Save 37% off PRO during our Black Friday Sale! »

AWS研修 AWS IAM

85da685d91fda190e2e3162d0de248a4?s=47 Recruit
August 18, 2021
Technology
1
1.6k

AWS研修 AWS IAM

2021年度リクルート エンジニアコース新人研修の講義資料です

85da685d91fda190e2e3162d0de248a4?s=128

Recruit

August 18, 2021
Tweet

More Decks by Recruit

See All by Recruit
85da685d91fda190e2e3162d0de248a4?s=48 recruitengineers
0
14
85da685d91fda190e2e3162d0de248a4?s=48 recruitengineers
0
170
85da685d91fda190e2e3162d0de248a4?s=48 recruitengineers
0
19
85da685d91fda190e2e3162d0de248a4?s=48 recruitengineers
0
280
85da685d91fda190e2e3162d0de248a4?s=48 recruitengineers
2
290
85da685d91fda190e2e3162d0de248a4?s=48 recruitengineers
1
290
85da685d91fda190e2e3162d0de248a4?s=48 recruitengineers
0
61
85da685d91fda190e2e3162d0de248a4?s=48 recruitengineers
1
140
85da685d91fda190e2e3162d0de248a4?s=48 recruitengineers
1
48

Other Decks in Technology

See All in Technology
F15db152a0cf9f1f0572cbb456b100c2?s=48 fuzzy31u
0
160
73c9d1065e0075a9da6e404e08fe77fb?s=48 siroitori0413
0
140
Dd228ece3eac622c0b1b5f71f54b29ea?s=48 chisaton
0
210
40638b9e3a098313234f358d35103735?s=48 y150saya
0
920
7ba12981020b07491850af953d794f54?s=48 aoi1
26
10k
C80cc1be4014976c0d0312a5637b0686?s=48 ave
0
110
8d80af14296180866264212adbfb587e?s=48 godan
0
150
Ca6281fff64797dc419b78f51f25c0a5?s=48 fujiwara3
PRO
4
750
97a7f7899e0df28c3636b8d44bbe6578?s=48 korodroid
0
280
1dc3bd1bd5485382541fcbfa225a9b22?s=48 tsubasa_umeuchi
2
600
40c17fd99791bbfbed1730cd1ae5a2c0?s=48 mii3king
0
210
8d0803aa4572615f7bce5f5288e6b716?s=48 mochan_tk
0
690

Featured

See All Featured
5f50f94346fbcb23706f0707169317a4?s=48 aarron
261
37k
1177e050db6bafe62885362edf6e3537?s=48 lauravandoore
443
29k
A60068bce2e73de3a37ca9d2dbe36092?s=48 bryan
105
12k
433acaea1012b25d97ae66da9b998dad?s=48 malarkey
122
16k
9952dfcd5d338f8a8e7175c8a8f65fb5?s=48 wjessup
342
16k
0bce06bd06ee7a2c4f5500f25dcf7f18?s=48 paulrobertlloyd
74
1.7k
96270e4c3e5e9806cf7245475c00b275?s=48 addyosmani
1352
200k
4394ceb8b277f35ee3da7030384efb5d?s=48 davidbonilla
75
3.8k
C0b42577cfc2b321be3474618107e933?s=48 samanthasiow
61
6.9k
F57e2136eb9895eb95ff5dc8a1c02677?s=48 zakiwarfel
91
3.7k
053e75a5b48b44d6dd0612795dfb326d?s=48 notwaldorf
55
3.5k
4262b9cfacfb6b2c77f23e1d0310cd3e?s=48 myddelton
110
11k

Transcript

  1. AWS IAM 株式会社リクルート クラウドアーキテクトグループ

  2. AWS IAMとは 正式名称は、AWS Identity and Access Management • 主な役割 •

    AWSリソースを操作するための認証・認可の仕組みを提供します 2

  3. 認証と認可 • 認証 • 誰なのか、本⼈なのかを確認する • 認可 • 認証された⼈が実⾏可能なアクションの範囲を定める 3

    (リクルートの) 社員証 認証と認可の例 オフィスにおける社員証を使った⼊室管理を考える 認証 社員証を持っている = 本⼈ (実際には写真と照合したりもする) リクルートオフィスのドア 他社オフィスのドア ドアは開く ドアは開かない 認可

  4. 主たる役割を提供するための機能 • 権限管理を⽀援するための各種概念と仕組みの提供 • 多要素認証のための仕組みの提供 • パスワードだけでなく他の要素とも組み合わせて認証を⾏います • ⼀時的な認証トークンを使った権限の委任(後述) •

    権限を指定した⼈などに委任することができます • 他のIDプロバイダとの連携 • 他のIDプロバイダ(AzureADなど)と連携することができます 4 Authenticatorアプリ YubiKey RSAのあれ

  5. 主たる役割を提供するための機能 • 権限管理を⽀援するための各種概念と仕組みの提供 • 多要素認証のための仕組みの提供 • パスワードだけでなく他の要素とも組み合わせて認証を⾏います • ⼀時的な認証トークンを使った権限の委任(後述) •

    権限を指定した⼈などに委任することができます • 他のIDプロバイダとの連携 • 他のIDプロバイダ(AzureADなど)と連携することができます 5 Authenticatorアプリ YubiKey RSAのあれ

  6. AWS IAMとは 認証・認可の仕組みを通じて ⼈やモノ(AWSリソースなど) が操作可能な範囲を 安全かつ容易に規定するためのサービス 6

  7. 主たる役割を提供するための機能 • 権限管理を⽀援するための各種概念と仕組みの提供 • 多要素認証のための仕組みの提供 • パスワードだけでなく他の要素とも組み合わせて認証を⾏います • ⼀時的な認証トークンを使った権限の委任(後述) •

    権限を指定した⼈などに委任することができます • 他のIDプロバイダとの連携 • 他のIDプロバイダ(AzureADなど)と連携することができます 7 Authenticatorアプリ YubiKey RSAのあれ

  8. IAMを構成する概念 8 IAMプリンシパル IAMポリシー IAMユーザー IAMロール 他 (AWSサービスやアプリ ケーション) 管理ポリシー

    AWS管理ポリシー カスタム管理ポリシー インラインポリシー リソースや⼈に割り当てる単位 IAMプリンシパルに割り当てる 権限の集まり リソースポリシー

  9. IAMを構成する概念 9 IAMプリンシパル IAMポリシー IAMユーザー IAMロール 他 (AWSサービスやアプリ ケーション) 管理ポリシー

    AWS管理ポリシー カスタム管理ポリシー インラインポリシー リソースや⼈に割り当てる単位 IAMプリンシパルに割り当てる 権限の集まり リソースポリシー

  10. IAMプリンシパル principal[名]: 活動などの主導者 10

  11. IAMプリンシパル principal[名]: 活動などの主導者 • ⼈やAWSリソースに割り当てる要素です。 • 認証(=誰なのかの判別)に⽤います。 11

  12. IAMプリンシパル principal[名]: 活動などの主導者 • ⼈やAWSリソースに割り当てる要素です。 • 認証(=誰なのかの判別)に⽤います。 • ユーザーが明⽰的に意識して作成するのは以下の2種類 1.

    IAMユーザー 2. IAMロール 12

  13. IAMユーザー IAMユーザーとあるとおり、利⽤者に割り当てるものです。 (ここでは利⽤者とは⼈、またはAWSリソースではない計算リソースなどを指します) • 特徴 • パスワードなどを使ったAWSマネジメントコンソールへのアクセスを提供する • (永続的な)アクセスキーを使った認証の提供 •

    アクセスキーを使ったCLI操作などが可能になる 13 ズアッ!! 時間っぽい名前の⼈⽤ のIAMユーザー 貧乏旗本の 三男坊です T⽥S之助⽤の IAMユーザー F原R⾺⽤の IAMユーザー M地K弥⽤の IAMユーザー

  14. IAMロール AWSのサービスや特定のIAMユーザー、他のIAMロールに権限を委任することで AWSリソースの操作を可能にするための仕組みです 役割の引受(assume role)時に、⼀時的なセキュリティ認証情報を払い出します 14 IAM User 他のIAM Role

    任意のAWSサービス IAM Role assume role (役割の引受) AWS Resource AWS Resource AWS Resource AWS Resource AWS Resource AWS Resource 操作 AWSコンソールの画⾯で信頼関係について記載する

  15. ⼀時的なセキュリティ認証情報の払い出し Amazon STS(Security Token Service)が⼀時的なセキュリティ認証情報を払い出 します 15 Amazon STS 1.

    指定したロールの引受リクエスト (assume role) 2. ⼀時的なセキュリティ認証情報 AWS Resource AWS Resource AWS Resource AWS Resource AWS Resource AWS Resource ここで払い出した ⼀時的なセキュリティ認証情報は 1で指定したロールに紐づく 3. 2で得たセキュリティ認証情報でアクセス

  16. IAMロールで考えなきゃいけないこと • このロールで何をできるようにしたいか︖できないようにしたいか︖ • IAMポリシー(後述)できてい • このロールを誰が使えるようにしたいか • 誰からのAssume Roleを受け付ける(=信頼関係を確⽴する)か︖

    16

  17. IAMロールの信頼関係 どのIAMプリンシパルからであればAssumeRoleを認めるかということを記述します。 信頼関係もIAMポリシードキュメントのフォーマットで記述します。 17 CodeBuildからの AssumeRoleを認めています 複数のロールからの AssumeRoleを認めています MantoManagedStandardAdmin manto-dev-project-alb-role

  18. IAMロールの信頼関係をもう少し良く⾒てみる(クロスアカウントアクセスの理解) 18 AWS内のPrincipalに sts:AssumeRoleを許可する 特に条件はなし arn:aws:sts::930582747351:assumed-role/AWSReservedSSO_bastion-user_843e858bb0e97221/ryoma_fujiwara がこのMantoManagedStandardAdminRoleの権限を引き受けることができる。 = Principalに他のAWSアカウントのARNを含めて上げればクロスアカウントアクセスを実現できる。

  19. IAMロールによるクロスアカウントアクセス 19 AWS Account A AWS Account B AssumeRole Account

    Bの IAMロール Account Aの IAMユーザー・ロールその他 AWS Resource AWS Resource AWS Resource AWS Resource AWS Resource AWS Resource 様々な操作 with ⼀時的なセキュリティ認証情報 IAMロールのPrincipalに他アカウントのIAMロールなどの情報を設定してあげれば、 AssumeRoleを介してクロスアカウントのIAMアクセスを実現することができる。

  20. (補⾜)ARN(Amazon Resource Name)とは AWSのリソースをグローバルで⼀意に識別するための識別⼦ 20 https://docs.aws.amazon.com/ja_jp/general/latest/gr/aws-arns-and-namespaces.html arn: partition : service

    : region :account-id : resource-id arn: partition : service : region :account-id : resource-type / resource-id arn: partition : service : region :account-id : resource-type : resource-id リソースの配置されているリージョンのグループ aws: 通常のAWSリージョン aws-cn: 中国リージョン aws-us-gov: GovCloud(US)リージョン AWSのサービス名(s3など) AWSのリージョン名(ap-northeast-1など) AWSアカウントのID(12桁の数字) リソースの種類 リソースのID(サービス内やリソースタ イプ内での⼀意な識別⼦, 例: EC2のイ ンスタンスID、i-12345678など

  21. IAMを構成する概念 21 IAMプリンシパル IAMポリシー IAMユーザー IAMロール 他 (AWSサービスやアプリ ケーション) 管理ポリシー

    AWS管理ポリシー カスタム管理ポリシー インラインポリシー リソースや⼈に割り当てる単位 IAMプリンシパルに割り当てる 権限の集まり リソースポリシー

  22. IAMポリシー IAMユーザーやIAMロールに紐付けて個別の操作の実施可否を判断するための仕組 み 22 IAMポリシー ポリシードキュメント ステートメント ステートメント ステートメント ステートメント

    ステートメント IAMポリシーはポリシードキュメントから構成される ポリシードキュメントは複数のステートメントの集まり

  23. IAMポリシー ポリシーのイメージ 23 1つ1つがポリシー ポリシードキュメント ステートメント

  24. IAMポリシーの種類 • 管理ポリシー • 独⽴したリソースとして管理されているポリシー • 複数のIAMユーザやIAMロールに紐付けが可能 • AWS IAMのポリシーページで表⽰されるのはこれ

    • AWS管理ポリシーとカスタム管理ポリシーが存在 • インラインポリシー • 単⼀のIAMユーザやIAMロールに埋め込む形で定義されているポリシー • IAMロールやユーザの画⾯から作成する • リソースポリシー • IAMユーザやロールではなく、S3バケットなどの IAMプリンシパル以外のAWSリソースに紐づくポリシー 24 IAMプリンシパル 管理ポリシー インラインポリシー IAMプリンシパル以外のAWSリソース リソースポリシー

  25. ポリシーの書き⽅ https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_polici es_elements.html と https://docs.aws.amazon.com/ja_jp/service- authorization/latest/reference/reference.html を⾒つつ、 既存のAWS管理ポリシーを参考にしつつ作る。 25