JAWS FESTA 2017
Copyright © 2017. All rights reserved.ハンズラボ株式会社 田村龍太郎IAMロールはどこから来てどこへ行くのかJAWS FESTA 2017
View Slide
1自己紹介• 名前:田村 龍太郎• 所属:ハンズラボ株式会社• 入社:2017年3月• 出身地:徳島県• AWS歴:8ヶ月• 初登壇で緊張してます
2まえおきサポーターセッションなのにIAMの話?ハンズラボ関係なくない?
3まえおきハンズラボ四国代表として登壇が決まるものの
4まえおき15分も喋ることが思いつかなかった
5まえおきこの人→会社の取り組みは、弊社CEOが色んな所で喋ってるので
6まえおき今日は、社内勉強会こんな感じでやってるよというご紹介も兼ねて、10分ぐらいのお話をします
7はじめにAWSを使いはじめてからずっと気になっていたこと
8はじめにIAMロールが何なのかよくわからない
9何がわからないのか• ドキュメントを読めば、設定方法や使い方はわかる• 実装レベルで何が起きてるのかわからない• もやもやする → 調べよう!
10よくあるユースケースEC2 Lambda S3 DynamoDBロール• EC2のインスタンス等にロールを設定することで、 権限に応じたAWSリソースを呼び出し可能• 例: S3のバケットにファイルをアップロード• リソースの利用権限はロールにアタッチされたポリシーによって決まるポリシーリソースを呼び出しアタッチロール
11疑問その1どうやってリソースの利用権限を取得しているのか
12IAMユーザーの場合• マネジメントコンソールでアクセスキーを生成• AWS CLIの場合は aws configure を実行してキー情報を入力• デフォルトだと ~/.aws/credentials に記録される• IAMユーザーが持つ権限通りにリソースが利用ができる• ではIAMロールは?
13EC2インスタンスで追ってみた• ロールの設定はEC2インスタンスに対して行う。• インスタンス内で自身の情報を取ってる方法は?• インスタンスメタデータ (http://169.254.169.254)にリクエスト• ロールの情報もあるはず!• 設定されているロールを取得できた$ curl http://169.254.169.254/latest/meta-data/iam/security-credentials/sample-role
14EC2インスタンスで追ってみた• ロール名を指定してリクエストするとCredentialがJSONで返ってくる• 見覚えのある文字が• 何が行われたのか?$ curl http://169.254.169.254/latest/meta-data/iam/security-credentials/sample-role{"Code" : "Success","LastUpdated" : "2017-10-30T06:54:40Z","Type" : "AWS-HMAC","AccessKeyId" : "ASIAXXXXXXXXXXXXXXXX","SecretAccessKey" : "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx","Token" : "xxxxx...","Expiration" : "2017-10-30T13:04:40Z"}
EC2インスタンス EC2サービス STS IAM①⑤②④③15メタデータの動作イメージAssumeRole実行一時的なCredentialメタデータをリクエストアタッチメタデータのレスポンスAssumeRolePolicy確認IAMポリシー
16AssumeRoleとは• AWS Security Token Service(STS)に用意されているAPI• 指定したIAMロールの持つ権限を、一時的に引き受ける(Assume)機能• AssumeRoleという動作の主体になるのは権限を必要とする側• 今回の例では、EC2がSTSに「オレにそのロールの権限使わせてよ」 と伝える感じ① 権限ください③ あげる② Credential生成
17AssumeRoleとは• 権限を要求する主体は、ロールと同じAWSアカウント内に限定されない• 別のAWSアカウントにいるIAMユーザー• Amazon, Facebook, Google, Cognito で認証されたユーザー• 任意のOpenID ConnectおよびSAMLのIDプロバイダで認証されたユーザー① 認証⑥ あげる⑤ Credential生成② トークン取得③ ください(トークン付)④ 検証
18AssumeRoleとは• STSが誰にでもホイホイ権限を渡してしまうとセキュリティに問題がある• 渡しても良い相手(Trusted entity)をIAMロールで事前に設定しておく• これがAssumeRolePolicyになる(IAMポリシーとは別に存在)くださいくださいAssumeRolePolicyIAMポリシーTrusted entity確認
19AssumeRolePolicyの設定画面
20回答その1どうやってリソースの利用権限を取得しているのかSTSのAssumeRoleを通して一時的なCredentialを取得している
21余談• わざわざメタデータにリクエスト送らなくても、インスタンス内のCLIで直接AssumeRoleを実行すればいいのでは?$ aws sts assume-role--role-arn arn:aws:iam::111122223333:role/sample-role--role-session-name "hogehoge"• できない (aws configureなどを行っていない状態)• ロールのAssumeRolePolicyでは• 特定のEC2インスタンスを信頼しているのではない• EC2サービス(マネージドな部分)を信頼している• インスタンスにロールを設定するということは• AssumeRoleを行う権限を与えているのではない• メタデータの該当ロールのURIへリクエストを送る権限を与えている• EC2サービス(メタデータ)を経由する必要がある
22疑問その2Credentialが取得できるのはわかったけどこれどうするの?
23回答?CLIとかSDKがうまいこと使ってくれます
24もうちょっと詳しく• AWSの各サービスにはリソースにアクセスするためのAPIと、リクエストを送るエンドポイントが用意されている• CLIやSDKでも、内部ではエンドポイントへのHTTPリクエストが行われている• 下の画像はIAMのユーザー一覧を取得するリクエスト引用元: https://docs.aws.amazon.com/ja_jp/general/latest/gr/sigv4_signing.html
引用元: https://docs.aws.amazon.com/ja_jp/general/latest/gr/sigv4_signing.html25もうちょっと詳しくここ重要• AWSの各サービスにはリソースにアクセスするためのAPIと、リクエストを送るエンドポイントが用意されている• CLIやSDKでも、内部ではエンドポイントへのHTTPリクエストが行われている• 下の画像はIAMのユーザー一覧を取得するリクエスト
26Authorizationヘッダの全体はみ出てる部分を項目ごとに改行すると大きく4つに分かれるAWS4-HMAC-SHA256Credential=AKIDEXAMPLE/20150830/us-east-1/iam/aws4_request,SignedHeaders=content-type;host;x-amz-date,Signature=5d672d79c15b13162d9279b0855cfba6789a8edb4c82c400e06b5924a6f2b5d7• アクセスキーID:Credentialの項目に含まれる(AKI〜)• シークレットアクセスキー:Signatureのハッシュ値計算に使用される
27回答その2Credentialが取れるのはわかったけどこれどうするの?Credentialを使用して、(CLIとかSDKが)APIへのリクエストにAuthorizationヘッダを付与している
28余談: Authorizationヘッダの各項目• AWS4-HMAC-SHA256• 署名に使用したアルゴリズム• 2017/11/04時点で推奨される署名バージョン4では HMAC-SHA256• Credential (AKIDEXAMPLE/20150830/us-east-1/iam/aws4_request)• アクセスキーID• タイムスタンプ (yyyymmdd)• 対象リージョン• 対象サービス名• 固定文字列 (aws4_request)• SignedHeaders (content-type;host;x-amz-date)• 署名されたHTTPリクエストのヘッダ一覧(Authorizationヘッダは除く)• 「署名された」というのは後述のSignature内に含まれるという意味
29余談: Authorizationヘッダの各項目• Signature (5d672d79c15b13162d9279b0855cfba6789a8edb4c82c400e06b5924a6f2b5d7)• シークレットアクセスキー• タイムスタンプ• 固定文字列 (AWS-HMAC-SHA256)• CredentialString (AKIDEXAMPLE/20150830/us-east-1/iam/aws4_request)• HTTPリクエストの中身 (CanonicalStringと呼ぶらしい)• メソッド• URI• クエリ文字列• 元のHTTPリクエストに含まれる全ヘッダ名 (content-type;host;x-amz-date)• BodyのSHA256ハッシュ値• 以上の文字列をHMAC-SHA256で複数回計算してハッシュ値にしている• 詳細な実装を追いたい場合は、SDKなどを参考にしてください• GolangのSDKだとこの辺に書いてます• https://github.com/aws/aws-sdk-go/blob/master/aws/signer/v4/v4.go
30さいごにIAMロールはどこから来て、どこへ行くのかAssumeRoleによるCredential取得から来て、AuthorizationヘッダとしてAPIエンドポイントに行く
Thank you!
tokibi
tomoaki25
yamamuteki
etaroid
upura
chumajin
ouchi2501
leveragestech
kazuhitotakahashi
coconala_engineer
tkhresk
chloe463
is_ryo
stephaniewalter
denniskardys
rocio
maggiecrowley
vanstee
dougneiner
marcduiker
paulrobertlloyd
bkeepers
yeseniaperezcruz
robhawkes
paigeccino