出張！ #DevelopersIO
 IT技術ブログの中の人が語る勉強会 #2
 クラスメソッド株式会社
 
 猪股 翔(inomaso)
 
 1

クラスメソッド株式会社 AWS事業本部 ソリューションアーキテクト 猪股翔 (inomaso) Sho Inomata

3 今回お話しするブログ https://dev.classmethod.jp/ articles/cyberduck-mfa-assu merole-windows-10/

4 ブログの情報 主な対象者 ● S3へのファイル操作をグラフィカルに実施したい ● セキュリティを意識した権限設定に興味がある 学べること ● CyberDuckでAmazon S3(以下、S3と略称)へ接続するための設定

5 セッション内容 話すこと ● ブログの概要＆書ききれなかった部分の補足 ○ そもそもCyberDuckとはどんな製品なのか？ ○ S3と接続するケースで、CyberDuckを利用するとどんなメリットがあ るのか ○ 実運用を検討する場合に発生するであろう、セキュリティ周りの補足

6 ブログを参照しながら補足説明

7 CyberDuckや構成の補足 CyberDuck is 何？ ● 多機能なファイル転送ツールでグラフィカルに操作可能 ○ ファイルやフォルダをドラッグ＆ドロップで転送できる ● FTP、SFTP、クラウドストレージ（S3やGoogle Drive、DropBox、 OneDriveなど）をサポート ● WindowsとMacで利用可能 ● フリーソフトウェアのため無料で利用可能 ○ Mac App Store や Windows Storeから、寄付という形で購入するこ ともできる

8 CyberDuckや構成の補足 S3と接続するケースでのCyberDuckのメリットは？ ● AWSマネジメントコンソールだと、S3へのアップロードはファイルや フォルダをアップロード可能な反面、S3からのダウンロードはファイル 単位で操作する必要がある

9 CyberDuckや構成の補足 S3と接続するケースでのCyberDuckのメリットは？ ● MFA(多要素認証)+AssumeRoleに対応しているため、必要な権限を一時 的に割り当てることができ、IAMユーザの永続的な認証情報のみを利用 したケースと比較した場合にセキュリティが強化される

10 CyberDuckや構成の補足 S3と接続するケースでのCyberDuckのメリットは？ ● MFAの認証コードはCyberDuck上で入力可能なため、初期設定後にS3へ 接続するたびにCLI等での操作不要

11 CyberDuckや構成の補足 S3と接続するケースでのCyberDuckのメリットは？ ● AWSアカウントで利用するIAMロール毎にブックマークを作成できるた め、複数アカウントで操作する場合のストレスを軽減できる

12 信頼ポリシーの補足 IAMロールにAssumeRole可能なIAMユーザ制限 ● セキュリティ要件等で、AssumeRole可能なIAMユーザの指定が必要と なった場合は、以下のブログをご参照ねがいます。 https://dev.classmethod.jp/ articles/how-to-trust-iam-u sers-that-can-switch-role/

13 IAMロールやポリシーの補足 IAMロールやポリシーのセキュリティ考慮 ● ブログではIAMロールにAmazonS3FullAccessという強力なアクセス権 限を与えていますが、実際の現場ではIAMロールを開発者、閲覧者、デ ザイナー等の職務別に作成し最小限の権限を設定することを推奨しま す。

14 IAMロールやIAMポリシーの補足 IAMロールやポリシーのセキュリティ考慮 ● S3のアクセス制御方法について、簡単な前提知識やポリシーの書き方を まとめた以下のブログをご参照願います。 https://dev.classmethod.jp/art icles/how-to-write-resource-o f-s3-bucket-policy-and-iam-pol icy/

15