2023 ANGEL Dojo LT

Transcript

1. 永続的認証情報からの脱却 株式会社⾖蔵 庄司 重樹 2023年8⽉18⽇

2. コンサルタント 庄司 重樹 株式会社⾖蔵 AWS Community Builder, 2023 Japan AWS

   Top Engineer, 11x AWS Certified 好きなサービスは、IAM @takesection

3. IAMって何がすごい？ 引⽤: InfoQ AWS re:Invent 2021の総括 から 最も驚異的な AWS サービスは何でしょうか?

   それは EC2 ではない でしょう。S3 でもありません。それは IAM です。毎秒 5 億回の API 呼び出しがあります... 想像してみてください。

4. 永続的認証情報って何？ IAMユーザーに設定したアクセスキーIDやシークレットアクセス キー

5. ⼀時的認証情報って何？ EC2やコンテナ (ECS、EKS、Fargate)、Lambda等でAWSリ ソースにアクセスする場合、IAMロールを割り当てる。 IAMロールはAssumeRole (ロールの引き受け) で⼀時的な認証情 報が利⽤可能になる。

6. どうして流出するの？ • GitHubの公開リポジトリで全世界に公開😇 • GitHubのプライベートリポジトリだからといっても安⼼できな い • 暗号化されて保存されるシークレットストアも⼼配 • 2023年1⽉4⽇のCircleCIが有名

7. AWS IAM Identity Centerを使おう • IAM Identity Centerを使って、OktaやMS Entra ID、MS

   AD等 の認証基盤と連携しよう [profile foo] role_arn = arn:aws:iam::123456789012:role/RoleForFoo source_profile = example [profile example] sso_session = example sso_account_id = 123456789012 sso_role_name = ExamplePolicy region = ap-northeast-1 output = json [sso-session example] sso_start_url = https://d-XXXXXXXXXX.awsapps.com/start sso_region = ap-northeast-1 sso_registration_scopes = sso:account:access 「IAM でのセキュリティのベストプラクティス」

8. CLIの使い⽅ ʻaws sso login ‒profile exampleʼ を実⾏すると、認証され profile で指定されたロールの⼀時的認証情報が取得される (背後

   で、STSを介して⼀時的認証情報 - アクセスキーID、シークレッ トアクセスキーとセッショントークン ‒ を取得している)。 「AWS IAM Identity Centerのロールから別のロールにCLIでスイッチして操作する」

9. CI/CDではOIDCトークンを使おう GitHub ActionsやGitLab CI/CD、CircleCI等を使う場合は、それ ぞれから発⾏されるOIDCトークンを使う。 • GitHub ActionsやGitLab CI/CD、CircleCI等の外部IDプロバイ ダをIAM

   IDプロバイダに追加 • STSのAssumeRoleWithWebIdentityアクションで、指定した ロールの⼀時的認証情報を取得 「GitHub Actions ワークフローでリテラルの AWS アカウント ID を使⽤しないためのヒント」

10. Google Apps Scriptでは Google Apps ScriptのWebアプリでは、 ScriptApp.getIdentityToken()でOIDCトークンを取得することが できる。CI/CDの場合と同様にAssumeRoleWithWebIdentityア クションで、⼀時的認証情報を取得してAWSリソースへのアク セスが可能

    「Google Apps ScriptからAWSにアクセスするための署名の実装」

11. オンプレミスサーバはどうすれば… SSM AgentをインストールしてAWS Systems Managerのマネー ジドノードに追加できる場合は、IAMロールが使える 「オンプレミスのサーバでIAMロールを使⽤する」 「5分でわかった気になるSystemsManager」

12. ご清聴ありがとうございました🙇