyda
1
1.2k
Introduction to Domain-Driven Design and Collaborative software design
Avatar for Kenny Baas-Schwegler baasie
1
640
Optimizing for Happiness
Avatar for Tom Preston-Werner mojombo
378
71k
Design of three-dimensional binary manipulators for pick-and-place task avoiding obstacles (IECON2024)
Avatar for konakalab konakalab
0
380
Jess Joyce - The Pitfalls of Following Frameworks
Avatar for Tech SEO Connect techseoconnect
PRO
1
100
Leadership Guide Workshop - DevTernity 2021
Avatar for David Neal reverentgeek
1
240
Mozcon NYC 2025: Stop Losing SEO Traffic
Avatar for Sam Torres samtorres
0
180
ラッコキーワード サービス紹介資料
Avatar for ラッコ株式会社 rakko
1
2.6M
Beyond borders and beyond the search box: How to win the global "messy middle" with AI-driven SEO
Avatar for David Carrasco davidcarrasco
3
71
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
Avatar for Stéphanie Walter stephaniewalter
287
14k
Agile that works and the tools we love
Avatar for Rasmus Luckow-Nielsen rasmusluckow
331
21k

Transcript

  1. JAWS-UG 名古屋 Amazon Verified Permissions のWorkshopをやってみた 2023年8月5日

  2. 自己紹介  名前:田中 隆博(すえぞう)  ついったー:@led_suezou  Note:https://note.com/ledsue  仕事:ユーザ系IT子会社にてインフラ構築、運用を担当

     好きなAWSサービス:EC2、CDK

  3. はじめに  今日お話しすること Amazon Verified Permissions Workshopをやってみての気づき (https://catalog.workshops.aws/verified-permissions-in-action/en-US)  今日、お話しないこと

    Amazon Verified Permissionsを使ってのアプリケーション開発の細かい点

  4. まずAmazon Verified Permissionsについて  Amazon Verified Permissions(以下、⾧いのでAVPと略します)は、アプリケーションが各種リソースに アクセスする際の認可部分を提供するサービス  公式ドキュメント的には

     Amazon Cognitoなどの任意のidPと組み合わせて利用  権限の管理を外部化  動的でリアルタイムな権限判断

  5. どうやって制御するのか?  AVPでは、(IAMと用語が混ざりますが)ポリシーを使って権限を記述します。  ポリシーを記述するにはJSONによく似たCedarを使って記述をします。 ポリシーストア ポリシーA permit(principal, action, resource)

    when { principal == resource.owner} ; ポリシーB permit( principal, action in [ TinyTodo::Action::”CreateList”], resource ); ポリシーでは、プリンシパル、アクション、リ ソースを定義することができます。 左の例では、ポリシーAはリソースのオーナであれ ば許可され、ポリシーBではCreateListアクションだ けが許可されるポリシーとなっています。

  6. どうやって制御するのか?  ポリシーには「静的ポリシー」と「テンプレートリンクポリシー」の2つがあります。  テンプレートリンクポリシーは、ポリシー内にプレイスホルダが設定できるポリシーで、動的にポリ シーを作成することが可能です。  注意事項  プレイスホルダに指定できる項目は「プリンシパル」と「リソース」の2つだけ

  7. どうやってアプリ側から使うのか?  Workshopで作成されたLambda「TinyTodoApiLambda」の中を見てみると  ここで利用しているpermissions自体は、boto3でのpermissionsのAPI操作ラッピングしている permissions_check関数で task_listに対するアクセス 権限をチェック 作成しているポリシーストアとポリ シーテンプレートのIDを指定

  8. どうやってアプリ側から使うのか? is_authorized関数を使って権限を チェックして結果を返却

  9. is_authorized関数の中身は?  boto3の公式ドキュメントだと  パラメータに記述されたサービス要求について認可決定を行う。パラメータ内の情報は、Verified Permissions が評価に含めることができる追加のコンテキストを定義することもできます。リクエス トは指定されたポリシーストア内の全てのマッチするポリシーに対して評価される。判定結果は Allow か

    Deny のどちらかであり、判定結果となったポリシーのリストも表示される。 (DeepL訳)  https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/verifiedpermissions/client/is _authorized.html

  10. まとめ  AVP自体は、認可のチェックしかしないから、別途IAMの設定は必要…  複雑なアクセス制御じゃなければ、Condition句にcognitoのuser_id指定してやればいいんじゃないか?、 という思いもやってみて思う。

  11. 参考資料  Boto3のVerified Permissionsに関するリファレンス  https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/verifiedpermissions.html  Verified Permissionsユーザガイド 

    https://docs.aws.amazon.com/verifiedpermissions/latest/userguide/what-is-avp.html  JAWS-UG 名古屋で発表したCaderの資料  https://speakerdeck.com/ledsue/whatsthecedar