Upgrade to Pro — share decks privately, control downloads, hide ads and more …

re:Invent2024で広がった AWS Verified Accessの可能性を探る

mai miya
February 06, 2025
Technology
1
49

re:Invent2024で広がった AWS Verified Accessの可能性を探る

2025/02/06
F x F AWS Service Partner2社でre:Invent2024 DeepDive
https://forgevision.connpass.com/event/340312/

mai miya

February 06, 2025
Tweet

More Decks by mai miya

See All by mai miya
“自分”を大切に、フラットに。キャリアチェンジしてからの一年 三ヶ月で見えたもの。
maimyyym
0
350
IAM JSON ポリシーと仲良くなろう
maimyyym
3
80
2年目エンジニアが過ごしたre:Invent、私にできる明日からのEverything starts with security
maimyyym
0
87
"とにかくやってみる"で始めるAWS Security Hub
maimyyym
2
290
AWS Well-Architected Framework をみんなで読んでいる話
maimyyym
1
80
課金体系を紐解いて学ぶAWS WAF
maimyyym
2
150
自由で便利なLaravelのしんどいポイントを楽しさに変える
maimyyym
1
130
LandingZoneAccelerator と学ぶ 「スケーラブルで安全なマルチアカウントAWS環境」と 私たちにもできるベストプラクティス
maimyyym
1
260
初めての札幌と初めてのBedrock ~Bedrock Converse API×SAMで遊んでみる~
maimyyym
1
370

Other Decks in Technology

See All in Technology
PHPカンファレンス名古屋-テックリードの経験から学んだ設計の教訓
hayatokudou
2
370
Building Products in the LLM Era
ymatsuwitter
10
5.5k
オブザーバビリティの観点でみるAWS / AWS from observability perspective
ymotongpoo
8
1.5k
Amazon S3 Tablesと外部分析基盤連携について / Amazon S3 Tables and External Data Analytics Platform
nttcom
0
140
OpenID BizDay#17 KYC WG活動報告(法人) / 20250219-BizDay17-KYC-legalidentity
oidfj
0
250
Raycast AI APIを使ってちょっと便利な拡張機能を作ってみた / created-a-handy-extension-using-the-raycast-ai-api
kawamataryo
0
100
個人開発から公式機能へ: PlaywrightとRailsをつなげた3年の軌跡
yusukeiwaki
11
3k
データマネジメントのトレードオフに立ち向かう
ikkimiyazaki
6
1k
Swiftの “private” を テストする / Testing Swift "private"
yutailang0119
0
130
地方拠点で エンジニアリングマネージャーってできるの? 〜地方という制約を楽しむオーナーシップとコミュニティ作り〜
1coin
1
230
組織貢献をするフリーランスエンジニアという生き方
n_takehata
2
1.3k
スタートアップ1人目QAエンジニアが QAチームを立ち上げ、“個”からチーム、 そして“組織”に成長するまで / How to set up QA team at reiwatravel
mii3king
2
1.5k

Featured

See All Featured
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
330
21k
A Philosophy of Restraint
colly
203
16k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
175
51k
Code Review Best Practice
trishagee
67
18k
Unsuck your backbone
ammeep
669
57k
Fantastic passwords and where to find them - at NoRuKo
philnash
51
3k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
53k
How GitHub (no longer) Works
holman
314
140k
Building Better People: How to give real-time feedback that sticks.
wjessup
367
19k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
507
140k
The Invisible Side of Design
smashingmag
299
50k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
226
22k

Transcript

  1. ©Fusic Co., Ltd. 0 re:Invent2024で広がった AWS Verified Accessの可能性を探る 2025.02.06 Mai

    Miyazaki @maimyyym F x F AWS Service Partner2社でre:Invent2024 DeepDive

  2. ©Fusic Co., Ltd. 1 Introduction 宮 崎 真 衣 M

    A I M I YA Z A K I HN: mai (@maimyyym ) 株式会社Fusic 事業本部 技術創造部門 / エンジニア ◉ I am - IDDM(1型糖尿病) 3歳発症 - 元百貨店スタッフ(Beauty Counselor) - 2023年10月 Fusic入社 - re:Invent 2024 ABWGrant ◉ Skill - AWS / Python / TypeScript / PHP(Laravel) - Interested in: Security, Identity & Compliance ◉ Comment - 初re:Invent、初海外でした! 画像 Click!

  3. ©Fusic Co., Ltd. 2 CONTENTS 目次 1. AWS Verified Accessとは

    2. AWS Verified Accessの今までとこれから 3. やりたいことをやってみた 4. 今回のアップデートでうれしいこと

  4. ©Fusic Co., Ltd. 3 AWS Verified Accessとは 1

  5. ©Fusic Co., Ltd. 4 AWS Verified Accessとは? AWS Verified Accessとは

    AWS内のアプリケーションへの安全なアクセスをVPN-lessで提供するサービス ゼロトラストセキュリティモデルに基づいている Verified Accessを構築すると、 明示的にポリシーを設定しないと 全てのアクセスが拒否される。 ネットワーク境界を問わず「何も信頼しない」を前提とした考え方 ネットワークの場所だけではなく、 IDやデバイスなどの信頼を証明して アクセス権を付与。

  6. ©Fusic Co., Ltd. 5 AWS Verified Accessの今までとこれから 2

  7. ©Fusic Co., Ltd. 6 AWS Verified Accessの今まで AWS Verified Accessの今までとこれから

    HTTP(S)のみ対応していた = AWS上で動くアプリケーションやAPI

  8. ©Fusic Co., Ltd. 7 AWS Verified Accessのアップデート AWS Verified Accessの今までとこれから

    non-HTTP(S)プロトコル(TCP通信)に対応!(プレビュー) つまり、22(SSH)や3306(MySQL)等 さまざまなプロトコルによるアクセスをゼロトラストベースで制御できる AWS上のアプリケーション(Webシステム) だけでなくリソース(EC2やRDSなど)への より厳密なアクセス制御が可能

  9. ©Fusic Co., Ltd. 8 non-HTTP(S)接続に必要なもの AWS Verified Accessの今までとこれから 専用の接続クライアントConnectivity Clientが必要

    クライアントが接続されている限り、アクセス許可される https://docs.aws.amazon.com/ja_jp/verified-access/latest/ug/connectivity-client.html VerifiedAccess側でプロバイダー等の設定し、 クライアント設定ファイルをエクスポート後 この状態で、 SSH接続や DB接続が可能!

  10. ©Fusic Co., Ltd. 9 やりたいことをやってみた 3

  11. ©Fusic Co., Ltd. 10 プライベートなEC2にSSH接続 AWS Verified Accessでやりたいことをやってみた どうしますか? SSM?インスタンスコネクト?

    Session Manager Instance Connect

  12. ©Fusic Co., Ltd. 11 プライベートなEC2にSSH接続 AWS Verified Accessでやりたいことをやってみた どうしますか? SSM?Instance

    Connect? Session Manager Instance Connect Verified Access NEW!

  13. ©Fusic Co., Ltd. 12 RDSにDBクライアントで接続したい AWS Verified Accessでやりたいことをやってみた どうしますか? 踏み台サーバーでポートフォワーディング?

    Session Manager Instance Connect

  14. ©Fusic Co., Ltd. 13 RDSにDBクライアントで接続したい AWS Verified Accessでやりたいことをやってみた どうしますか? 踏み台サーバーでポートフォワーディング?

    Session Manager Instance Connect Verified Access NEW!

  15. ©Fusic Co., Ltd. 14 今回のアップデートでうれしいこと 4

  16. ©Fusic Co., Ltd. 15 ゼロトラストはもちろん・・・だけど 今回のアップデートでうれしいこと 踏み台サーバーが不要で安全な接続を実現できる より厳密なアクセス制御でのインスタンスへの接続を実現できる

  17. ©Fusic Co., Ltd. 16 ゼロトラストはもちろん・・・だけど 今回のアップデートでうれしいこと 踏み台サーバーが不要で安全な接続を実現できる より厳密なアクセス制御でのインスタンスへの接続を実現できる ・・・いろいろ使いやすくなる! と単純に思いついたけど、いつでも採用できるコストではない

  18. ©Fusic Co., Ltd. 17 プライベートなEC2へのSSH選択肢 今回のアップデートでうれしいこと 比較してみる どれを選んでもアクセスの制限(=パブリックにしないこと)は可能 Instance Connect

    Session Manager Verified Access 実現できる要件 EC2のセキュリティグループでの アクセス制御(22番は空ける必要あり) ログや可用性等の要件がある IAMでのアクセス制御 ID認証した上で、 ポリシー定義により 細かなアクセス制御が可能 手軽さ エンドポイントと セキュリティグループの設定 エンドポイント(複数)とIAMロール クライアント証明書 SSHキーの管理が必要 料金(転送量は除 く) 無料 VPCエンドポイントの料金 USD 0.014 / 時間 エンドポイントの料金 USD 0.26/時間

  19. ©Fusic Co., Ltd. 18 プライベートなEC2へのSSH選択肢 今回のアップデートでうれしいこと 考察してみる 実装・管理・料金のコストと実現したいセキュリティ要件とのバランス Instance Connect

    Session Manager Verified Access 実現できる要件 EC2のセキュリティグループでの アクセス制御(22番は空ける必要あり) ログや可用性等の要件がある IAMでのアクセス制御 ID認証した上で、 ポリシー定義により 細かなアクセス制御が可能 手軽さ エンドポイントと セキュリティグループの設定 エンドポイント(複数)とIAMロール クライアント証明書 SSHキーの管理が必要 料金(転送量は除 く) 無料 VPCエンドポイントの料金 USD 0.014 / 時間 エンドポイントの料金 USD 0.26/時間 シンプルな管理用サーバー 少人数での開発利用向き 一定の組織要件を 踏まえた小中規模での 管理利用 大規模な開発組織に おける仕組み化された アクセス制御を要する

  20. ©Fusic Co., Ltd. 19 もっと望みたくもなる 今回のアップデートでうれしいこと o プライベートAPIGatewayへの接続も対応してほしい ▪ どうしても踏み台が必要

    ▪ HTTPSではあるので、前からサポートしているかと思いきや… • 証明書の設定が必要 = プライベートAPIGatewayはできない o アクティブ・非アクティブな状態を切り替えたい ▪ アクティブなエンドポイントの時間に課金される ▪ 使わない時は非アクティブにすることができれば 料金をおさえられるのに… • 実体を考えると、難しそう

  21. ©Fusic Co., Ltd. 20 Verified Accessのアップデートと出会えてよかった 今回のアップデートでうれしいこと o AWS内のインスタンスリソースに対する、 クライアントレベルでのアクセス制御の選択肢を知った

    o アップデートを通じて改めてリソースへの接続について 整理できた

  22. ©Fusic Co., Ltd. 21 Thank You We are Hiring! https://recruit.fusic.co.jp/

    ご清聴いただきありがとうございました