Do you use the IAM ? 如何にIAMを使いこなすか

お前だれよ？ • @maroon1st • JAWS-UG 横浜支部コアメンバー • 某メーカー系SIer勤務 • アプリケーションエンジニア ↓ インフラエンジニア • 好きなAWSサービス：RDS、STS（Security Token Service） • 好きなCDP：Bootstrapパターン

みんな IAM使ってる？

通常操作で AWSアカウントを使っては

ダメ。ゼッタイ。

普通の操作を rootでしないのと 同じ！

IAMで 何ができる？ 初級編

IAMで何ができる？初級編 •個人にIAMユーザを作成。 •アカウント共有はしない！

IAMで何ができる？初級編 権限は、IAM Groupで。 • Developer権限 • Operateor権限 • 経理/管理者権限 • etc.

IAMで何ができる？初級編 IAM Groupはユーザ毎に最大10個。 グループ権限に工夫が必要。 注意

IAMで何ができる？初級編 Policy Template とか Policy Generatorで楽をしよう！ http://awspolicygen.s3.amazonaws.com/policygen.html

IAMで 何ができる？ 上級編 その１

IAMで何ができる？上級編 その１ 社外アクセスの 制限はできる？

IAMで何ができる？上級編 その１ できます！ 接続元のIPアドレスで アクセス制御

IAMで何ができる？上級編 その１ ConditionのNotIpAddressで設定！ { "Statement": [ { "Effect": "Deny" "Deny" "Deny" "Deny", "Action": "*", "Resource": "*", "Condition": { " " " "NotIpAddress NotIpAddress NotIpAddress NotIpAddress" " " ": {"aws:SourceIp":"192.0.2.1" } } } ] }

IAMで何ができる？上級編 その１ ConditionのNotIpAddressで設定！ { "Statement": [ { "Effect": "Deny" "Deny" "Deny" "Deny", "Action": "*", "Resource": "*", "Condition": { " " " "NotIpAddress NotIpAddress NotIpAddress NotIpAddress" " " ": {"aws:SourceIp":"192.0.2.1" } } } ] } EffectはDeny Conditionは NotIpAddressで設定 Allowで設定した場合、 別の権限を追加すると アクセスできてしまう。 EffectはDeny Conditionは NotIpAddressで設定 http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/AccessPolicyLa nguage_ElementDescriptions.html#Conditions_IPAddress

でも、最近流行の 「社内LAN撲滅運動」 の前では無意味かな？

IAMで 何ができる？ 上級編 その２

IAMで何ができる？上級編 その２ 一時的に発行した ＩＡＭユーザを 消し忘れる。 何とかならない？

IAMで何ができる？上級編 その２ できます！ 削除はしないけど 有効期限設定が可能

IAMで何ができる？上級編 その２ ConditionのCurrentTimeで設定！ { "Statement": [ { "Effect": "Deny" "Deny" "Deny" "Deny", "Action": "*", "Resource": "*", "Condition": { " " " "DateGreaterThan DateGreaterThan DateGreaterThan DateGreaterThan" " " ": { " " " "aws:CurrentTime aws:CurrentTime aws:CurrentTime aws:CurrentTime" " " ": "2013-03-16T06:00:00Z" } } } ] }

IAMで何ができる？上級編 その２ ConditionのCurrentTimeで設定！ { "Statement": [ { "Effect": "Deny" "Deny" "Deny" "Deny", "Action": "*", "Resource": "*", "Condition": { " " " "DateGreaterThan DateGreaterThan DateGreaterThan DateGreaterThan" " " ": { " " " "aws:CurrentTime aws:CurrentTime aws:CurrentTime aws:CurrentTime" " " ": "2013-03-16T06:00:00Z" } } } ] } EffectはDeny Conditionは DateGreaterThan で設定 EffectはDeny Conditionは DateGreaterThan で設定 基本は"aws:CurrentTime" “aws:EpochTime“でUNIX時間も可能 http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/AccessPolicyLa nguage_ElementDescriptions.html#Conditions_Date

IAMで何ができる？上級編 その２ “aws:CurrentTime”は JSTでも記述可能！ ISO 8601形式で "2013-03-16T15:00:00+09:00" http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/SupportedTypes.html

IAMで 何ができる？ 上級編 その３

IAMで何ができる？上級編 その３ 日々の作業で AWSアカウントを 使用したくない！

IAMで何ができる？上級編 その３ できます！ (多分) AWSサポートも IAMユーザで使用可能

IAMで何ができる？上級編 その３ Actionで"support:*"を設定！ { "Statement": [ { "Effect": "Allow", "Action": " " " "sopport sopport sopport sopport:*" :*" :*" :*", "Resource": "*" } ] } http://aws.amazon.com/jp/premiumsupport/iam/

IAMで何ができる？上級編 その３ IAMでAWSサポート !!

IAMで何ができる？上級編 その３ AWSサポートのレベルは ビジネス以上が対応 開発者レベルは未対応！ 注意

まとめ • AWSアカウントは出来る限り使わない • IAMユーザは１人１個で権限を分ける • IAMユーザもアクセス元制限可能 • IAMユーザも有効期限が設定可能 • IAMには色々な権限がある

IAMはEnterprise向けだけ とは限りません。 IAMを使いこなしましょう！