©Fusic Co., Ltd. 0 re:Invent2024で広がった AWS Verified Accessの可能性を探る 2025.02.06 Mai Miyazaki @maimyyym F x F AWS Service Partner2社でre:Invent2024 DeepDive

©Fusic Co., Ltd. 1 Introduction 宮 崎 真 衣 M A I M I YA Z A K I HN: mai (@maimyyym ) 株式会社Fusic 事業本部 技術創造部門 / エンジニア ◉ I am - IDDM(1型糖尿病) 3歳発症 - 元百貨店スタッフ（Beauty Counselor） - 2023年10月 Fusic入社 - re:Invent 2024 ABWGrant ◉ Skill - AWS / Python / TypeScript / PHP(Laravel) - Interested in: Security, Identity & Compliance ◉ Comment - 初re:Invent、初海外でした！ 画像 Click!

©Fusic Co., Ltd. 2 CONTENTS 目次 1. AWS Verified Accessとは 2. AWS Verified Accessの今までとこれから 3. やりたいことをやってみた 4. 今回のアップデートでうれしいこと

©Fusic Co., Ltd. 3 AWS Verified Accessとは 1

©Fusic Co., Ltd. 4 AWS Verified Accessとは？ AWS Verified Accessとは AWS内のアプリケーションへの安全なアクセスをVPN-lessで提供するサービス ゼロトラストセキュリティモデルに基づいている Verified Accessを構築すると、 明示的にポリシーを設定しないと 全てのアクセスが拒否される。 ネットワーク境界を問わず「何も信頼しない」を前提とした考え方 ネットワークの場所だけではなく、 IDやデバイスなどの信頼を証明して アクセス権を付与。

©Fusic Co., Ltd. 5 AWS Verified Accessの今までとこれから 2

©Fusic Co., Ltd. 6 AWS Verified Accessの今まで AWS Verified Accessの今までとこれから HTTP(S)のみ対応していた = AWS上で動くアプリケーションやAPI

©Fusic Co., Ltd. 7 AWS Verified Accessのアップデート AWS Verified Accessの今までとこれから non-HTTP(S)プロトコル（TCP通信）に対応！（プレビュー） つまり、22（SSH）や3306（MySQL）等 さまざまなプロトコルによるアクセスをゼロトラストベースで制御できる AWS上のアプリケーション(Webシステム) だけでなくリソース(EC2やRDSなど)への より厳密なアクセス制御が可能

©Fusic Co., Ltd. 8 non-HTTP(S)接続に必要なもの AWS Verified Accessの今までとこれから 専用の接続クライアントConnectivity Clientが必要 クライアントが接続されている限り、アクセス許可される https://docs.aws.amazon.com/ja_jp/verified-access/latest/ug/connectivity-client.html VerifiedAccess側でプロバイダー等の設定し、 クライアント設定ファイルをエクスポート後 この状態で、 SSH接続や DB接続が可能！

©Fusic Co., Ltd. 9 やりたいことをやってみた 3

©Fusic Co., Ltd. 10 プライベートなEC2にSSH接続 AWS Verified Accessでやりたいことをやってみた どうしますか？ SSM？インスタンスコネクト？ Session Manager Instance Connect

©Fusic Co., Ltd. 11 プライベートなEC2にSSH接続 AWS Verified Accessでやりたいことをやってみた どうしますか？ SSM？Instance Connect？ Session Manager Instance Connect Verified Access NEW!

©Fusic Co., Ltd. 12 RDSにDBクライアントで接続したい AWS Verified Accessでやりたいことをやってみた どうしますか？ 踏み台サーバーでポートフォワーディング？ Session Manager Instance Connect

©Fusic Co., Ltd. 13 RDSにDBクライアントで接続したい AWS Verified Accessでやりたいことをやってみた どうしますか？ 踏み台サーバーでポートフォワーディング？ Session Manager Instance Connect Verified Access NEW!

©Fusic Co., Ltd. 14 今回のアップデートでうれしいこと 4

©Fusic Co., Ltd. 15 ゼロトラストはもちろん・・・だけど 今回のアップデートでうれしいこと 踏み台サーバーが不要で安全な接続を実現できる より厳密なアクセス制御でのインスタンスへの接続を実現できる

©Fusic Co., Ltd. 16 ゼロトラストはもちろん・・・だけど 今回のアップデートでうれしいこと 踏み台サーバーが不要で安全な接続を実現できる より厳密なアクセス制御でのインスタンスへの接続を実現できる ・・・いろいろ使いやすくなる！ と単純に思いついたけど、いつでも採用できるコストではない

©Fusic Co., Ltd. 17 プライベートなEC2へのSSH選択肢 今回のアップデートでうれしいこと 比較してみる どれを選んでもアクセスの制限(=パブリックにしないこと)は可能 Instance Connect Session Manager Verified Access 実現できる要件 EC2のセキュリティグループでの アクセス制御(22番は空ける必要あり) ログや可用性等の要件がある IAMでのアクセス制御 ID認証した上で、 ポリシー定義により 細かなアクセス制御が可能 手軽さ エンドポイントと セキュリティグループの設定 エンドポイント(複数)とIAMロール クライアント証明書 SSHキーの管理が必要 料金(転送量は除 く) 無料 VPCエンドポイントの料金 USD 0.014 / 時間 エンドポイントの料金 USD 0.26/時間

©Fusic Co., Ltd. 18 プライベートなEC2へのSSH選択肢 今回のアップデートでうれしいこと 考察してみる 実装・管理・料金のコストと実現したいセキュリティ要件とのバランス Instance Connect Session Manager Verified Access 実現できる要件 EC2のセキュリティグループでの アクセス制御(22番は空ける必要あり) ログや可用性等の要件がある IAMでのアクセス制御 ID認証した上で、 ポリシー定義により 細かなアクセス制御が可能 手軽さ エンドポイントと セキュリティグループの設定 エンドポイント(複数)とIAMロール クライアント証明書 SSHキーの管理が必要 料金(転送量は除 く) 無料 VPCエンドポイントの料金 USD 0.014 / 時間 エンドポイントの料金 USD 0.26/時間 シンプルな管理用サーバー 少人数での開発利用向き 一定の組織要件を 踏まえた小中規模での 管理利用 大規模な開発組織に おける仕組み化された アクセス制御を要する

©Fusic Co., Ltd. 19 もっと望みたくもなる 今回のアップデートでうれしいこと o プライベートAPIGatewayへの接続も対応してほしい ▪ どうしても踏み台が必要 ▪ HTTPSではあるので、前からサポートしているかと思いきや… • 証明書の設定が必要 = プライベートAPIGatewayはできない o アクティブ・非アクティブな状態を切り替えたい ▪ アクティブなエンドポイントの時間に課金される ▪ 使わない時は非アクティブにすることができれば 料金をおさえられるのに… • 実体を考えると、難しそう

©Fusic Co., Ltd. 20 Verified Accessのアップデートと出会えてよかった 今回のアップデートでうれしいこと o AWS内のインスタンスリソースに対する、 クライアントレベルでのアクセス制御の選択肢を知った o アップデートを通じて改めてリソースへの接続について 整理できた

©Fusic Co., Ltd. 21 Thank You We are Hiring! https://recruit.fusic.co.jp/ ご清聴いただきありがとうございました