豊洲会_20240828

Transcript

1. 豊洲会LT 齋藤友宏

2. 自己紹介 • 名前：齋藤友宏 • 業務内容： o 2020〜2023年 アライアンスリード、自社AWSサポート窓口 o 2024年〜

   自社運用マネージドサービス改善PJ • 好きなAWSサービス： o AWS Amplify o AWS Support • 2023 Japan AWS Jr. Champions • 2022〜24 Japan AWS All Certifications Engineers 今更ながら、X始めました〜

3. リソースポリシーの明示的な拒否の定義に失敗して、 SQSにアクセスできなくなった話

4. リソースポリシーでアクセス制御したい 1. SQSからのメッセージを受信するリソースを、特定のLambdaのみにしたい 2. 人手による運用が入るのを考慮し、 マネジメントコンソール経由で全IAMユーザーからのアクセスは許可したい。

5. { “Version”: “2012-10-17", “Statement”: [ { “Effect”: “Deny”, “Principal”: “*”,

   “Action”: “sqs:*“, “Resource”: “arn:aws:sqs:ap-northeast-1:${AWS::AccountId}:SampleQueue”, “Condition”: { “StringNotEquels”: { “aws:UserAgent”: "aws-internal-console" }, “ArnNotLike”: { “aws:SourceArn”: "arn:aws:lambda:*:${AWS::AccountId}:function:sample-lambda-*" } } マネジメントコンソールで操作できる権限 Lambaがメッセージを受信できる権限

6. 何が起こったか？ • マネジメントコンソール上で、作成したSQSが表示されない。 • CloudShellで、list-queuesコマンドを叩いたら表示はされた。 • CloudShellで、delete-queueコマンドを叩いたらアクセス拒否された。 • 許可したはずのLambdaからも削除できない。。

7. キューポリシーを振り返る ①IAMユーザーからマネジメントコンソールで閲覧させる権限の誤り “StringNotEquels”: { “aws:UserAgent”: "aws-internal-console" }, チャット式の生成AIに聞いたら、この記載を提案され、それを受け入れた結果。 「aws:UserAgent」というのは、HTTPリクエストのヘッダー情報の指定らしい。 マネジメントコンソールのHTTPヘッダーを確認したが、

   aws-internal-consoleという情報は出てこなかった。。

8. キューポリシーを振り返る ②Lambdaへの権限の記述誤り “ArnNotLike”: { “aws:SourceArn”: "arn:aws:lambda:*:${AWS::AccountId}:function:sample-lambda-*" } LambaのARNではなく、IAMロールを指定しないといけない。 あくまでLambdaからSQSへ操作する実行主体は、IAMロールである。

9. 正しい記載は何か？ { “Version”: “2012-10-17", “Statement”: [ { “Effect”: “Deny”, “Principal”:

   “*”, “Action”: “sqs:*“, “Resource”: “arn:aws:sqs:ap-northeast-1:${AWS::AccountId}:SampleQueue”, “Condition”: { “ArnNotEquals”: { “aws:PrincipalArn”: [ “arn:aws:iam::${AWS::AccountId}:user/*“, “arn:aws:iam::${AWS::AccountId}:role/service-role/example-role” ]

10. 今回の教訓 • Lambdaへのアクセス制御は、 付与しているIAMロールへのアクセス制御が必要。 ▪ 実行権限を付与する主体が何なのかは、 今後権限付与する際にしっかり調査する必要があると感じた。 • ポリシー作成後に動作確認するとはいえ、 安易に生成AIのいうことを聞いてはいけないケースがある。

    ▪ 今回は明示的な拒否のため、アクセスできなくなるリスクが孕んでおり、 そういう場合には慎重に調査をすべき。