Slide 1
Slide 1 text
IAM ロールはエクスカリバー
~イメージでつかむ IAM ロールの世界~
2023/7/25
Slide 2
Slide 2 text
目次 2
はじめに
IAM ロール概要
IAM ロールが安全と言われるわけ
IAM ロールを使えば本当に安全なのか
100% のセキュリティ対策は難しい
Slide 3
Slide 3 text
目次 3
はじめに
IAM ロール概要
IAM ロールが安全と言われるわけ
IAM ロールを使えば本当に安全なのか
100% のセキュリティ対策は難しい
Slide 4
Slide 4 text
はじめに
Slide 5
Slide 5 text
はじめに 5
• 概念を理解いただくためイメージを多用しており、
正確性に欠ける表現が含まれる場合がございます。
• 概念の理解に重点を置いており、具体的な
IAM ロールの作成方法や設定方法については
記載しておりません。
• 具体的かつ正確性の高い情報を求めている方は、
そっとお戻りください。
Slide 6
Slide 6 text
6
登場人物の紹介
はじめに
※イメージです
※イメージです
Slide 7
Slide 7 text
目次 7
はじめに
IAM ロール概要
IAM ロールが安全と言われるわけ
IAM ロールを使えば本当に安全なのか
100% のセキュリティ対策は難しい
Slide 8
Slide 8 text
IAM ロール概要
Slide 9
Slide 9 text
IAM ロール概要 9
ロール?
Slide 10
Slide 10 text
IAM ロール概要 10
Role
(俳優の)役、役割、任務、役目、本務
Weblio 英和辞典 和英辞典:https://ejje.weblio.jp/content/role
Slide 11
Slide 11 text
11
AWS リソースに何かしらの「役割」を担わせるもの
IAM ロール概要
?
役割を持った者
役割を全うするための
権限を持った者になる
Amazon EC2 IAM ロール
※イメージです
※イメージです
Slide 12
Slide 12 text
12
力のない人間に使命を担わせるために力を与える
IAM ロール概要
https://dev.classmethod.jp/articles/iam-role-passrole-assumerole/
※イメージです
※イメージです
Slide 13
Slide 13 text
13
IAM ロール概要
力のない人間に使命を担わせるために力を与える
※イメージです
※イメージです
Slide 14
Slide 14 text
14
IAM ロール概要
剣に力を宿す
※イメージです
※イメージです
Slide 15
Slide 15 text
15
選ばれし勇者は剣を使うことができる
IAM ロール概要
※イメージです
※イメージです
Slide 16
Slide 16 text
16
IAM ロールに IAM ポリシー(権限)を付与する
IAM ロール概要
IAM ロール
IAM ポリシー
(権限)
IAM ロール
IAM ポリシー
(権限)
Slide 17
Slide 17 text
17
principal は IAM ロールを
引き受ける(AssumeRole)ことができる
IAM ロール概要
Amazon EC2
(principal)
Amazon EC2
(principal)
IAM ロール
IAM ポリシー(権限)
Slide 18
Slide 18 text
18
選ばれし勇者は
無限に剣を使うことができるわけではない
IAM ロール概要
※イメージです
※イメージです
Slide 19
Slide 19 text
19
選ばれし勇者は
無限に剣を使うことができるわけではない
IAM ロール概要
※イメージです
※イメージです
Slide 20
Slide 20 text
20
IAM ロール概要
※イメージです
※イメージです
エクスカリバーを守る妖精が存在し、
エクスカリバーのエネルギーの源を絶えず
供給し続けている
Slide 21
Slide 21 text
21
IAM ロール概要
エクスカリバーを守る妖精が存在し、
エクスカリバーのエネルギーの源を絶えず
供給し続けている
IAM ロール
一時的な
クレデンシャル
AWS STS
Slide 22
Slide 22 text
22
AWS STS(Security Token Service)は
IAM ロールの一時的な認証情報(クレデンシャル)を
発行する
IAM ロール概要
IAM ロール
一時的な
クレデンシャル
IAM ユーザー
永続的な
クレデンシャル
Slide 23
Slide 23 text
23
AWS STS(Security Token Service)は
IAM ロールの一時的な認証情報(クレデンシャル)を
発行する
IAM ロール概要
IAM ロール
IAM ユーザー
永続的な
クレデンシャル
一時的な
クレデンシャル
Slide 24
Slide 24 text
24
AWS STS(Security Token Service)は
IAM ロールの一時的な認証情報(クレデンシャル)を
発行する
IAM ロール概要
IAM ロール
一時的な
クレデンシャル
AWS STS
Slide 25
Slide 25 text
25
AWS STS(Security Token Service)は
IAM ロールの一時的な認証情報(クレデンシャル)を
発行する
IAM ロール概要
IAM ロール
一時的な
クレデンシャル
AWS STS
Slide 26
Slide 26 text
26
登場人物の対応
IAM ロール概要
※イメージです
※イメージです
Slide 27
Slide 27 text
27
登場人物の対応
IAM ロール概要
※イメージです
※イメージです
IAM ロール
IAM ポリシー
一時的な認証情報
(クレデンシャル)
AWS STS
principal
Slide 28
Slide 28 text
28
妖精がいないと旅立ちから一定の時間で剣は力を失い
力のない勇者は GAME OVER
IAM ロール概要
Slide 29
Slide 29 text
29
IAM ロール概要
私が愚かだった…
妖精がいないと旅立ちから一定の時間で剣は力を失い
力のない勇者は GAME OVER
Slide 30
Slide 30 text
30
• IAM ロールは AWS リソースに何かしらの「役割」を
担わせる
• IAM ロールには IAM ポリシー(権限)を付与する
• principal(AWS リソース)は IAM ロールを
引き受ける(AssumeRole)
• AWS STS は IAM ロールの
一時的な認証情報(クレデンシャル)を発行する
IAM ロール概要
Slide 31
Slide 31 text
目次 31
はじめに
IAM ロール概要
IAM ロールが安全と言われるわけ
IAM ロールを使えば本当に安全なのか
100% のセキュリティ対策は難しい
Slide 32
Slide 32 text
IAM ロールが安全と言われるわけ
Slide 33
Slide 33 text
33
認証情報をコードに直接埋め込むことなく、IAM ロールが
一時的な認証情報を通じてアクセス可能にしてくれる
IAM ロールが安全と言われるわけ
S3 EC2
Source code
S3 EC2
IAM ロール
永続的なクレデンシャル
Source code
一時的なクレデンシャル
Slide 34
Slide 34 text
34
AWS STS(Security Token Service)は
IAM ロールの一時的な認証情報(クレデンシャル)を
発行する
IAM ロールが安全と言われるわけ
IAM ロール
一時的な
クレデンシャル
IAM ユーザー
永続的な
クレデンシャル
Slide 35
Slide 35 text
35
IAM ロールが安全と言われるわけ
IAM ユーザー
永続的な
クレデンシャル
永遠に失われない
強い力を常に持つ
もしすべてが永続的なクレデンシャルで管理されるとしたら
Slide 36
Slide 36 text
36
もしすべてが永続的なクレデンシャルで管理されるとしたら
IAM ロールが安全と言われるわけ
永遠に失われない強い力
うわあああ
悪い奴が攻撃してきた
力を盗んでやろう
Slide 37
Slide 37 text
37
もしすべてが永続的なクレデンシャルで管理されるとしたら
IAM ロールが安全と言われるわけ
永続的な認証情報
(クレデンシャル)
principal
認証情報を
盗んでやろう
うわあああ
情報が盗まれ改ざんされた
勝手に高額インスタンスを
立ち上げられた
Slide 38
Slide 38 text
38
もしすべてが永続的なクレデンシャルで管理されるとしたら
IAM ロールが安全と言われるわけ
強い力には危険が伴う…
Slide 39
Slide 39 text
39
IAM ロールが安全と言われるわけ
一時的な
クレデンシャル
IAM ロール
一時的なクレデンシャルで管理されるとしたら
強い力には
時間制限がある
Slide 40
Slide 40 text
40
IAM ロールが安全と言われるわけ
時間制限がある力
一時的なクレデンシャルで管理されるとしたら
時間切れになったら
新しい力を与えます
いつでも
新鮮な力だ!
力を盗んだが、
時間切れで
使えなくなってしまった
Slide 41
Slide 41 text
41
IAM ロールが安全と言われるわけ
一時的なクレデンシャルで管理されるとしたら
時間切れになったら
新しい認証情報
(クレデンシャル)を与えます
一時的な認証情報
(クレデンシャル)
認証情報を盗んだが、
時間切れで
使えなくなってしまった
Slide 42
Slide 42 text
42
• 認証情報を AWS リソースやプログラムコードに
直接埋め込むことなく、IAM ロールが一時的な認証情報
を通じてアクセス可能にしてくれる
• AWS STS が発行する一時的な認証情報
(クレデンシャル)は自動的にローテーションされるため、
漏洩しても攻撃者がそれを永続的に
使用することができない
IAM ロールが安全と言われるわけ
Slide 43
Slide 43 text
目次 43
はじめに
IAM ロール概要
IAM ロールが安全と言われるわけ
IAM ロールを使えば本当に安全なのか
100% のセキュリティ対策は難しい
Slide 44
Slide 44 text
IAM ロールを使えば
本当に安全なのか
Slide 45
Slide 45 text
IAM ロールを使えば本当に安全なのか
IAM ロールを利用しているから安心?
45
Slide 46
Slide 46 text
46
IAM ロールを使えば本当に安全なのか
時間制限がある力
一度盗まれたということは、侵入経路がバレているということ
侵入経路はわかっている
時間切れで使えなくなってしまうなら
繰り返し盗み続ければいい
うわあああ
悪い奴が攻撃してきた
Slide 47
Slide 47 text
47
IAM ロールを使えば本当に安全なのか
一度盗まれたということは、侵入経路がバレているということ
一時的な認証情報
(クレデンシャル)
侵入経路はわかっている
時間切れで使えなくなってしまうなら
繰り返し盗み続ければいい
うわあああ
情報が盗まれ改ざんされた
勝手に高額インスタンスを
立ち上げられた
Slide 48
Slide 48 text
48
敵に悪用され、仲間に害を及ぼす存在に
変貌してしまった場合
IAM ロールを使えば本当に安全なのか
うわあああ
仲間だと思っていた勇者が
攻撃してきた
お前も鬼に
ならないか?
確かに
それもいいな
時間制限がある力
Slide 49
Slide 49 text
49
攻撃者によって悪用され、システム全体や他のサーバーに
害を及ぼす存在に変貌してしまった場合
IAM ロールを使えば本当に安全なのか
確かに
それもいいな
うわあああ
自社システム内のインスタンスが
情報を改ざんしたり
マルウェアをばらまいたりしている
権限のあるインスタンスに
侵入して悪さをしよう
一時的な認証情報
(クレデンシャル)
Slide 50
Slide 50 text
50
• 一時的な認証情報が盗まれ続ける可能性がある
• 特に EC2 インスタンスに IAM ロールを付与する場合は
IMDS v2 を利用するなどの対策をする
• そもそもシステム内部に侵入させないようアクセス元を
適切に制限し、ユーザー入力の検証とサニタイズを行い
入力の悪用を防止する
• 不審な挙動を発見したら速やかに隔離し権限を
はく奪する
IAM ロールを使えば本当に安全なのか
Slide 51
Slide 51 text
目次 51
はじめに
IAM ロール概要
IAM ロールが安全と言われるわけ
IAM ロールを使えば本当に安全なのか
100% のセキュリティ対策は難しい
Slide 52
Slide 52 text
100% のセキュリティ対策は難しい
Slide 53
Slide 53 text
53
• IAM ロールは重要な防御手段だが万能ではない
• セキュリティは攻撃 First
• 攻撃手法は絶えず進化している
• 99% の対策を目指す
100% のセキュリティ対策は難しい
Slide 54
Slide 54 text
99% を目指して頑張りましょう
100% のセキュリティ対策は難しい 54
Slide 55
Slide 55 text
参考 55
Weblio 英和辞典 和英辞典 より
https://ejje.weblio.jp/content/role
いらすとや
https://www.irasutoya.com/
インスタンスメタデータとユーザーデータ
https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2-instance-metadata.html
[待望のアプデ]EC2インスタンスメタデータサービスv2がリリースされてSSRF脆弱性等への攻
撃に対するセキュリティが強化されました!
https://dev.classmethod.jp/articles/ec2-imdsv2-release/
選ばれし勇者の声 Amazon Polly – ニューラル 日本語 Takumi
敵の声 Amazon Polly – ニューラル 日本語 Tomoko
妖精、仲間の声 Amazon Polly – ニューラル 日本語 Kazuha
https://aws.amazon.com/jp/polly/
Slide 56
Slide 56 text
No content