Upgrade to Pro — share decks privately, control downloads, hide ads and more …

jaws-days 2013 yokohama IAM

Avatar for maroon1st maroon1st
March 29, 2013
Programming
0
410

jaws-days 2013 yokohama IAM

JAWS DAYS 2013の横浜支部枠でIAMについて発表した資料です。
Avatar for maroon1st

maroon1st

March 29, 2013
Tweet

More Decks by maroon1st

See All by maroon1st
[JAWS DAYS 2025] 最近の DB の競合解決の仕組みが分かった気になってみた
Avatar for maroon1st maroon1st
0
320
ハワイアン航空 ステータスへの道 #HAairstudy
Avatar for maroon1st maroon1st
0
210
[JAWS-UG横浜 #79] re:Invent 2024 の DB アップデートは Multi-Region!
Avatar for maroon1st maroon1st
1
220
[JAWS-UG横浜 #80] うわっ…今年のServerless アップデート、少なすぎ…?
Avatar for maroon1st maroon1st
1
250
【re:Growth 2024】 Aurora DSQL をちゃんと話します!
Avatar for maroon1st maroon1st
1
1.2k
[JAWS-UG横浜 #76] イケてるアップデートを宇宙いち早く紹介するよ!
Avatar for maroon1st maroon1st
0
740
【DevelopersIO 2024】AI 半可通なのにエッジ AI 機能を全力で解説してみる 〜Cloudflare の場合〜
Avatar for maroon1st maroon1st
0
470
Google Cloud の RDB を徹底比較! 選び方と最新機能紹介 #devio2024
Avatar for maroon1st maroon1st
0
1.6k
Google Cloud の AI を支える裏側のインフラを垣間見る!
Avatar for maroon1st maroon1st
0
840

Other Decks in Programming

See All in Programming
社内での開発コミュニティ活動とモジュラーモノリス標準化事例のご紹介/xPalette and Introduction of Modular monolith standardization
Avatar for Mitsuharu Maruyama m4maruyama
0
110
〜可視化からアクセス制御まで〜 BigQuery×Looker Studioで コスト管理とデータソース認証制御する方法
Avatar for CUEBiC Inc. cuebic9bic
3
320
実践ArchUnit ~実例による検証パターンの紹介~
Avatar for 荻原利雄 ogiwarat
2
240
赤裸々に公開。 TSKaigiのオフシーズン
Avatar for Yoshiteru Takeshita takezoux2
0
110
Cloudflare Realtime と Workers でつくるサーバーレス WebRTC
Avatar for Taiyu Yoshizawa nekoya3
0
380
KotlinConf 2025 現地で感じたServer-Side Kotlin
Avatar for Takehata Naoto n_takehata
1
180
関数型まつり2025登壇資料「関数プログラミングと再帰」
Avatar for Taison Tsukada taisontsukada
2
750
F#で自在につくる静的ブログサイト - 関数型まつり2025
Avatar for pizzacat83 pizzacat83
0
280
List Unfolding - 'unfold' as the Computational Dual of 'fold', and how 'unfold' relates to 'iterate'"
Avatar for Philip Schwarz philipschwarz
PRO
0
180
Passkeys for Java Developers
Avatar for Yoshikazu Nojima ynojima
2
830
Your Architecture as a Crime Scene: Forensic Analysis
Avatar for Manfred Steyer manfredsteyer
PRO
0
100
コード書くの好きな人向けAIコーディング活用tips #orestudy
Avatar for Hiromi Hishida 77web
3
280

Featured

See All Featured
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
Avatar for Addy Osmani addyosmani
6
680
Designing Experiences People Love
Avatar for Jonathan Moore moore
142
24k
Reflections from 52 weeks, 52 projects
Avatar for Jefferson Lam jeffersonlam
349
20k
Facilitating Awesome Meetings
Avatar for Lara Hogan lara
54
6.4k
Put a Button on it: Removing Barriers to Going Fast.
Avatar for kastner kastner
60
3.9k
4 Signs Your Business is Dying
Avatar for Josh Pigford shpigford
183
22k
Fantastic passwords and where to find them - at NoRuKo
Avatar for Phil Nash philnash
51
3.3k
CSS Pre-Processors: Stylus, Less & Sass
Avatar for Bermon Painter bermonpainter
357
30k
Keith and Marios Guide to Fast Websites
Avatar for Keith Pitt keithpitt
411
22k
Fight the Zombie Pattern Library - RWD Summit 2016
Avatar for Marcelo Somers marcelosomers
233
17k
A Tale of Four Properties
Avatar for Chris Coyier chriscoyier
159
23k
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
16
910

Transcript

  1. Do you use the IAM ? 如何にIAMを使いこなすか

  2. お前だれよ? • @maroon1st • JAWS-UG 横浜支部コアメンバー • 某メーカー系SIer勤務 • アプリケーションエンジニア

    ↓ インフラエンジニア • 好きなAWSサービス:RDS、STS(Security Token Service) • 好きなCDP:Bootstrapパターン

  3. みんな IAM使ってる?

  4. 通常操作で AWSアカウントを使っては

  5. ダメ。ゼッタイ。

  6. 普通の操作を rootでしないのと 同じ!

  7. IAMで 何ができる? 初級編

  8. IAMで何ができる?初級編 •個人にIAMユーザを作成。 •アカウント共有はしない!

  9. IAMで何ができる?初級編 権限は、IAM Groupで。 • Developer権限 • Operateor権限 • 経理/管理者権限 •

    etc.

  10. IAMで何ができる?初級編 IAM Groupはユーザ毎に最大10個。 グループ権限に工夫が必要。 注意

  11. IAMで何ができる?初級編 Policy Template とか Policy Generatorで楽をしよう! http://awspolicygen.s3.amazonaws.com/policygen.html

  12. IAMで 何ができる? 上級編 その1

  13. IAMで何ができる?上級編 その1 社外アクセスの 制限はできる?

  14. IAMで何ができる?上級編 その1 できます! 接続元のIPアドレスで アクセス制御

  15. IAMで何ができる?上級編 その1 ConditionのNotIpAddressで設定! { "Statement": [ { "Effect": "Deny" "Deny"

    "Deny" "Deny", "Action": "*", "Resource": "*", "Condition": { " " " "NotIpAddress NotIpAddress NotIpAddress NotIpAddress" " " ": {"aws:SourceIp":"192.0.2.1" } } } ] }

  16. IAMで何ができる?上級編 その1 ConditionのNotIpAddressで設定! { "Statement": [ { "Effect": "Deny" "Deny"

    "Deny" "Deny", "Action": "*", "Resource": "*", "Condition": { " " " "NotIpAddress NotIpAddress NotIpAddress NotIpAddress" " " ": {"aws:SourceIp":"192.0.2.1" } } } ] } EffectはDeny Conditionは NotIpAddressで設定 Allowで設定した場合、 別の権限を追加すると アクセスできてしまう。 EffectはDeny Conditionは NotIpAddressで設定 http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/AccessPolicyLa nguage_ElementDescriptions.html#Conditions_IPAddress

  17. でも、最近流行の 「社内LAN撲滅運動」 の前では無意味かな?

  18. IAMで 何ができる? 上級編 その2

  19. IAMで何ができる?上級編 その2 一時的に発行した IAMユーザを 消し忘れる。 何とかならない?

  20. IAMで何ができる?上級編 その2 できます! 削除はしないけど 有効期限設定が可能

  21. IAMで何ができる?上級編 その2 ConditionのCurrentTimeで設定! { "Statement": [ { "Effect": "Deny" "Deny"

    "Deny" "Deny", "Action": "*", "Resource": "*", "Condition": { " " " "DateGreaterThan DateGreaterThan DateGreaterThan DateGreaterThan" " " ": { " " " "aws:CurrentTime aws:CurrentTime aws:CurrentTime aws:CurrentTime" " " ": "2013-03-16T06:00:00Z" } } } ] }

  22. IAMで何ができる?上級編 その2 ConditionのCurrentTimeで設定! { "Statement": [ { "Effect": "Deny" "Deny"

    "Deny" "Deny", "Action": "*", "Resource": "*", "Condition": { " " " "DateGreaterThan DateGreaterThan DateGreaterThan DateGreaterThan" " " ": { " " " "aws:CurrentTime aws:CurrentTime aws:CurrentTime aws:CurrentTime" " " ": "2013-03-16T06:00:00Z" } } } ] } EffectはDeny Conditionは DateGreaterThan で設定 EffectはDeny Conditionは DateGreaterThan で設定 基本は"aws:CurrentTime" “aws:EpochTime“でUNIX時間も可能 http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/AccessPolicyLa nguage_ElementDescriptions.html#Conditions_Date

  23. IAMで何ができる?上級編 その2 “aws:CurrentTime”は JSTでも記述可能! ISO 8601形式で "2013-03-16T15:00:00+09:00" http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/SupportedTypes.html

  24. IAMで 何ができる? 上級編 その3

  25. IAMで何ができる?上級編 その3 日々の作業で AWSアカウントを 使用したくない!

  26. IAMで何ができる?上級編 その3 できます! (多分) AWSサポートも IAMユーザで使用可能

  27. IAMで何ができる?上級編 その3 Actionで"support:*"を設定! { "Statement": [ { "Effect": "Allow", "Action":

    " " " "sopport sopport sopport sopport:*" :*" :*" :*", "Resource": "*" } ] } http://aws.amazon.com/jp/premiumsupport/iam/

  28. IAMで何ができる?上級編 その3 IAMでAWSサポート !!

  29. IAMで何ができる?上級編 その3 AWSサポートのレベルは ビジネス以上が対応 開発者レベルは未対応! 注意

  30. まとめ • AWSアカウントは出来る限り使わない • IAMユーザは1人1個で権限を分ける • IAMユーザもアクセス元制限可能 • IAMユーザも有効期限が設定可能 •

    IAMには色々な権限がある

  31. IAMはEnterprise向けだけ とは限りません。 IAMを使いこなしましょう!