Upgrade to Pro — share decks privately, control downloads, hide ads and more …

jaws-days 2013 yokohama IAM

maroon1st
March 29, 2013
Programming
0
320

jaws-days 2013 yokohama IAM

JAWS DAYS 2013の横浜支部枠でIAMについて発表した資料です。

maroon1st

March 29, 2013
Tweet

More Decks by maroon1st

See All by maroon1st
Google Cloud の AI を支える裏側のインフラを垣間見る!
maroon1st
0
210
JAWS-UG横浜 #63 AWS re:Invent 2023 宇宙一早い Recap イケてるアップデートを宇宙いち早く紹介するよ!
maroon1st
0
3
Google Cloud Next '23 Recap AI 時代のデータベース関連のイケてるアップデートをお届け
maroon1st
0
730
Zaraz 試してみた #CloudflareUG #CloudflareUG_www
maroon1st
0
750
Cloudflare Application Service のサイト登録の種類を確認してみた #CloudflareUG #CloudflareUG_hnd
maroon1st
0
870
Cloudflare 概論 Cloudflare Meetup Kick Off! #CloudflareUG
maroon1st
1
1.4k
Cloudflare の画像最適化機能を紹介してみる
maroon1st
0
1.8k
データベースの発表には RDBMS 以外もありますよ
maroon1st
0
500
Aurora Serverless v2 のスケールの傾向を実際に確認してみた
maroon1st
0
160

Other Decks in Programming

See All in Programming
両面どころかインフラもTSでできるよ ~ 全方位TypeScriptによるプロダクト開発 ~
myfinder
9
3.2k
SwiftUIで使いやすいToastの作り方 / How to build a Toast system which is easy to use in SwiftUI
lovee
3
100
educure_カリキュラム生操作マニュアル.pdf
linew_official
0
480
オブジェクト指向のリ・オリエンテーション~歴史を振り返り、AI時代に向きなおる~
hanyudaeiiti
10
5.7k
What We Can Learn From OSS
inouehi
0
400
SpringBoot+MyBatisで例外が出たときどこを見るか
syukai
0
110
はてなにおける CSS Modules、及び CSS Modules に足りないもの / CSS Modules in Hatena, and CSS Modules missing parts
mizdra
4
550
if constexpr文はテンプレート世界のラムダ式である
faithandbrave
0
140
Javaエンジニアのための Nodejs/Nuxt3入門
hidekatsu_izuno
0
280
PHPの次期バージョンはこの時期どうなっているのか - Internalsの開発体制について - PHPカンファレンス小田原
youkidearitai
PRO
1
180
PHP8.3の機能を振り返る / Review of PHP 8.3 features
seike460
PRO
1
110
try! Swift Tokyo 初参加報告LT
hinakko2
0
190

Featured

See All Featured
Producing Creativity
orderedlist
PRO
336
39k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
273
13k
The Art of Programming - Codeland 2020
erikaheidi
41
12k
Build The Right Thing And Hit Your Dates
maggiecrowley
23
2k
Docker and Python
trallard
33
2.7k
Git: the NoSQL Database
bkeepers
PRO
422
63k
A Philosophy of Restraint
colly
196
16k
Building Applications with DynamoDB
mza
88
5.6k
Being A Developer After 40
akosma
56
580k
Fantastic passwords and where to find them - at NoRuKo
philnash
36
2.5k
How GitHub (no longer) Works
holman
304
140k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
226
16k

Transcript

  1. Do you use the IAM ? 如何にIAMを使いこなすか

  2. お前だれよ? • @maroon1st • JAWS-UG 横浜支部コアメンバー • 某メーカー系SIer勤務 • アプリケーションエンジニア

    ↓ インフラエンジニア • 好きなAWSサービス:RDS、STS(Security Token Service) • 好きなCDP:Bootstrapパターン

  3. みんな IAM使ってる?

  4. 通常操作で AWSアカウントを使っては

  5. ダメ。ゼッタイ。

  6. 普通の操作を rootでしないのと 同じ!

  7. IAMで 何ができる? 初級編

  8. IAMで何ができる?初級編 •個人にIAMユーザを作成。 •アカウント共有はしない!

  9. IAMで何ができる?初級編 権限は、IAM Groupで。 • Developer権限 • Operateor権限 • 経理/管理者権限 •

    etc.

  10. IAMで何ができる?初級編 IAM Groupはユーザ毎に最大10個。 グループ権限に工夫が必要。 注意

  11. IAMで何ができる?初級編 Policy Template とか Policy Generatorで楽をしよう! http://awspolicygen.s3.amazonaws.com/policygen.html

  12. IAMで 何ができる? 上級編 その1

  13. IAMで何ができる?上級編 その1 社外アクセスの 制限はできる?

  14. IAMで何ができる?上級編 その1 できます! 接続元のIPアドレスで アクセス制御

  15. IAMで何ができる?上級編 その1 ConditionのNotIpAddressで設定! { "Statement": [ { "Effect": "Deny" "Deny"

    "Deny" "Deny", "Action": "*", "Resource": "*", "Condition": { " " " "NotIpAddress NotIpAddress NotIpAddress NotIpAddress" " " ": {"aws:SourceIp":"192.0.2.1" } } } ] }

  16. IAMで何ができる?上級編 その1 ConditionのNotIpAddressで設定! { "Statement": [ { "Effect": "Deny" "Deny"

    "Deny" "Deny", "Action": "*", "Resource": "*", "Condition": { " " " "NotIpAddress NotIpAddress NotIpAddress NotIpAddress" " " ": {"aws:SourceIp":"192.0.2.1" } } } ] } EffectはDeny Conditionは NotIpAddressで設定 Allowで設定した場合、 別の権限を追加すると アクセスできてしまう。 EffectはDeny Conditionは NotIpAddressで設定 http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/AccessPolicyLa nguage_ElementDescriptions.html#Conditions_IPAddress

  17. でも、最近流行の 「社内LAN撲滅運動」 の前では無意味かな?

  18. IAMで 何ができる? 上級編 その2

  19. IAMで何ができる?上級編 その2 一時的に発行した IAMユーザを 消し忘れる。 何とかならない?

  20. IAMで何ができる?上級編 その2 できます! 削除はしないけど 有効期限設定が可能

  21. IAMで何ができる?上級編 その2 ConditionのCurrentTimeで設定! { "Statement": [ { "Effect": "Deny" "Deny"

    "Deny" "Deny", "Action": "*", "Resource": "*", "Condition": { " " " "DateGreaterThan DateGreaterThan DateGreaterThan DateGreaterThan" " " ": { " " " "aws:CurrentTime aws:CurrentTime aws:CurrentTime aws:CurrentTime" " " ": "2013-03-16T06:00:00Z" } } } ] }

  22. IAMで何ができる?上級編 その2 ConditionのCurrentTimeで設定! { "Statement": [ { "Effect": "Deny" "Deny"

    "Deny" "Deny", "Action": "*", "Resource": "*", "Condition": { " " " "DateGreaterThan DateGreaterThan DateGreaterThan DateGreaterThan" " " ": { " " " "aws:CurrentTime aws:CurrentTime aws:CurrentTime aws:CurrentTime" " " ": "2013-03-16T06:00:00Z" } } } ] } EffectはDeny Conditionは DateGreaterThan で設定 EffectはDeny Conditionは DateGreaterThan で設定 基本は"aws:CurrentTime" “aws:EpochTime“でUNIX時間も可能 http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/AccessPolicyLa nguage_ElementDescriptions.html#Conditions_Date

  23. IAMで何ができる?上級編 その2 “aws:CurrentTime”は JSTでも記述可能! ISO 8601形式で "2013-03-16T15:00:00+09:00" http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/SupportedTypes.html

  24. IAMで 何ができる? 上級編 その3

  25. IAMで何ができる?上級編 その3 日々の作業で AWSアカウントを 使用したくない!

  26. IAMで何ができる?上級編 その3 できます! (多分) AWSサポートも IAMユーザで使用可能

  27. IAMで何ができる?上級編 その3 Actionで"support:*"を設定! { "Statement": [ { "Effect": "Allow", "Action":

    " " " "sopport sopport sopport sopport:*" :*" :*" :*", "Resource": "*" } ] } http://aws.amazon.com/jp/premiumsupport/iam/

  28. IAMで何ができる?上級編 その3 IAMでAWSサポート !!

  29. IAMで何ができる?上級編 その3 AWSサポートのレベルは ビジネス以上が対応 開発者レベルは未対応! 注意

  30. まとめ • AWSアカウントは出来る限り使わない • IAMユーザは1人1個で権限を分ける • IAMユーザもアクセス元制限可能 • IAMユーザも有効期限が設定可能 •

    IAMには色々な権限がある

  31. IAMはEnterprise向けだけ とは限りません。 IAMを使いこなしましょう!