Upgrade to Pro — share decks privately, control downloads, hide ads and more …

2023 ANGEL Dojo LT

Shigeki Shoji
August 18, 2023
Technology
0
160

2023 ANGEL Dojo LT

Shigeki Shoji

August 18, 2023
Tweet

More Decks by Shigeki Shoji

See All by Shigeki Shoji
依存ライブラリはどこに?
takesection
0
140
GitHub Actions Runner Controller
takesection
0
150
Amazon RDS for Db2
takesection
0
27
らいよんで、とうだんしたよ、えるてぃーで
takesection
0
41
Java in containers and serverless
takesection
0
230
Mameyose 2023-06-01
takesection
0
27
AWS Lambda with Scala
takesection
0
490
Introduction to functional programming
takesection
0
180
JVMアセンブラ言語
takesection
0
140

Other Decks in Technology

See All in Technology
生産性向上チームの紹介
cybozuinsideout
PRO
1
900
AWS学習者向けにAzureの解説スライドを作成した話
handy
3
180
開発パフォーマンスを最大化するための開発体制
ham0215
7
990
JAWS-UG Bedrock Claude Night
yamahiro
3
690
The AI Revolution Will Not Be Monopolized: Behind the scenes
inesmontani
PRO
1
150
どうするコスト最適化のトレードオフ
tetsuyaooooo
1
690
KubeConにproposalを送りたい人へのアドバイス
sat
PRO
3
270
On Your Data を超えていく!
hirotomotaguchi
2
750
Microsoft for Startups Founders Hub_20240429 update
daikikanemitsu
1
2.4k
Python と Snowflake はズッ友だょ!~ Snowflake の Python 関連機能をふりかえる ~
__allllllllez__
2
140
One engineer company with Ruby on Rails
rstankov
2
410
Cloud Service Mesh に触れ合う
phaya72
1
140

Featured

See All Featured
Designing the Hi-DPI Web
ddemaree
276
33k
Optimising Largest Contentful Paint
csswizardry
12
2.4k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
275
13k
Creatively Recalculating Your Daily Design Routine
revolveconf
211
11k
10 Git Anti Patterns You Should be Aware of
lemiorhan
649
58k
What's new in Ruby 2.0
geeforr
337
31k
Documentation Writing (for coders)
carmenintech
61
4k
Debugging Ruby Performance
tmm1
70
11k
Product Roadmaps are Hard
iamctodd
45
9.7k
Practical Orchestrator
shlominoach
183
9.7k
Gamification - CAS2011
davidbonilla
76
4.6k
Bash Introduction
62gerente
605
210k

Transcript

  1. 永続的認証情報からの脱却 株式会社⾖蔵 庄司 重樹 2023年8⽉18⽇

  2. コンサルタント 庄司 重樹 株式会社⾖蔵 AWS Community Builder, 2023 Japan AWS

    Top Engineer, 11x AWS Certified 好きなサービスは、IAM @takesection

  3. IAMって何がすごい? 引⽤: InfoQ AWS re:Invent 2021の総括 から 最も驚異的な AWS サービスは何でしょうか?

    それは EC2 ではない でしょう。S3 でもありません。それは IAM です。毎秒 5 億回の API 呼び出しがあります... 想像してみてください。

  4. 永続的認証情報って何? IAMユーザーに設定したアクセスキーIDやシークレットアクセス キー

  5. ⼀時的認証情報って何? EC2やコンテナ (ECS、EKS、Fargate)、Lambda等でAWSリ ソースにアクセスする場合、IAMロールを割り当てる。 IAMロールはAssumeRole (ロールの引き受け) で⼀時的な認証情 報が利⽤可能になる。

  6. どうして流出するの? • GitHubの公開リポジトリで全世界に公開😇 • GitHubのプライベートリポジトリだからといっても安⼼できな い • 暗号化されて保存されるシークレットストアも⼼配 • 2023年1⽉4⽇のCircleCIが有名

  7. AWS IAM Identity Centerを使おう • IAM Identity Centerを使って、OktaやMS Entra ID、MS

    AD等 の認証基盤と連携しよう [profile foo] role_arn = arn:aws:iam::123456789012:role/RoleForFoo source_profile = example [profile example] sso_session = example sso_account_id = 123456789012 sso_role_name = ExamplePolicy region = ap-northeast-1 output = json [sso-session example] sso_start_url = https://d-XXXXXXXXXX.awsapps.com/start sso_region = ap-northeast-1 sso_registration_scopes = sso:account:access 「IAM でのセキュリティのベストプラクティス」

  8. CLIの使い⽅ ʻaws sso login ‒profile exampleʼ を実⾏すると、認証され profile で指定されたロールの⼀時的認証情報が取得される (背後

    で、STSを介して⼀時的認証情報 - アクセスキーID、シークレッ トアクセスキーとセッショントークン ‒ を取得している)。 「AWS IAM Identity Centerのロールから別のロールにCLIでスイッチして操作する」

  9. CI/CDではOIDCトークンを使おう GitHub ActionsやGitLab CI/CD、CircleCI等を使う場合は、それ ぞれから発⾏されるOIDCトークンを使う。 • GitHub ActionsやGitLab CI/CD、CircleCI等の外部IDプロバイ ダをIAM

    IDプロバイダに追加 • STSのAssumeRoleWithWebIdentityアクションで、指定した ロールの⼀時的認証情報を取得 「GitHub Actions ワークフローでリテラルの AWS アカウント ID を使⽤しないためのヒント」

  10. Google Apps Scriptでは Google Apps ScriptのWebアプリでは、 ScriptApp.getIdentityToken()でOIDCトークンを取得することが できる。CI/CDの場合と同様にAssumeRoleWithWebIdentityア クションで、⼀時的認証情報を取得してAWSリソースへのアク セスが可能

    「Google Apps ScriptからAWSにアクセスするための署名の実装」

  11. オンプレミスサーバはどうすれば… SSM AgentをインストールしてAWS Systems Managerのマネー ジドノードに追加できる場合は、IAMロールが使える 「オンプレミスのサーバでIAMロールを使⽤する」 「5分でわかった気になるSystemsManager」

  12. ご清聴ありがとうございました🙇