Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS CloudShell 禁止してみた #omoshiro_cloudshell

SAKON
December 29, 2020

AWS CloudShell 禁止してみた #omoshiro_cloudshell

とうとうAWSにもCloudShell(他と違ってスペースなし)がやってきました。ブラウザベースのシェル環境、とても便利で利用シーンも多そうですが、セキュリティ・統制面では懸念点もあります。結果的に現時点ではルールが満たせず禁止するに至ったのでその経緯を書き留めておきます。
2020/12/29 AWS CloudShellおもしろ選手権登壇資料

SAKON

December 29, 2020
Tweet

More Decks by SAKON

Other Decks in Technology

Transcript

  1. CloudShell がやって来た 2020 • ヤットデタ • スペース入らない Cloud Shell CloudShell

    • ブラウザベースShell、端末設定不要 • 管理コンソールから1クリックで使える(要権限) New!
  2. CloudShell で PostgreSQL も動く • Pythonはデフォルト • NGINX等はExtrasライブラリに • PostgreSQLも動くぞ

    ➢ LT6: CloudShell内で動かしてるサービ スを公開してみた by しょーちゃん さん に期待
  3. CloudShell x CloudWatch • 出力なし • 操作履歴は残らない • $HOME (historyとか)を外部転送して監視?

    ➢ LT1: CloudShell で SSM Agent を動かす by so さん にヒントが!? 補足:AWS CLI呼ん だ場合はAPI側で出 力する 出力されないのは OSのコマンド
  4. CloudShell 禁止してみた • (現時点では) 所属組織の本番ルールを満たせず禁止 既存のSSMセッションマネージャー/Agentに寄せる • IAMポリシーから AWSCloudShellFullAccess 削除

    CloudShellのアイコンは消えないが、使えなくなる https://docs.aws.amazon.com/cloudshell/latest/userguide/sec-auth-with-identities.html