Upgrade to Pro — share decks privately, control downloads, hide ads and more …

jaws-days 2013 yokohama IAM

maroon1st
March 29, 2013
Programming
0
290

jaws-days 2013 yokohama IAM

JAWS DAYS 2013の横浜支部枠でIAMについて発表した資料です。

maroon1st

March 29, 2013
Tweet

More Decks by maroon1st

See All by maroon1st
Google Cloud Next '23 Recap AI 時代のデータベース関連のイケてるアップデートをお届け
maroon1st
0
400
Zaraz 試してみた #CloudflareUG #CloudflareUG_www
maroon1st
0
320
Cloudflare Application Service のサイト登録の種類を確認してみた #CloudflareUG #CloudflareUG_hnd
maroon1st
0
480
Cloudflare 概論 Cloudflare Meetup Kick Off! #CloudflareUG
maroon1st
0
1.1k
Cloudflare の画像最適化機能を紹介してみる
maroon1st
0
1.2k
データベースの発表には RDBMS 以外もありますよ
maroon1st
0
400
Aurora Serverless v2 のスケールの傾向を実際に確認してみた
maroon1st
0
82
ひさしぶりの英語セッションでも『読める、読めるぞ!』 〜 別の角度の re:Invent 事前準備 〜
maroon1st
0
680
話題の AlloyDB は本当に凄いデータベースなのでプレビューを使い倒した #devio2022
maroon1st
0
23k

Other Decks in Programming

See All in Programming
Maintaining E2E Test Automation as We Transition from View to Compose
tkhs0604
0
510
Creative coding starting with Ruby
chobishiba
1
600
ブラウザで「今すぐ」gemを読み込む方法 / Load-gem-from-browser-JUST-NOW
lnit
0
320
GO TechTalk #22 Reactで描くタクシーアプリ『GO』の世界
mot_techtalk
0
170
アジャイルのライトウィングとレフトウィングはひとりで両方できなくてもいいんじゃない? - “ひとりでできるもん”から“みんなでできるもん”への道のり
psj59129
0
210
Jetpack Compose の Side-effect を使いこなす / DroidKaigi 2023
star_zero
1
670
Lrama へのコントリビューションを通して学ぶ Ruby のパーサジェネレータ事情
junk0612
1
450
ZennにみるCloudRunとBigQueryによるアプリケーション構築 / zenn-cloudrun-bigquery-serverless
wadayusuke
1
870
RAILS_ENVを統合する取り組み: 開発用デプロイ環境をよりシンプルに
akarin
2
690
Migrating From Spring Boot 2 To Spring Boot 3 - What's Jakarta EE Got To Do with It?
ivargrimstad
0
120
PHP8.2にバージョンアップして もっと型表現を豊かにしよう
akitotsukahara
0
150
Jakarta EE 10 - Simplicity for Modern and Lightweight Cloud
ivargrimstad
0
120

Featured

See All Featured
Building Your Own Lightsaber
phodgson
97
5.1k
A designer walks into a library…
pauljervisheath
199
17k
Being A Developer After 40
akosma
52
580k
How To Stay Up To Date on Web Technology
chriscoyier
780
250k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
112
17k
The Invisible Side of Design
smashingmag
292
49k
A Modern Web Designer's Workflow
chriscoyier
688
190k
Designing Experiences People Love
moore
133
22k
Designing for Performance
lara
601
66k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
17
1.3k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
352
21k
Building a Modern Day 
E-commerce SEO Strategy
aleyda
12
5.6k

Transcript

  1. Do you use the
    IAM ?
    如何にIAMを使いこなすか

    View Slide

  2. お前だれよ?
    • @maroon1st
    • JAWS-UG 横浜支部コアメンバー
    • 某メーカー系SIer勤務
    • アプリケーションエンジニア

    インフラエンジニア
    • 好きなAWSサービス:RDS、STS(Security Token Service)
    • 好きなCDP:Bootstrapパターン

    View Slide

  3. みんな
    IAM使ってる?

    View Slide

  4. 通常操作で
    AWSアカウントを使っては

    View Slide

  5. ダメ。ゼッタイ。

    View Slide

  6. 普通の操作を
    rootでしないのと
    同じ!

    View Slide

  7. IAMで
    何ができる?
    初級編

    View Slide

  8. IAMで何ができる?初級編
    •個人にIAMユーザを作成。
    •アカウント共有はしない!

    View Slide

  9. IAMで何ができる?初級編
    権限は、IAM Groupで。
    • Developer権限
    • Operateor権限
    • 経理/管理者権限
    • etc.

    View Slide

  10. IAMで何ができる?初級編
    IAM Groupはユーザ毎に最大10個。
    グループ権限に工夫が必要。
    注意

    View Slide

  11. IAMで何ができる?初級編
    Policy Template とか
    Policy Generatorで楽をしよう!
    http://awspolicygen.s3.amazonaws.com/policygen.html

    View Slide

  12. IAMで
    何ができる?
    上級編 その1

    View Slide

  13. IAMで何ができる?上級編 その1
    社外アクセスの
    制限はできる?

    View Slide

  14. IAMで何ができる?上級編 その1
    できます!
    接続元のIPアドレスで
    アクセス制御

    View Slide

  15. IAMで何ができる?上級編 その1
    ConditionのNotIpAddressで設定!
    { "Statement": [
    { "Effect": "Deny"
    "Deny"
    "Deny"
    "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
    "
    "
    "
    "NotIpAddress
    NotIpAddress
    NotIpAddress
    NotIpAddress"
    "
    "
    ": {"aws:SourceIp":"192.0.2.1" }
    }
    }
    ]
    }

    View Slide

  16. IAMで何ができる?上級編 その1
    ConditionのNotIpAddressで設定!
    { "Statement": [
    { "Effect": "Deny"
    "Deny"
    "Deny"
    "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
    "
    "
    "
    "NotIpAddress
    NotIpAddress
    NotIpAddress
    NotIpAddress"
    "
    "
    ": {"aws:SourceIp":"192.0.2.1" }
    }
    }
    ]
    }
    EffectはDeny
    Conditionは
    NotIpAddressで設定
    Allowで設定した場合、
    別の権限を追加すると
    アクセスできてしまう。
    EffectはDeny
    Conditionは
    NotIpAddressで設定
    http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/AccessPolicyLa
    nguage_ElementDescriptions.html#Conditions_IPAddress

    View Slide

  17. でも、最近流行の
    「社内LAN撲滅運動」
    の前では無意味かな?

    View Slide

  18. IAMで
    何ができる?
    上級編 その2

    View Slide

  19. IAMで何ができる?上級編 その2
    一時的に発行した
    IAMユーザを
    消し忘れる。
    何とかならない?

    View Slide

  20. IAMで何ができる?上級編 その2
    できます!
    削除はしないけど
    有効期限設定が可能

    View Slide

  21. IAMで何ができる?上級編 その2
    ConditionのCurrentTimeで設定!
    { "Statement": [
    { "Effect": "Deny"
    "Deny"
    "Deny"
    "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
    "
    "
    "
    "DateGreaterThan
    DateGreaterThan
    DateGreaterThan
    DateGreaterThan"
    "
    "
    ": {
    "
    "
    "
    "aws:CurrentTime
    aws:CurrentTime
    aws:CurrentTime
    aws:CurrentTime"
    "
    "
    ": "2013-03-16T06:00:00Z" }
    }
    }
    ]
    }

    View Slide

  22. IAMで何ができる?上級編 その2
    ConditionのCurrentTimeで設定!
    { "Statement": [
    { "Effect": "Deny"
    "Deny"
    "Deny"
    "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
    "
    "
    "
    "DateGreaterThan
    DateGreaterThan
    DateGreaterThan
    DateGreaterThan"
    "
    "
    ": {
    "
    "
    "
    "aws:CurrentTime
    aws:CurrentTime
    aws:CurrentTime
    aws:CurrentTime"
    "
    "
    ": "2013-03-16T06:00:00Z" }
    }
    }
    ]
    }
    EffectはDeny
    Conditionは
    DateGreaterThan で設定
    EffectはDeny
    Conditionは
    DateGreaterThan で設定
    基本は"aws:CurrentTime"
    “aws:EpochTime“でUNIX時間も可能
    http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/AccessPolicyLa
    nguage_ElementDescriptions.html#Conditions_Date

    View Slide

  23. IAMで何ができる?上級編 その2
    “aws:CurrentTime”は
    JSTでも記述可能!
    ISO 8601形式で
    "2013-03-16T15:00:00+09:00"
    http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/SupportedTypes.html

    View Slide

  24. IAMで
    何ができる?
    上級編 その3

    View Slide

  25. IAMで何ができる?上級編 その3
    日々の作業で
    AWSアカウントを
    使用したくない!

    View Slide

  26. IAMで何ができる?上級編 その3
    できます!
    (多分)
    AWSサポートも
    IAMユーザで使用可能

    View Slide

  27. IAMで何ができる?上級編 その3
    Actionで"support:*"を設定!
    { "Statement": [
    {
    "Effect": "Allow",
    "Action": "
    "
    "
    "sopport
    sopport
    sopport
    sopport:*"
    :*"
    :*"
    :*",
    "Resource": "*"
    }
    ]
    }
    http://aws.amazon.com/jp/premiumsupport/iam/

    View Slide

  28. IAMで何ができる?上級編 その3
    IAMでAWSサポート !!

    View Slide

  29. IAMで何ができる?上級編 その3
    AWSサポートのレベルは
    ビジネス以上が対応
    開発者レベルは未対応!
    注意

    View Slide

  30. まとめ
    • AWSアカウントは出来る限り使わない
    • IAMユーザは1人1個で権限を分ける
    • IAMユーザもアクセス元制限可能
    • IAMユーザも有効期限が設定可能
    • IAMには色々な権限がある

    View Slide

  31. IAMはEnterprise向けだけ
    とは限りません。
    IAMを使いこなしましょう!

    View Slide