Tweet
Tweet

Slide 1

Slide 1 text

©2024 Metaps Holdings, Inc. AWS Change Managerで PIMライクな権限昇格の仕組みを構築した話 株式会社メタップスホールディングス SREエンジニア 是永 総⼀郎

Slide 2

Slide 2 text

©2024 Metaps Holdings, Inc. ⾃⼰紹介 是永 総⼀郎 株式会社メタップスホールディングス SREエンジニア Soichiro Korenaga 機械設計エンジニア→インフラエンジニア →SRE JAWS-UG SRE⽀部 運営 趣味:折り紙 @s_korenaga

Slide 3

Slide 3 text

©2024 Metaps Holdings, Inc. 折り紙

Slide 4

Slide 4 text

©2024 Metaps Holdings, Inc. 社名
 株式会社メタップスホールディングス 
 (Metaps Holdings, Inc.) 
 設立
 2023年1月26日 
 資本金
 100百万円(資本準備金を含む)
 ※2023年12月末時点
 所在地
 東京都渋谷区渋谷二丁目24番12号 
 渋谷スクランブルスクエア 
 従業員数
 72名 ※2023年12月末時点
 経営陣
 代表取締役 山﨑 祐一郎 取締役   原 大輔
 取締役   青沼 克典 
 社外取締役 大谷 仁人 
 監査役   萩野矢 宏樹 事業内容
 クラウドとAIを中心にしたインキュベーション 
 テクノロジー企業への投資 
 
 MISSION テクノロジーでお金と経済のあり方を変える 
 
 世界を解き放つ 
 
 
 VISION 会社概要

Slide 5

Slide 5 text

©2024 Metaps Holdings, Inc. srestはAWSファンデーショナルテクニカルレビュー (FTR)認証を取得しています

Slide 6

Slide 6 text

©2024 Metaps Holdings, Inc. ©2024 Metaps Holdings, Inc. 無料トライアル実施中!詳しくはお声がけください。 AWSコスト管理ツール

Slide 7

Slide 7 text

©2024 Metaps Holdings, Inc. 時限的な権限昇格を⾏いたい! できれば承認制…

Slide 8

Slide 8 text

©2024 Metaps Holdings, Inc. 困りごと AWSリソースの作成‧変更で強い権限を常に使いがち 不⽤意‧不本意なAWSリソースの変更は避けたい   普段は低い権限で操作して、必要な時のみ権限を強くしたい 大いなる力には大いなる責任が伴うぞ

Slide 9

Slide 9 text

©2024 Metaps Holdings, Inc. PIMについて PIM(Privileged Identity Management)とは  アクセス権限を制御、管理、監視するもの 最⼤の特徴:権限を時限的に付与できる 導⼊にはユーザー管理⽅法⾃体を変えなければならない ハードル⾼い…

Slide 10

Slide 10 text

©2024 Metaps Holdings, Inc. 諦めかけていたその時 今のユーザー管理(IIC)のままで承認制で時限的に権限昇格 そんな上⼿い話… AWS Systems Manager Change Managerでできそう やってみた

Slide 11

Slide 11 text

©2024 Metaps Holdings, Inc. Change Managerについて AWS Systems Manager Change Manager:  アプリケーションの設定とインフラストラクチャに対する運⽤上の変更をリクエスト、承認、 実装、および報告するためのエンタープライズ変更管理フレームワーク つまり… 設定した操作を承認制で実⾏できる 権限昇格を設定すればPIMライクなフローが作成できる! ⼒ が ほ し い の な ら ば く れ て や る ! !

Slide 12

Slide 12 text

©2024 Metaps Holdings, Inc. 実際にやってみた

Slide 13

Slide 13 text

©2024 Metaps Holdings, Inc. Step 1 AWS Systems Manager Documentで実⾏フローを作成 今回は時限的な権限昇格なので IICのグループにユーザーを追加 指定の時間待機 IICのグループからユーザーを削除

Slide 14

Slide 14 text

©2024 Metaps Holdings, Inc. Step 2 AWS Systems Manager Change Managerでテンプレートを作成 テンプレートでは… ‧実⾏するDocument ‧承認者 ‧実⾏スケジュール ‧申請時の通知先 等を設定

Slide 15

Slide 15 text

©2024 Metaps Holdings, Inc. Step 3 申請! どのテンプレートを使うか 承認者を誰にするか 開始時刻の指定 パラメータ 等を⼊⼒

Slide 16

Slide 16 text

©2024 Metaps Holdings, Inc. Step 4 承認! コメントを添えて申請を承認

Slide 17

Slide 17 text

©2024 Metaps Holdings, Inc. 権限昇格できた 申請が承認されるとアクセスポータルで権限付与されていることを確認 ⼀定時間後、権限がなくなっていることを確認 再ログインが必要なの⾯倒…

Slide 18

Slide 18 text

©2024 Metaps Holdings, Inc. 成果 AWS Systems Manager Change Managerで承認時のみ権限昇格できた! 課題もいくつか ‧他のアカウントでも承認できるようにしたい ‧緊急時のフローを整備したい ‧他の⾃動化にも使えそう