Upgrade to Pro — share decks privately, control downloads, hide ads and more …

サーバーレス化を支える認証認可の話

Takuro SASAKI
January 13, 2018
Technology
15
7.6k

 サーバーレス化を支える認証認可の話

サーバレスアーキテクチャで構築する際の認証認可、アクセス制限のパターンを何となく説明しています

Takuro SASAKI

January 13, 2018
Tweet

More Decks by Takuro SASAKI

See All by Takuro SASAKI
AWSで作るデータ分析基盤サービスの選定と設計のポイント
takuros
2
4.4k
JAWSUG初心者支部 IAMの「あ」の話
takuros
3
8.1k
Security-JAWS-Speciality-Study
takuros
0
4.8k
CloudFormation StackSets with AWS Organizations
takuros
2
4.9k
AWS認定セキュリティ - 専門知識 AWSのサービスを使って楽してセキュリティ向上!!
takuros
4
4.4k
AWSアカウントのセキュリティを守る IAM編
takuros
0
2.6k
JAWSUG千葉支部 Vol.7 AWSアカウントのセキュリティを守る
takuros
0
1.6k
Security-JAWS IAMの設計を言語化する
takuros
10
5.4k
IAMのマニアックな話 Lite版
takuros
0
1.9k

Other Decks in Technology

See All in Technology
re:Invent2022 前後の Amazon EventBridge のアップデートを踏まえつつ、情シスの仕事をより楽しくしたい話。 / EventBridge for Information Systems Department
_kensh
2
730
創業1年目のスタートアップでAWSコストを抑えるために取り組んでいること / How to Keep AWS Costs Down at a Startup
yuj1osm
3
2.2k
S3とCloudWatch Logsの見直しから始めるコスト削減 / Cost saving S3 and CloudWatch Logs
shonansurvivors
0
250
【NGK2023S】 ノードエディタ形式の画像処理ツール「Image-Processing-Node-Editor」
kazuhitotakahashi
0
300
マイクロサービス宣言から8年 振り返りとこれから / Eight Years After the Microservices Declaration A Look Back and A Look Ahead
eisuke
2
160
AWS re:Invent 2022で発表された新機能を試してみた ~Cloud OperationとSecurity~ / New Cloud Operation and Security Features Announced at AWS reInvent 2022
yuj1osm
1
210
Pentesting Password Reset Functionality
anugrahsr
0
470
金属加工屋の営業マンがSTマイクロで・・・
usashirou
0
160
CUEとKubernetesカスタムオペレータを用いた新しいネットワークコントローラをつくってみた
hrk091
1
280
「一通りできるようになった」その先の話
hitomi___kt
0
120
Cloudflare Workersで動くOG画像生成器
aiji42
1
490
AI Builderについて
miyakemito
0
900

Featured

See All Featured
The Brand Is Dead. Long Live the Brand.
mthomps
48
2.9k
Rails Girls Zürich Keynote
gr2m
87
12k
How To Stay Up To Date on Web Technology
chriscoyier
779
250k
How to name files
jennybc
47
73k
Reflections from 52 weeks, 52 projects
jeffersonlam
338
18k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
349
27k
Documentation Writing (for coders)
carmenintech
51
2.9k
Large-scale JavaScript Application Architecture
addyosmani
499
110k
Designing with Data
zakiwarfel
91
4.2k
StorybookのUI Testing Handbookを読んだ
zakiyama
8
3.2k
Web development in the modern age
philhawksworth
197
9.6k
Why Our Code Smells
bkeepers
PRO
326
55k

Transcript

  1. αʔόʔϨεԽΛࢧ͑Δ ೝূೝՄͷ࿩ /3*ωοτίϜגࣜձࣾɹ ࠤʑ໦୓࿠  +"846(͍ͨ͞·ࢧ෦ɹୈճษڧձ ʙ೥ॳΊ೔ຊͰҰ൪ૣ͍SF$BQ৽೥ձʙ

  2. ࠤʑ໦୓࿠ ϫΠϯ޷͖ͳ"84ΤϯδχΞ CMPHIUUQCMPHUBLVSPTOFU UXJUUFS!ELGK ࣗݾ঺հ

  3. ͪΐͬͱએ఻ "NB[PO8FC4FSWJDFT ۀ຿γεςϜઃܭɾҠߦΨΠυ Ұ൪େ੾ͳ஌ࣝͱٕज़͕਎ʹͭ͘ IUUQBN[OUPNK0*B9 ೥݄೔ൃച։࢝ʂʂ

  4. ΋͏̍ͭએ఻ "NB[PO8FC4FSWJDFT ύλʔϯผߏஙɾӡ༻ΨΠυ Ұ൪େ੾ͳ஌ࣝͱٕज़͕਎ʹͭ͘ IUUQBN[OUP#-J:D0 "84ͷೋ൪໨ʹ෼ް͍ຊ ʢେ༰ྔϖʔδʣ

  5. ·ͩ·ͩએ఻ "NB[PO8FC4FSWJDFT Ϋϥ΢υωΠςΟϒɾΞϓϦέʔγϣϯ։ൃٕ๏ Ұ൪େ੾ͳ஌ࣝͱٕज़͕਎ʹͭ͘ IUUQBN[OUP3ZZ-Z "84ͷΞϓϦຊ ʢେ༰ྔϖʔδʣ

  6. αʔόϨεΞʔΩςΫνϟͰߏங͢Δࡍͷ ೝূೝՄɺΞΫηε੍ݶͷύλʔϯΛ Կͱͳ͘஌ͬͯ໯͍·͢ ࠓ೔ͷ໨త

  7. αʔόϨεΞʔΩςΫνϟʁ ར༻Ͱ͖ΔਓΛ੍ݶ͍ͨ͠৔߹͸ʁ API Gateway Lambda DynamoDB ΫϥΠΞϯτ ϞόΠϧ CloudFront S3

    ίϯςϯπͷ औಘ ϩδοΫ WebαΠτΛαʔόϨεԽͨ͠ྫ

  8. ೝূೝՄͱΞΫηε੍ݶ

  9. ᶃ*% 1BTTXPSE౳ ར༻ऀ ᶄਖ਼౰ੑͷ֬ೝ ೝূہ ᶅຊਓੑͷอূ ᶆϦιʔεͷׂ౰ αʔϏε ೝূ ʢ"VUIFOUJDBUJPOʣ

    ೝՄ ʢ"VUIPSJ[BUJPOʣ ೝূͱೝՄ ࣮ࡍ͸ɺೝূೝՄ͕ηοτʹͳ͍ͬͯΔࣄ͕ଟ͍ ୭Ͱ͋Δ͔ʁ ୭͕୭ʹ ԿͷݖݶΛ༩͑Δ͔

  10. "1*ͷੈքͰ͸ʁ τʔΫϯͷӡ༻ΛͲ͏͢Δ͔ɺ৭ʑͳઃܭํ๏͕͋Δ ೝূɾೝՄγεςϜ "1*܈ ར༻ऀ ᶃ*% 1BTTXPSE౳ ᶄΞΫηετʔΫϯ ᶅʙϦΫΤετXJUIτʔΫϯ ॳճΞΫηεɿ*%

    1BTTXPSE ೋճ໨Ҏ߱ɹɿτʔΫϯ 㱺ೝূ࿈ܞʢϑΣσϨʔγϣϯʣ

  11. *%࿈ܞٕज़ʢ0"VUI 0QFO*% 4".-ʣ 0QFO*%ೝূͷϓϩτίϧ *EFOUJUZ "VUIFOUJDBUJPO  0"VUI0QFO*%$POOFDU 0"VUIೝՄͷϓϩτίϧ اۀ಺ͷγεςϜؒ࿈ܞ͸ɺ

    4".-͕ଟ͍

  12. ͪΌΜͱ஌Γ͍ͨਓ͸ɺ͜ΕΛಡΜͰ͍ͩ͘͞ IUUQTXXXTMJEFTIBSFOFUULVEPPBVUIPJEDBQJTFDVSJUZZV[BXBXT

  13. ΞΫηε੍ݶ ΞΫηεݩ৘ใʹΑΔΞΫηε੍ݶ ɾ*1"EESFTT ɾϔομʔ৘ใʢϢʔβʔΤʔδΣϯτ౳ʣ ɾભҠݩʹΑΔ੍ݶʢϦϑΝϥʔʣ ɾFUD ϢʔβʔೝূʹΑΔΞΫηε੍ݶ ɾ*%ɺύεϫʔυ ɾτʔΫϯ ɾFUD

    ຊਓೝূͳ͠ͰɺϦιʔεͷར༻Λ੍ݶ͢Δ͜ͱ΋͋Δ

  14. "84ͷ৔߹ͷ࣮ݱํ๏͸ʁ ·ͣ͸ɺ"1*(BUFXBZͱ$PHOJUPͷ ػೳ঺հ

  15. $PHOJUP ೝূೝՄͷαʔϏεɻ "1*ͱ૬ੑͽͬͨΓ $PHOJUP6TFS1PPM Ϣʔβʔ؅ཧʢ%#ʣαʔϏε αΠϯΠϯɾαΠϯΞ΢τͳͲೝূΛ୲౰ .'"΍ύεϫʔυϙϦγʔ౳ɺҰ௨Γͷػೳ͕ଗ͍ͬͯΔ $PHOJUP'FEFSBUFE*EFOUJUJFT ೝূ෦෼͸ɺ֎෦ϓϩόΠμʹҠৡɻೝՄͷαʔϏε ֎෦ϓϩόΠμͱͯ͠ɺ'BDFCPPL΍5XJUUFS౳͕ར༻Մೳ

    ೝূͨ͠ϢʔβʔʹҰ࣌తͳ"84ͷར༻ݖݶΛ෇༩ "84454Λ؆୯ʹ࢖͑ΔΑ͏ʹͨ͠΋ͷ

  16. *EFOUJUZ1SPWJEFST 'BDFCPPL (PPHMF 5XJUUFS FUD ΫϥΠΞϯτ୺຤ *%  1BTTXPSE τʔΫϯ

    $PHOJUP Ұ࣌తূ໌ͷ ෇༩ τʔΫϯ*% Ұ࣌త ར༻ݖݶ "84ͷ ֤छϦιʔε ݖݶʹԠͯ͡ ར༻Մೳ ೝՄ ೝূ $PHOJUPͷಈ࡞Πϝʔδ

  17. "1*(BUFXBZ 8FC"1*ͷ࡞੒ɾอޢɾӡ༻ͱ ެ։Λ؅ཧ͢ΔαʔϏε 3&45"1*ͷ࡞੒αʔϏε -BNCEB )5511SPYZ "841SPYZ -BNCEBݺͼग़͠ API Gateway

    Lambda EC2 )5511SPYZ "841SPYZ AWSαʔϏε ֤छ

  18. "1*(BUFXBZͷೝূػೳ ೝূํ๏ "*".ΞΫηεݖݶ #ΧελϜΦʔαϥΠβʔ $$PHOJUPϢʔβʔϓʔϧ API Gateway Lambda Cognito User

    Pool ΫϥΠΞϯτ "*".ΞΫηεݖݶ #ΧελϜ ΦʔαϥΠβʔ $$PHOJUP Ϣʔβʔϓʔϧ

  19. "1*(BUFXBZͷΞΫηε੍ݶ ੍ݶํ๏ "ΫϥΠΞϯτূ໌ॻ #"1*Ωʔ $ϦΫΤετͷݕূ API Gateway ΫϥΠΞϯτ "ΫϥΠΞϯτূ໌ॻ #"1*Ωʔ

    vKC5ZoO1tz7WH H6dfuZdd3zq9ShZ TnJzaCNONs9v $ϦΫΤετݕূ ϔομʔɺ ຊจ etc

  20. "1*(BUFXBZͷ*1ΞυϨεʹΑΔ੍ݶ "848"' $MPVE'SPOU 8"'ͷ*1.BUDI$POEJUJPOΛར༻ 8"'Λར༻͢ΔͨΊʹɺ$MPVE'SPOU΋ར༻ API Gateway ΫϥΠΞϯτ WAF CloudFront

    ΫϥΠΞϯτ *1.BUDI$POEJUJPOͰ൑ఆ 999:::;;;""" """:::;;;999 ̋ ❌ $MPVE'SPOU "1*(BUFXBZͱ͍͏ແବͳଆ໘΋

  21. "1*(BUFXBZͷ*1ΞυϨεʹΑΔ੍ݶᶃ *".ʹΑΔ੍ݶ "1*(BUFXBZͷೝূͰɺ*".Λར༻͢Δ *".ͷ$POEJUJPOͰɺ*1੍ݶΛֻ͚Δ ར༻ऀ͕"84ϢʔβͷΈͰ͋Ε͹खஈͷ̍ͭ API Gateway ΫϥΠΞϯτ ಛఆͷ৔ॴͷΈ༗ޮͳ伴

  22. Ϣʔεέʔε͝ͱͷ ΞʔΩςΫνϟ $PHOJUPฤ

  23. ৽نͰαʔϏεͷ্ཱͪ͛ $PHOJUP6TFS1PPM͕͓קΊ "1*(BUFXBZͷೝূͰɺ*".Λར༻͢Δ *".ͷ$POEJUJPOͰɺ*1੍ݶΛֻ͚Δ API Gateway ΫϥΠΞϯτ Cognito User Pool

    Lambda ೝূ ॲཧ

  24. طଘͷγεςϜʹ"1*௥Ճ ΧελϜΦʔαϥΠβʔͰطଘ%#Λࢀর -BNCEBͰࣗલͰೝূॲཧΛ࣮૷ طଘγεςϜʹ*%ɾύεϫʔυͷਖ਼౰ੑΛ໰͍߹Θͤ API Gateway ΫϥΠΞϯτ ΧελϜ ΦʔαϥΠβʔ ೝূ

    طଘγεςϜ ໰͍߹Θͤ Lambda ॲཧ

  25. طଘγεςϜΛ$PHOJUP6TFS1PPMʹҠߦ͍ͨ͠ ͭΒ͍ $PHOJUP6TFS1PPMʹ͸ɺσʔλΠϯϙʔτػೳ͸͋Δ ͨͩ͠ɺύεϫʔυ͸ҠߦͰ͖ͳ͍ ύεϫʔυͷ࠶ൃߦͷ࢓૊ΈͰɺॳճϩάΠϯ࣌มߋΛଅ͢ େن໛Ҡߦͷ࣌ʹɺͭΒ͍ ΞϓϦͷ࡞ΓࠐΈͰɺճආ͢Δํ๏͸͋Δ΋ͷͷɻɻɻɻ Ͳ͏ͨ͠Βྑ͍ͷͰ͠ΐ͏Ͷʁ

  26. $PHOJUP6TFS1PPMͷσʔλΛόοΫΞοϓ͍ͨ͠ Ͱ͖ͳ͍ ݱࡏɺ6TFS1PPMͷόοΫΞοϓʗΤΫεϙʔτ͕Ͱ͖ͳ͍ σʔλ͸"84͕੹೚࣋ͬͯकͬͯΔͱ ඞਢͷ৔߹͸ɺ%ZOBNP%#౳ʹϢʔβ৘ใΛอଘ "84͞Μɺ͓ئ͍ʂʂ

  27. 8PSME8JEFͳαʔϏεͰ$PHOJUP࢖͍͍ͨ ݱঢ়ͷ$PHOJUP͸ϦʔδϣϯؒͰͷϨϓϦέʔγϣϯػೳͳ͠ 8PSME8JEFͰ୯Ұͷ$PHOJUPͩͱೝূͷϨΠςϯγ͕໰୊ %ZOBNP%#ΫϩεϦʔδϣϯϨϓϦέʔγϣϯͰղܾʁ ϢʔβʔσʔλΛ%ZOBNP%#ʹอଘ ඞཁͳϦʔδϣϯʹ$PHOJUP'FEFSBUFE*EFOUJUJFTΛ༻ҙ͢Δ "84͞Μɺ͓ئ͍ʂʂ

  28. "1*(BUFXBZͰͷࠔΓࣄ ͱ͍͏͔Ξϯνύλʔϯ

  29. 4/*ඇରԠΫϥΠΞϯτʹରԠ͢Δ "1*(BUFXBZͷ4/*ϕʔεͷ44-5-4 ݹ͍ϒϥ΢β΍ɺϓϩάϥϜݴޠ͸4/*ʹରԠ͍ͯ͠ͳ͍৔߹ ΋ ໰୊ʹͳΓ΍͍͢ͷ͸ɺ+BWBҎલ ରԠࡦ "1*(BUFXBZͰ͸ͳ͘ɺ௚઀-BNCEBΛݺͼग़͢ "1*(BUFXBZͷલʹɺ&-#&$Λ͓͘ ࣅͨΑ͏ͳ໰୊ʹɺIUUQͰ"1*(BUFXBZʹΞΫηε͍ͨ͠ͱ͔ ͲΕ΋ΠϚΠνͳͷͰɺΫϥΠΞϯτଆͷߋվ͕ྑ͍

  30. 71$಺Ͱར༻͍ͨ͠ "1*(BUFXBZ͸ɺ71$಺ʹ഑ஔ͸ग़དྷͳ͍ -BNCEB͸ɺ71$಺Ͱ΋ىಈ͸Մೳ 4UFQ'VODUJPOTͱซ༻ͰτϦοΩʔͳىಈ͸Մೳ 71$ϦϯΫ /-#Ͱɺ71$಺ͷϦιʔε͕ར༻Մೳ API Gateway Step Functions

    Lambda Network Load Balancer VPCϦϯΫ

  31. "1*(BUFXBZܦ༝ͰόονతॲཧΛΩοΫ͍ͨ͠ "1*(BUFXBZͷ౷߹ͷλΠϜΞ΢τ͸ඵ όοΫΤϯυͷॲཧ͕௕͍৔߹͸஫ҙ ۩ମతʹ͸ɺόονతͳॲཧΛݺͼग़͢৔߹ ରԠࡦ όοΫΤϯυͱͷ౷߹Λඇಉظܕʹ͢Δ ݺͼग़͠੒ޭ࣌ʹɺϦΫΤετ*%౳Λฦ٫͢Δ ͦ΋ͦ΋"1*(BUFXBZ͔ΒΩοΫ͢Δඞཁ͕͋Δͷ͔ߟ͑Δ API Gateway

    AWSͷ֤छϦιʔε ᶃϦΫΤετ ᶄϨεϙϯε ΫϥΠΞϯτ ᶅඇಉظݺͼग़͠

  32. $PHOJUPɺ"1*(BUFXBZ͸ Ԟ͕ਂ͍

  33. ిࢠॻ੶ɺࣥචͷػӡ IUUQTUPHFUUFSDPNMJ

  34. SF$BQ

  35. ͝੩ௌɺ͋Γ͕ͱ͏͍͟͝·ͨ͠ɻ