Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Dome9_IAMSaftyで考えるIAMベストプラクティス.pdf
Search
さいちゃん
March 11, 2022
Technology
920
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
Dome9_IAMSaftyで考えるIAMベストプラクティス.pdf
さいちゃん
March 11, 2022
More Decks by さいちゃん
See All by さいちゃん
ここがすごいよ! AWS Systems Manager!
saichan11
0
2.5k
デベロッパーセキュリティ強化! ~シフトレフトで安全な開発を~
saichan11
0
1.3k
PagerDutyで始めるか対応の自動化
saichan11
0
1.6k
Other Decks in Technology
See All in Technology
次世代ランサムウェア対策の考察 / 20260704 Mitsutoshi Matsuo
shift_evolve
PRO
5
1.7k
トークン最適化のためのユーザーストーリー分析 / User Story Analysis for Token Optimization
oomatomo
0
160
AIペネトレーションテスト・ セキュリティ検証「AgenticSec」紹介資料
laysakura
2
8k
GitHub Copilot運用のリアル ~AI Credit時代にどう向き合うか~
takafumisu2uk1
0
620
MySQL & MySQL HeatWave Report - June 2026
freshdaz
0
300
そのタスクオンスケですか?
poropinai1966
0
120
型は壁、Rustでもバグを直すな、表現できなくせよ
nwiizo
5
390
スタートアップにおけるアジャイルの実践について #shibuyagile
murabayashi
3
2k
5分でわかる Amazon Connect_20260608
hwangbyeonghun
0
180
ループエンジニアリングでE2Eテストを実践
noriyukitakei
0
250
デジタル・デザイン構想 by Sayaka Ishizuka
y150saya
0
190
プライバシー保護の理論と実践
lycorptech_jp
PRO
1
240
Featured
See All Featured
Optimizing for Happiness
mojombo
378
71k
Designing for Timeless Needs
cassininazir
1
270
Ten Tips & Tricks for a 🌱 transition
stuffmc
0
150
The Art of Programming - Codeland 2020
erikaheidi
57
14k
Amusing Abliteration
ianozsvald
1
220
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
16
2k
GraphQLの誤解/rethinking-graphql
sonatard
75
12k
Faster Mobile Websites
deanohume
310
32k
[SF Ruby Conf 2025] Rails X
palkan
2
1.1k
For a Future-Friendly Web
brad_frost
183
10k
Agile Leadership in an Agile Organization
kimpetersen
PRO
0
180
Data-driven link building: lessons from a $708K investment (BrightonSEO talk)
szymonslowik
1
1.2k
Transcript
Dome9~IAMSaftyで考える IAMベストプラクティス 1 クラスメソッド株式会社 アライアンス統括部 サイード ラティファ栄美里
自己紹介 ・名前 サイード ラティファ栄美里(さいちゃん) ・所属 クラスメソッド株式会社(2021年10月~) アライアンス統括部 ・本日登壇デビュー ・ブログ
3 アジェンダ 1,Dome9概要 ◦ Dome9って? ◦ 主な機能 2,IAMベストプラクティスの実現 ◦ ベストプラクティス実現の大変さ ◦ IAM Safetyの概要 ◦ STSとの比較
3,デモ
4 Dome9の概要
5 Dome9概要 IaaSの設定情報を可視化し人為的ミスの回避とコ ンプライアンス遵守を支援するサービスです
6 CSPMって? Cloud Security PostureManagement (クラウドセキュリティ動態管理) CSPM
7 セキュリティインシデントの原因 クラウドにおけるセキュリティインシデントの原 因のほとんどは人為的設定ミス 2020年時点で95%を占め、 2025年には99%を占めると予想される ※Gartner社 2018年報告書
8 Dome9でできること
9 IAMベストプラクティスの実現
10 IAMのベストプラクティス • AWS アカウント ルートユーザーのアクセスキーをロックする • ロールを使用してアクセス許可を委任する • 最小限の特権を認める。
• AWS 管理ポリシーを使用したアクセス許可の使用開始 • ポリシーの検証 • インラインポリシーではなくカスタマー管理ポリシーを使用する • アクセスレベルを使用して、IAM のアクセス許可を確認する • ユーザーのために強度の高いパスワードポリシーを設定する。 • MFA の有効化 • Amazon EC2 インスタンスで実行するアプリケーションに対し、ロールを使用する • アクセスキーを共有しない • 認証情報を定期的にローテーションする。 • 不要な認証情報の削除 • 追加セキュリティに対するポリシー条件を使用する。 • AWS アカウントのアクティビティのモニタリング
11 IAMのベストプラクティス 多い。多すぎる
12 IAMのベストプラクティス 1アカウントでも管理は大変 複数アカウントにもなれば 相当な時間と労力が必要
13 IAMのベストプラクティス Dome9を使いましょう
14 IAMのベストプラクティス 「最小の特権を認める」 ・必要な権限の洗い出しが難しい。 ・結局管理者権限を持つユーザーが増えてしまう。 ・権限を持つユーザーが増える=リスクが高まる IAMユーザーに今だけ権限を付与したい。 IAM Safetyの特権付与を使って解決
15 IAM Safetyの機能 ・管理者の承認なしに、アカウント設定を 変更しないように制御 ・ユーザー削除やポリシー削除を禁止し、 ロールバックで改ざん防止 ・権限の一時的な昇格を簡単に
16 IAM Safety特権付与の利点 ・ワンクリックで簡単に ・時間制で特権の付与が可能 ・自動的に権限をもとに戻す ・権限昇格を管理者が管理 ・誰がいつまで権限昇格しているか一目でわかる ・スマホアプリからの昇格も可能
17 スイッチロールしくみ Role ①このロールに なりたい! ③スイッチロール ②一時クレデンシャル 発行許可
18 IAM Safety 権限一次付与のしくみ IAM グループ(Administer) IAMグループ(IAM Safety) 禁止 ポリシー
許可 ポリシー 一時的にAdministerへ追加され、昇格終 了後グループから削除された後に、IAM Safetyグループに追加される
19 やってみます デモ
最後に(軽くまとめ) ベストプラクティスの実現は難しい ・できることはどんどん自動化して人為的ミスを 防ぎましょう。 IAM Safetyを使うメリット ・難しい設定は不要 ・同一アカウントのままで権限だけ変えられる ・管理者が権限の付与を完全に管理 ・誰が権限昇格してるか一目瞭然
IAM Safetyを上手に使って最小特権の原則を実現できる!
21