Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
jaws-days 2013 yokohama IAM
Search
maroon1st
March 29, 2013
Programming
0
390
jaws-days 2013 yokohama IAM
JAWS DAYS 2013の横浜支部枠でIAMについて発表した資料です。
maroon1st
March 29, 2013
Tweet
Share
More Decks by maroon1st
See All by maroon1st
[JAWS-UG横浜 #79] re:Invent 2024 の DB アップデートは Multi-Region!
maroon1st
1
140
[JAWS-UG横浜 #80] うわっ…今年のServerless アップデート、少なすぎ…?
maroon1st
1
180
【re:Growth 2024】 Aurora DSQL をちゃんと話します!
maroon1st
1
1k
[JAWS-UG横浜 #76] イケてるアップデートを宇宙いち早く紹介するよ!
maroon1st
0
630
【DevelopersIO 2024】AI 半可通なのにエッジ AI 機能を全力で解説してみる 〜Cloudflare の場合〜
maroon1st
0
370
Google Cloud の RDB を徹底比較! 選び方と最新機能紹介 #devio2024
maroon1st
0
1.4k
Google Cloud の AI を支える裏側のインフラを垣間見る!
maroon1st
0
740
JAWS-UG横浜 #63 AWS re:Invent 2023 宇宙一早い Recap イケてるアップデートを宇宙いち早く紹介するよ!
maroon1st
0
58
Google Cloud Next '23 Recap AI 時代のデータベース関連のイケてるアップデートをお届け
maroon1st
0
950
Other Decks in Programming
See All in Programming
2024年のWebフロントエンドのふりかえりと2025年
sakito
3
260
ファインディの テックブログ爆誕までの軌跡
starfish719
2
1.1k
『GO』アプリ バックエンドサーバのコスト削減
mot_techtalk
0
150
データベースのオペレーターであるCloudNativePGがStatefulSetを使わない理由に迫る
nnaka2992
0
180
Grafana Loki によるサーバログのコスト削減
mot_techtalk
1
130
XStateを用いた堅牢なReact Components設計~複雑なClient Stateをシンプルに~ @React Tokyo ミートアップ #2
kfurusho
1
920
苦しいTiDBへの移行を乗り越えて快適な運用を目指す
leveragestech
0
670
密集、ドキュメントのコロケーション with AWS Lambda
satoshi256kbyte
0
190
富山発の個人開発サービスで日本中の学校の業務を改善した話
krpk1900
5
390
CDK開発におけるコーディング規約の運用
yamanashi_ren01
2
150
ML.NETで始める機械学習
ymd65536
0
130
技術を根付かせる / How to make technology take root
kubode
1
250
Featured
See All Featured
Building a Modern Day E-commerce SEO Strategy
aleyda
38
7.1k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
133
33k
How to Think Like a Performance Engineer
csswizardry
22
1.4k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
507
140k
StorybookのUI Testing Handbookを読んだ
zakiyama
28
5.5k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
193
16k
The Cult of Friendly URLs
andyhume
78
6.2k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
44
7k
For a Future-Friendly Web
brad_frost
176
9.5k
GraphQLの誤解/rethinking-graphql
sonatard
68
10k
Stop Working from a Prison Cell
hatefulcrawdad
267
20k
BBQ
matthewcrist
87
9.5k
Transcript
Do you use the IAM ? 如何にIAMを使いこなすか
お前だれよ? • @maroon1st • JAWS-UG 横浜支部コアメンバー • 某メーカー系SIer勤務 • アプリケーションエンジニア
↓ インフラエンジニア • 好きなAWSサービス:RDS、STS(Security Token Service) • 好きなCDP:Bootstrapパターン
みんな IAM使ってる?
通常操作で AWSアカウントを使っては
ダメ。ゼッタイ。
普通の操作を rootでしないのと 同じ!
IAMで 何ができる? 初級編
IAMで何ができる?初級編 •個人にIAMユーザを作成。 •アカウント共有はしない!
IAMで何ができる?初級編 権限は、IAM Groupで。 • Developer権限 • Operateor権限 • 経理/管理者権限 •
etc.
IAMで何ができる?初級編 IAM Groupはユーザ毎に最大10個。 グループ権限に工夫が必要。 注意
IAMで何ができる?初級編 Policy Template とか Policy Generatorで楽をしよう! http://awspolicygen.s3.amazonaws.com/policygen.html
IAMで 何ができる? 上級編 その1
IAMで何ができる?上級編 その1 社外アクセスの 制限はできる?
IAMで何ができる?上級編 その1 できます! 接続元のIPアドレスで アクセス制御
IAMで何ができる?上級編 その1 ConditionのNotIpAddressで設定! { "Statement": [ { "Effect": "Deny" "Deny"
"Deny" "Deny", "Action": "*", "Resource": "*", "Condition": { " " " "NotIpAddress NotIpAddress NotIpAddress NotIpAddress" " " ": {"aws:SourceIp":"192.0.2.1" } } } ] }
IAMで何ができる?上級編 その1 ConditionのNotIpAddressで設定! { "Statement": [ { "Effect": "Deny" "Deny"
"Deny" "Deny", "Action": "*", "Resource": "*", "Condition": { " " " "NotIpAddress NotIpAddress NotIpAddress NotIpAddress" " " ": {"aws:SourceIp":"192.0.2.1" } } } ] } EffectはDeny Conditionは NotIpAddressで設定 Allowで設定した場合、 別の権限を追加すると アクセスできてしまう。 EffectはDeny Conditionは NotIpAddressで設定 http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/AccessPolicyLa nguage_ElementDescriptions.html#Conditions_IPAddress
でも、最近流行の 「社内LAN撲滅運動」 の前では無意味かな?
IAMで 何ができる? 上級編 その2
IAMで何ができる?上級編 その2 一時的に発行した IAMユーザを 消し忘れる。 何とかならない?
IAMで何ができる?上級編 その2 できます! 削除はしないけど 有効期限設定が可能
IAMで何ができる?上級編 その2 ConditionのCurrentTimeで設定! { "Statement": [ { "Effect": "Deny" "Deny"
"Deny" "Deny", "Action": "*", "Resource": "*", "Condition": { " " " "DateGreaterThan DateGreaterThan DateGreaterThan DateGreaterThan" " " ": { " " " "aws:CurrentTime aws:CurrentTime aws:CurrentTime aws:CurrentTime" " " ": "2013-03-16T06:00:00Z" } } } ] }
IAMで何ができる?上級編 その2 ConditionのCurrentTimeで設定! { "Statement": [ { "Effect": "Deny" "Deny"
"Deny" "Deny", "Action": "*", "Resource": "*", "Condition": { " " " "DateGreaterThan DateGreaterThan DateGreaterThan DateGreaterThan" " " ": { " " " "aws:CurrentTime aws:CurrentTime aws:CurrentTime aws:CurrentTime" " " ": "2013-03-16T06:00:00Z" } } } ] } EffectはDeny Conditionは DateGreaterThan で設定 EffectはDeny Conditionは DateGreaterThan で設定 基本は"aws:CurrentTime" “aws:EpochTime“でUNIX時間も可能 http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/AccessPolicyLa nguage_ElementDescriptions.html#Conditions_Date
IAMで何ができる?上級編 その2 “aws:CurrentTime”は JSTでも記述可能! ISO 8601形式で "2013-03-16T15:00:00+09:00" http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/SupportedTypes.html
IAMで 何ができる? 上級編 その3
IAMで何ができる?上級編 その3 日々の作業で AWSアカウントを 使用したくない!
IAMで何ができる?上級編 その3 できます! (多分) AWSサポートも IAMユーザで使用可能
IAMで何ができる?上級編 その3 Actionで"support:*"を設定! { "Statement": [ { "Effect": "Allow", "Action":
" " " "sopport sopport sopport sopport:*" :*" :*" :*", "Resource": "*" } ] } http://aws.amazon.com/jp/premiumsupport/iam/
IAMで何ができる?上級編 その3 IAMでAWSサポート !!
IAMで何ができる?上級編 その3 AWSサポートのレベルは ビジネス以上が対応 開発者レベルは未対応! 注意
まとめ • AWSアカウントは出来る限り使わない • IAMユーザは1人1個で権限を分ける • IAMユーザもアクセス元制限可能 • IAMユーザも有効期限が設定可能 •
IAMには色々な権限がある
IAMはEnterprise向けだけ とは限りません。 IAMを使いこなしましょう!