jaws-days 2013 yokohama IAM

Ae763d151aeee101b40ae10cc13ebe63?s=47 maroon1st
March 29, 2013
Programming
0
140

jaws-days 2013 yokohama IAM

JAWS DAYS 2013の横浜支部枠でIAMについて発表した資料です。

Ae763d151aeee101b40ae10cc13ebe63?s=128

maroon1st

March 29, 2013
Tweet

More Decks by maroon1st

See All by maroon1st
Ae763d151aeee101b40ae10cc13ebe63?s=48 maroon1st
0
21
Ae763d151aeee101b40ae10cc13ebe63?s=48 maroon1st
0
1k
Ae763d151aeee101b40ae10cc13ebe63?s=48 maroon1st
0
400
Ae763d151aeee101b40ae10cc13ebe63?s=48 maroon1st
0
1.3k
Ae763d151aeee101b40ae10cc13ebe63?s=48 maroon1st
0
820
Ae763d151aeee101b40ae10cc13ebe63?s=48 maroon1st
0
1.4k
Ae763d151aeee101b40ae10cc13ebe63?s=48 maroon1st
4
4.2k
Ae763d151aeee101b40ae10cc13ebe63?s=48 maroon1st
13
11k
Ae763d151aeee101b40ae10cc13ebe63?s=48 maroon1st
1
800

Other Decks in Programming

See All in Programming
744a38d972036c3bd0bcdaddafdd5f26?s=48 mathetake
4
2.2k
58c7dad4dc33a4aeec9f4e63e9355528?s=48 otty375
0
130
41a66760b3483d518d9e48a7da37f91b?s=48 shibadog1121
9
1.7k
C302e84057a922dce0ecbe80207e3fcc?s=48 mu_zaru
0
120
35e08efcf39d692f540047fb756eb4e3?s=48 konifar
1
960
5fc8ab822e946a8ddfa46ba15a848392?s=48 fuqda
1
160
88493e31e8ac7540094d35f7cda46c8a?s=48 lnit
8
3.2k
D9e4d5a4b36f83fbde1076815df1362f?s=48 bmack
0
380
9fbbe5d0b8e2ee1cdc3a576b55a2d63d?s=48 uzimaru0000
0
240
1b863be3048c82d20ea84abcce33dc36?s=48 schktjm
0
170
15934fa2aa7b2ce21f091e9b7cffa856?s=48 manfredsteyer
0
190
1763273018a6f71ffe4162dd57b60a56?s=48 maryang
0
430

Featured

See All Featured
E195ae45320d9202eaa01c9f1d31a416?s=48 marktimemedia
4
73
7fa6101cd43067653cf4ac6c7ca54305?s=48 akmur
252
19k
9cde37f47e4a800ea081ea42de8d749a?s=48 dougneiner
55
5.3k
462dad0dd24c568a32dcdb0ae895ae1b?s=48 rasmusluckow
314
18k
B3d6434763caa0ef5dc4b792662c49f7?s=48 smashingmag
281
46k
C1daf20e5c49ff910745198ef9869ac2?s=48 hatefulcrawdad
257
16k
B83d5b590577969ee79a5ad845411a7d?s=48 ammeep
652
54k
48c098b6579220a67a6ba949be6e4b5a?s=48 revolveconf
195
9.4k
A9179349dd2bdc67f377719f56d85656?s=48 garrettdimon
283
110k
651dcfe41723207fbb0aa044a4f7c07f?s=48 dotmariusz
93
5k
Bfd6b681ec6e8c9bef82ff0521c364f7?s=48 kastner
51
1.8k
6804f1775cb4babfcc3851298566fbce?s=48 tanoku
84
8.3k

Transcript

  1. Do you use the IAM ? 如何にIAMを使いこなすか

  2. お前だれよ? • @maroon1st • JAWS-UG 横浜支部コアメンバー • 某メーカー系SIer勤務 • アプリケーションエンジニア

    ↓ インフラエンジニア • 好きなAWSサービス:RDS、STS(Security Token Service) • 好きなCDP:Bootstrapパターン

  3. みんな IAM使ってる?

  4. 通常操作で AWSアカウントを使っては

  5. ダメ。ゼッタイ。

  6. 普通の操作を rootでしないのと 同じ!

  7. IAMで 何ができる? 初級編

  8. IAMで何ができる?初級編 •個人にIAMユーザを作成。 •アカウント共有はしない!

  9. IAMで何ができる?初級編 権限は、IAM Groupで。 • Developer権限 • Operateor権限 • 経理/管理者権限 •

    etc.

  10. IAMで何ができる?初級編 IAM Groupはユーザ毎に最大10個。 グループ権限に工夫が必要。 注意

  11. IAMで何ができる?初級編 Policy Template とか Policy Generatorで楽をしよう! http://awspolicygen.s3.amazonaws.com/policygen.html

  12. IAMで 何ができる? 上級編 その1

  13. IAMで何ができる?上級編 その1 社外アクセスの 制限はできる?

  14. IAMで何ができる?上級編 その1 できます! 接続元のIPアドレスで アクセス制御

  15. IAMで何ができる?上級編 その1 ConditionのNotIpAddressで設定! { "Statement": [ { "Effect": "Deny" "Deny"

    "Deny" "Deny", "Action": "*", "Resource": "*", "Condition": { " " " "NotIpAddress NotIpAddress NotIpAddress NotIpAddress" " " ": {"aws:SourceIp":"192.0.2.1" } } } ] }

  16. IAMで何ができる?上級編 その1 ConditionのNotIpAddressで設定! { "Statement": [ { "Effect": "Deny" "Deny"

    "Deny" "Deny", "Action": "*", "Resource": "*", "Condition": { " " " "NotIpAddress NotIpAddress NotIpAddress NotIpAddress" " " ": {"aws:SourceIp":"192.0.2.1" } } } ] } EffectはDeny Conditionは NotIpAddressで設定 Allowで設定した場合、 別の権限を追加すると アクセスできてしまう。 EffectはDeny Conditionは NotIpAddressで設定 http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/AccessPolicyLa nguage_ElementDescriptions.html#Conditions_IPAddress

  17. でも、最近流行の 「社内LAN撲滅運動」 の前では無意味かな?

  18. IAMで 何ができる? 上級編 その2

  19. IAMで何ができる?上級編 その2 一時的に発行した IAMユーザを 消し忘れる。 何とかならない?

  20. IAMで何ができる?上級編 その2 できます! 削除はしないけど 有効期限設定が可能

  21. IAMで何ができる?上級編 その2 ConditionのCurrentTimeで設定! { "Statement": [ { "Effect": "Deny" "Deny"

    "Deny" "Deny", "Action": "*", "Resource": "*", "Condition": { " " " "DateGreaterThan DateGreaterThan DateGreaterThan DateGreaterThan" " " ": { " " " "aws:CurrentTime aws:CurrentTime aws:CurrentTime aws:CurrentTime" " " ": "2013-03-16T06:00:00Z" } } } ] }

  22. IAMで何ができる?上級編 その2 ConditionのCurrentTimeで設定! { "Statement": [ { "Effect": "Deny" "Deny"

    "Deny" "Deny", "Action": "*", "Resource": "*", "Condition": { " " " "DateGreaterThan DateGreaterThan DateGreaterThan DateGreaterThan" " " ": { " " " "aws:CurrentTime aws:CurrentTime aws:CurrentTime aws:CurrentTime" " " ": "2013-03-16T06:00:00Z" } } } ] } EffectはDeny Conditionは DateGreaterThan で設定 EffectはDeny Conditionは DateGreaterThan で設定 基本は"aws:CurrentTime" “aws:EpochTime“でUNIX時間も可能 http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/AccessPolicyLa nguage_ElementDescriptions.html#Conditions_Date

  23. IAMで何ができる?上級編 その2 “aws:CurrentTime”は JSTでも記述可能! ISO 8601形式で "2013-03-16T15:00:00+09:00" http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/SupportedTypes.html

  24. IAMで 何ができる? 上級編 その3

  25. IAMで何ができる?上級編 その3 日々の作業で AWSアカウントを 使用したくない!

  26. IAMで何ができる?上級編 その3 できます! (多分) AWSサポートも IAMユーザで使用可能

  27. IAMで何ができる?上級編 その3 Actionで"support:*"を設定! { "Statement": [ { "Effect": "Allow", "Action":

    " " " "sopport sopport sopport sopport:*" :*" :*" :*", "Resource": "*" } ] } http://aws.amazon.com/jp/premiumsupport/iam/

  28. IAMで何ができる?上級編 その3 IAMでAWSサポート !!

  29. IAMで何ができる?上級編 その3 AWSサポートのレベルは ビジネス以上が対応 開発者レベルは未対応! 注意

  30. まとめ • AWSアカウントは出来る限り使わない • IAMユーザは1人1個で権限を分ける • IAMユーザもアクセス元制限可能 • IAMユーザも有効期限が設定可能 •

    IAMには色々な権限がある

  31. IAMはEnterprise向けだけ とは限りません。 IAMを使いこなしましょう!