AWS Identity and Access Management

Transcript

1. AWS Identity and Access Management AWS Identity and Access Management

   ISOBE Kazuhiko (cloudpack) JAWS-UG北陸 2012-01-20 Powered by Rabbit 1.0.4 and COZMIXNG

2. 提供 このLTはcloudpackの提供で お送りいたします 01 46

3. 自己紹介 Twitter: muramasa64 cloudpackでAWSを運用 好きなAWSサービス: API 02 46

4. IAMとは AWSでアカウントを作成・管理する 機能 2010年9月にリリース 2011年5月に正式版へ 03 46

5. なぜIAMを使うのか AWSアカウントはrootと同じ 管理者以外が特定の作業をすると きは権限を適切に設定するべき IAMでアカウントと権限を管理 04 46

6. IAMでできること IAMアカウントを作成できる IAMアカウントを削除できる アカウント別に権限を付与できる 権限は細かく指定することが可能 アカウントをグルーピングできる グループに権限を付与できる 05 46

7. IAMでできること アクセスキーIDが使える X.509証明書も使える 自分で作成して登録する 06 46

8. IAMでできること AWS Management Consoleも使 える 専用のサインインページがある 与えられた権限のみ有効な状態になる 07 46

9. IAMでできること 既存の認証システムを使って AWS APIにアクセスできる (Identity Federation:ID統合) 08 46

10. ニュース Identity FederationがAWS Management Consoleに対応し ました(本日発表) 今日はIdentity Federationの話はしま せん(すみません) 09

    46

11. 主なユースケース アプリケーションで使う 委託する 10 46

12. アプリケーションで使う SimpleDBを使ったアプリ SimpleDBのみ権限を付与 他のサービスは使えないようにできるの で安全 11 46

13. アプリケーションで使う ログをS3に書きだすアプリ S3の特定バケットに書き込む権限のみ 書きこむだけでリストを見ることすらで きなくできる 12 46

14. アプリケーションで使う Snapshotを作ってバックアップ するスクリプト sudoで実行できるコマンドを制限する イメージ 13 46

15. 委託する 運用会社にアカウントを渡す アカウントの管理以外の権限を付与する (PowerUser) IAMも使えてしまうと権限をいじり放題 なのでそこは外す 14 46

16. 委託する CloudWatchだけみたい CloudWatchのみ読み取り権限を付与す る AWS Management Console用にパス ワードも設定する 15 46

17. IAMでできないこと 経理担当者に請求関連だけ見られ るようにする 残念ながら今はできません 16 46

18. 作り方 　 17 46

19. ユーザ一覧 　 18 46

20. Create User 　 19 46

21. Create User 　 20 46

22. Permissionsタブ 　 21 46

23. ポリシーの追加 　 22 46

24. ポリシーの追加 　 23 46

25. Security Credentials 　 24 46

26. パスワード設定 25 46

27. パスワード設定 26 46

28. IAM用Sign In 27 46

29. IAMでログインしたとき の表示 28 46

30. AWS Multi-Factor Authentication AWS多要素認証 (MFA) 通常のAWSアカウントとパスワードに 加えて、利用者が物理的に所有している 認証デバイスから有効な6桁の数字(ワン タイムパスワード)を使って認証する 29

    46

31. 認証デバイス 　 30 46

32. IAMアカウントでの設定 　 31 46

33. ハードデバイスの登録 32 46

34. デバイスを登録 シリアルナンバーと、デバイスに表示 される6桁の数字をふたつ入力する 33 46

35. シリアルナンバー 　 34 46

36. 登録完了 　 35 46

37. MFAサインイン 36 46

38. 敷居が高い？ デバイスを購入しないと使えない？ スマートフォンを持っていれば使え ます！ 37 46

39. Google Authenticator 　 38 46

40. Google Authenticator 物理デバイスと同様に使える 複数のアカウントを登録できる iOS, Android, Blackberryに対応 39 46

41. デバイスを登録 40 46

42. アプリの説明 41 46

43. QRコードが表示される 42 46

44. QRコードをスキャン 43 46

45. 登録完了 44 46

46. まとめ IAMを活用しましょう なんでもroot権限で実行しないのと同 じ アカウントをよりセキュアにした ければMFAを検討しましょう 45 46

47. 　 ご静聴ありがとうございました Powered by Rabbit 1.0.4 and COZMIXNG 46 46