Upgrade to Pro — share decks privately, control downloads, hide ads and more …

jaws-days 2013 yokohama IAM

Ae763d151aeee101b40ae10cc13ebe63?s=47 maroon1st
March 29, 2013
Programming
0
220

jaws-days 2013 yokohama IAM

JAWS DAYS 2013の横浜支部枠でIAMについて発表した資料です。

Ae763d151aeee101b40ae10cc13ebe63?s=128

maroon1st

March 29, 2013
Tweet

More Decks by maroon1st

See All by maroon1st
話題の AlloyDB は本当に凄いデータベースなのでプレビューを使い倒した #devio2022
Ae763d151aeee101b40ae10cc13ebe63?s=48 maroon1st
0
13k
ただの CDN だけじゃない! Cloudflare の凄い所ご紹介 #AKIBASAAS
Ae763d151aeee101b40ae10cc13ebe63?s=48 maroon1st
0
1.3k
re:Inventで妙なRDSが発表されてたので浦島太郎な自分が解説してみる
Ae763d151aeee101b40ae10cc13ebe63?s=48 maroon1st
0
590
去年のre:Inventで発表されたサービスは1年経ってどうなった? /how-about-services-announced-at-reinvent-after-a-year
Ae763d151aeee101b40ae10cc13ebe63?s=48 maroon1st
0
110
最近のAuroraのアップデート使いこなし術 /developersio2019-aurora-updates
Ae763d151aeee101b40ae10cc13ebe63?s=48 maroon1st
0
2k
日本からは得られないre:MARS情報を収集してみた / Collect re:MARS information that cannot be obtained in Japan
Ae763d151aeee101b40ae10cc13ebe63?s=48 maroon1st
0
590
お手軽にリージョン間DRができるAurora Global Databaseの実力を見てみた
Ae763d151aeee101b40ae10cc13ebe63?s=48 maroon1st
0
2.4k
jawsug_yokohama_20181203.pdf
Ae763d151aeee101b40ae10cc13ebe63?s=48 maroon1st
0
1k
英語できないマンでも死なないラスベガスの歩き方
Ae763d151aeee101b40ae10cc13ebe63?s=48 maroon1st
0
1.6k

Other Decks in Programming

See All in Programming
設計の考え方とやり方
8f84b7d8869ef6005d89b378e8661f7c?s=48 masuda220
PRO
49
27k
「混ぜるな危険」を推進する設計
8ec2b967e38f000eb63ae345cd7c58e6?s=48 minodriven
8
2.5k
ちょっとつよい足トラ
6a661bb5871208cad64912223bb0c637?s=48 logilabo
0
380
Pythonで鉄道指向プログラミング
Cc15f7fbb06e96bdb56992e3d42ea8cd?s=48 usabarashi
0
130
僕が便利だと感じる Snow Monkey の特徴/20220723_Gifu_WordPress_Meetup
Dda24cce92447593513292ec748c70c4?s=48 oleindesign
0
110
クックパッドマートの失敗したデータ設計 Before / After 大放出
0be62f7ac4cc32f37f02a98aaeb86f5f?s=48 mokuzon
20
25k
VIMRC 2022
E76db8a47bdae9ef76629ecb366483ed?s=48 achimnol
0
130
読みやすいコード クラスメソッド 2022 年度新卒研修
E86b46be0f4e61db6b28becc5493bbab?s=48 januswel
0
2.9k
Now in Android Overview
62384887995a0ce07ec4f86b89f5ec9e?s=48 aosa4054
0
390
ZOZOTOWNにおけるDatadogの活用と、それを支える全社管理者の取り組み / 2022-07-27
198d69383210fbec8c6bea4a35863c9d?s=48 tippy
1
3.1k
SAM × Dockerでサーバーレス開発が超捗った話
Cd029ecf0f2e807120fcf05161ce84b8?s=48 yu_yukk_y
1
240
More Than Micro Frontends: 3 Further Use Cases for Module Federation @DWX 2022
15934fa2aa7b2ce21f091e9b7cffa856?s=48 manfredsteyer
PRO
0
360

Featured

See All Featured
Streamline your AJAX requests with AmplifyJS and jQuery
9cde37f47e4a800ea081ea42de8d749a?s=48 dougneiner
127
8.5k
Design by the Numbers
027d1ebf66cc039a0bd3b55eeadbe75d?s=48 sachag
271
17k
Building a Scalable Design System with Sketch
1177e050db6bafe62885362edf6e3537?s=48 lauravandoore
448
30k
Mobile First: as difficult as doing things right
0fe2973fa8d27d96547e43322341183a?s=48 swwweet
213
7.6k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
88f4e84b94fe07cddbd9e6479d689192?s=48 soudai
39
13k
The Web Native Designer (August 2011)
0bce06bd06ee7a2c4f5500f25dcf7f18?s=48 paulrobertlloyd
75
2k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
E195ae45320d9202eaa01c9f1d31a416?s=48 marktimemedia
15
980
Building Your Own Lightsaber
Fe6b81005d1553accd6b2a28f6a2bef1?s=48 phodgson
95
4.7k
Pencils Down: Stop Designing & Start Developing
79acae287842acf29084005533a7fb3b?s=48 hursman
113
9.8k
Music & Morning Musume
A60068bce2e73de3a37ca9d2dbe36092?s=48 bryan
35
4.3k
Making the Leap to Tech Lead
32de0bd2ba869609d26fd052a4622778?s=48 cromwellryan
113
7.4k
Optimizing for Happiness
25c7c18223fb42a4c6ae1c8db6f50f9b?s=48 mojombo
365
64k

Transcript

  1. Do you use the IAM ? 如何にIAMを使いこなすか

  2. お前だれよ? • @maroon1st • JAWS-UG 横浜支部コアメンバー • 某メーカー系SIer勤務 • アプリケーションエンジニア

    ↓ インフラエンジニア • 好きなAWSサービス:RDS、STS(Security Token Service) • 好きなCDP:Bootstrapパターン

  3. みんな IAM使ってる?

  4. 通常操作で AWSアカウントを使っては

  5. ダメ。ゼッタイ。

  6. 普通の操作を rootでしないのと 同じ!

  7. IAMで 何ができる? 初級編

  8. IAMで何ができる?初級編 •個人にIAMユーザを作成。 •アカウント共有はしない!

  9. IAMで何ができる?初級編 権限は、IAM Groupで。 • Developer権限 • Operateor権限 • 経理/管理者権限 •

    etc.

  10. IAMで何ができる?初級編 IAM Groupはユーザ毎に最大10個。 グループ権限に工夫が必要。 注意

  11. IAMで何ができる?初級編 Policy Template とか Policy Generatorで楽をしよう! http://awspolicygen.s3.amazonaws.com/policygen.html

  12. IAMで 何ができる? 上級編 その1

  13. IAMで何ができる?上級編 その1 社外アクセスの 制限はできる?

  14. IAMで何ができる?上級編 その1 できます! 接続元のIPアドレスで アクセス制御

  15. IAMで何ができる?上級編 その1 ConditionのNotIpAddressで設定! { "Statement": [ { "Effect": "Deny" "Deny"

    "Deny" "Deny", "Action": "*", "Resource": "*", "Condition": { " " " "NotIpAddress NotIpAddress NotIpAddress NotIpAddress" " " ": {"aws:SourceIp":"192.0.2.1" } } } ] }

  16. IAMで何ができる?上級編 その1 ConditionのNotIpAddressで設定! { "Statement": [ { "Effect": "Deny" "Deny"

    "Deny" "Deny", "Action": "*", "Resource": "*", "Condition": { " " " "NotIpAddress NotIpAddress NotIpAddress NotIpAddress" " " ": {"aws:SourceIp":"192.0.2.1" } } } ] } EffectはDeny Conditionは NotIpAddressで設定 Allowで設定した場合、 別の権限を追加すると アクセスできてしまう。 EffectはDeny Conditionは NotIpAddressで設定 http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/AccessPolicyLa nguage_ElementDescriptions.html#Conditions_IPAddress

  17. でも、最近流行の 「社内LAN撲滅運動」 の前では無意味かな?

  18. IAMで 何ができる? 上級編 その2

  19. IAMで何ができる?上級編 その2 一時的に発行した IAMユーザを 消し忘れる。 何とかならない?

  20. IAMで何ができる?上級編 その2 できます! 削除はしないけど 有効期限設定が可能

  21. IAMで何ができる?上級編 その2 ConditionのCurrentTimeで設定! { "Statement": [ { "Effect": "Deny" "Deny"

    "Deny" "Deny", "Action": "*", "Resource": "*", "Condition": { " " " "DateGreaterThan DateGreaterThan DateGreaterThan DateGreaterThan" " " ": { " " " "aws:CurrentTime aws:CurrentTime aws:CurrentTime aws:CurrentTime" " " ": "2013-03-16T06:00:00Z" } } } ] }

  22. IAMで何ができる?上級編 その2 ConditionのCurrentTimeで設定! { "Statement": [ { "Effect": "Deny" "Deny"

    "Deny" "Deny", "Action": "*", "Resource": "*", "Condition": { " " " "DateGreaterThan DateGreaterThan DateGreaterThan DateGreaterThan" " " ": { " " " "aws:CurrentTime aws:CurrentTime aws:CurrentTime aws:CurrentTime" " " ": "2013-03-16T06:00:00Z" } } } ] } EffectはDeny Conditionは DateGreaterThan で設定 EffectはDeny Conditionは DateGreaterThan で設定 基本は"aws:CurrentTime" “aws:EpochTime“でUNIX時間も可能 http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/AccessPolicyLa nguage_ElementDescriptions.html#Conditions_Date

  23. IAMで何ができる?上級編 その2 “aws:CurrentTime”は JSTでも記述可能! ISO 8601形式で "2013-03-16T15:00:00+09:00" http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/SupportedTypes.html

  24. IAMで 何ができる? 上級編 その3

  25. IAMで何ができる?上級編 その3 日々の作業で AWSアカウントを 使用したくない!

  26. IAMで何ができる?上級編 その3 できます! (多分) AWSサポートも IAMユーザで使用可能

  27. IAMで何ができる?上級編 その3 Actionで"support:*"を設定! { "Statement": [ { "Effect": "Allow", "Action":

    " " " "sopport sopport sopport sopport:*" :*" :*" :*", "Resource": "*" } ] } http://aws.amazon.com/jp/premiumsupport/iam/

  28. IAMで何ができる?上級編 その3 IAMでAWSサポート !!

  29. IAMで何ができる?上級編 その3 AWSサポートのレベルは ビジネス以上が対応 開発者レベルは未対応! 注意

  30. まとめ • AWSアカウントは出来る限り使わない • IAMユーザは1人1個で権限を分ける • IAMユーザもアクセス元制限可能 • IAMユーザも有効期限が設定可能 •

    IAMには色々な権限がある

  31. IAMはEnterprise向けだけ とは限りません。 IAMを使いこなしましょう!