Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Amazon Verified PermissionsのWorkshopをやってみた

Takahiro Tanaka
August 06, 2023
Technology
0
210

Amazon Verified PermissionsのWorkshopをやってみた

Takahiro Tanaka

August 06, 2023
Tweet

More Decks by Takahiro Tanaka

See All by Takahiro Tanaka
脅威モデリングをやってみた
ledsue
0
100
マネージドサービスで作る認証機能
ledsue
0
140

Other Decks in Technology

See All in Technology
やっちゃえ誤自宅Nutanix
yukiafronia
0
340
攻撃者の視点で社内リソースはどう見えるのかを ASMで実現する
hikaruegashira
3
1.9k
ドメイン駆動設計によるdodaダイレクトのリビルド実践 / Rebuild practice of doda direct with domain-driven design
techtekt
0
500
20250125_Agent for Amazon Bedrock試してみた
riz3f7
2
110
Enhancing SRE Using AI
yoshiiryo1
1
240
HCP TerraformとAzure:イオンスマートテクノロジーのインフラ革新 / HCP Terraform and Azure AEON Smart Technology's Infrastructure Innovation
aeonpeople
3
900
Microsoft Ignite 2024 最新情報!Microsoft 365 Agents SDK 概要 / Microsoft Ignite 2024 latest news Microsoft 365 Agents SDK overview
karamem0
0
180
第27回クラウド女子会 ~re:Invent 振り返りLT会~ 私の周辺で反響のあった re:Invent 2024 アップデートつれづれ/reinvent-2024-update-reverberated-around-me
emiki
1
580
Skip Skip Run Run Run ♫
temoki
0
350
業務ツールをAIエージェントとつなぐ - Composio
knishioka
0
110
LambdaとSQLiteでシステム構築
ogadra
1
150
AWSエンジニアに捧ぐLangChainの歩き方
tsukuboshi
0
160

Featured

See All Featured
The MySQL Ecosystem @ GitHub 2015
samlambert
250
12k
Building a Scalable Design System with Sketch
lauravandoore
460
33k
The Cult of Friendly URLs
andyhume
78
6.2k
Imperfection Machines: The Place of Print at Facebook
scottboms
267
13k
The Power of CSS Pseudo Elements
geoffreycrofte
74
5.4k
Gamification - CAS2011
davidbonilla
80
5.1k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
656
59k
Learning to Love Humans: Emotional Interface Design
aarron
274
40k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.2k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
44
7k
Typedesign – Prime Four
hannesfritz
40
2.5k
Building a Modern Day 
E-commerce SEO Strategy
aleyda
38
7.1k

Transcript

  1. JAWS-UG 名古屋 Amazon Verified Permissions のWorkshopをやってみた 2023年8月5日

  2. 自己紹介  名前:田中 隆博(すえぞう)  ついったー:@led_suezou  Note:https://note.com/ledsue  仕事:ユーザ系IT子会社にてインフラ構築、運用を担当

     好きなAWSサービス:EC2、CDK

  3. はじめに  今日お話しすること Amazon Verified Permissions Workshopをやってみての気づき (https://catalog.workshops.aws/verified-permissions-in-action/en-US)  今日、お話しないこと

    Amazon Verified Permissionsを使ってのアプリケーション開発の細かい点

  4. まずAmazon Verified Permissionsについて  Amazon Verified Permissions(以下、⾧いのでAVPと略します)は、アプリケーションが各種リソースに アクセスする際の認可部分を提供するサービス  公式ドキュメント的には

     Amazon Cognitoなどの任意のidPと組み合わせて利用  権限の管理を外部化  動的でリアルタイムな権限判断

  5. どうやって制御するのか?  AVPでは、(IAMと用語が混ざりますが)ポリシーを使って権限を記述します。  ポリシーを記述するにはJSONによく似たCedarを使って記述をします。 ポリシーストア ポリシーA permit(principal, action, resource)

    when { principal == resource.owner} ; ポリシーB permit( principal, action in [ TinyTodo::Action::”CreateList”], resource ); ポリシーでは、プリンシパル、アクション、リ ソースを定義することができます。 左の例では、ポリシーAはリソースのオーナであれ ば許可され、ポリシーBではCreateListアクションだ けが許可されるポリシーとなっています。

  6. どうやって制御するのか?  ポリシーには「静的ポリシー」と「テンプレートリンクポリシー」の2つがあります。  テンプレートリンクポリシーは、ポリシー内にプレイスホルダが設定できるポリシーで、動的にポリ シーを作成することが可能です。  注意事項  プレイスホルダに指定できる項目は「プリンシパル」と「リソース」の2つだけ

  7. どうやってアプリ側から使うのか?  Workshopで作成されたLambda「TinyTodoApiLambda」の中を見てみると  ここで利用しているpermissions自体は、boto3でのpermissionsのAPI操作ラッピングしている permissions_check関数で task_listに対するアクセス 権限をチェック 作成しているポリシーストアとポリ シーテンプレートのIDを指定

  8. どうやってアプリ側から使うのか? is_authorized関数を使って権限を チェックして結果を返却

  9. is_authorized関数の中身は?  boto3の公式ドキュメントだと  パラメータに記述されたサービス要求について認可決定を行う。パラメータ内の情報は、Verified Permissions が評価に含めることができる追加のコンテキストを定義することもできます。リクエス トは指定されたポリシーストア内の全てのマッチするポリシーに対して評価される。判定結果は Allow か

    Deny のどちらかであり、判定結果となったポリシーのリストも表示される。 (DeepL訳)  https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/verifiedpermissions/client/is _authorized.html

  10. まとめ  AVP自体は、認可のチェックしかしないから、別途IAMの設定は必要…  複雑なアクセス制御じゃなければ、Condition句にcognitoのuser_id指定してやればいいんじゃないか?、 という思いもやってみて思う。

  11. 参考資料  Boto3のVerified Permissionsに関するリファレンス  https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/verifiedpermissions.html  Verified Permissionsユーザガイド 

    https://docs.aws.amazon.com/verifiedpermissions/latest/userguide/what-is-avp.html  JAWS-UG 名古屋で発表したCaderの資料  https://speakerdeck.com/ledsue/whatsthecedar