Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
JAWSDAYS2017_IAM
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
Toshiya OKITA
March 11, 2017
Technology
0
1.5k
JAWSDAYS2017_IAM
http://jawsdays2017.jaws-ug.jp/session/1792/
Toshiya OKITA
March 11, 2017
Tweet
Share
More Decks by Toshiya OKITA
See All by Toshiya OKITA
20170827jtf
toshi__ya
0
890
infrapre20180805
toshi__ya
0
50
JAWSUG-yokohama-Reboot
toshi__ya
0
1.6k
Negotiation anti-patterns
toshi__ya
0
140
Other Decks in Technology
See All in Technology
StrandsとNeptuneを使ってナレッジグラフを構築する
yakumo
1
120
Cosmos World Foundation Model Platform for Physical AI
takmin
0
870
量子クラウドサービスの裏側 〜Deep Dive into OQTOPUS〜
oqtopus
0
110
顧客の言葉を、そのまま信じない勇気
yamatai1212
1
350
Bill One 開発エンジニア 紹介資料
sansan33
PRO
4
17k
ファインディの横断SREがTakumi byGMOと取り組む、セキュリティと開発スピードの両立
rvirus0817
1
1.3k
Sansan Engineering Unit 紹介資料
sansan33
PRO
1
3.8k
Digitization部 紹介資料
sansan33
PRO
1
6.8k
コスト削減から「セキュリティと利便性」を担うプラットフォームへ
sansantech
PRO
3
1.5k
Amazon Bedrock Knowledge Basesチャンキング解説!
aoinoguchi
0
140
30万人の同時アクセスに耐えたい!新サービスの盤石なリリースを支える負荷試験 / SRE Kaigi 2026
genda
4
1.3k
茨城の思い出を振り返る ~CDKのセキュリティを添えて~ / 20260201 Mitsutoshi Matsuo
shift_evolve
PRO
1
260
Featured
See All Featured
Getting science done with accelerated Python computing platforms
jacobtomlinson
2
110
Everyday Curiosity
cassininazir
0
130
Leo the Paperboy
mayatellez
4
1.4k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
12
1.4k
How to train your dragon (web standard)
notwaldorf
97
6.5k
The B2B funnel & how to create a winning content strategy
katarinadahlin
PRO
0
270
Data-driven link building: lessons from a $708K investment (BrightonSEO talk)
szymonslowik
1
910
Automating Front-end Workflow
addyosmani
1371
200k
The Language of Interfaces
destraynor
162
26k
Prompt Engineering for Job Search
mfonobong
0
160
From π to Pie charts
rasagy
0
120
SERP Conf. Vienna - Web Accessibility: Optimizing for Inclusivity and SEO
sarafernandez
1
1.3k
Transcript
Security-JAWS 大喜多 利哉 IAM 権限をこえて
自己紹介 • 大喜多 利哉(https://ookita.biz/) • 仕事:回線サービス・VPN・F/Wが専門の ネットワークエンジニア • 活動コミュニティ: •
Security-JAWS 運営メンバー • JAWS-UG 横浜支部 運営メンバー • KUSANAGI-UG東京 代表
今回みなさんに おはなしすること • IAMとは何か • IAMの各要素とそれぞれのユースケース • IAMベストプラクティス
IAMとは • AWS Identity and Access Managementの略 • AWS利用者の認証とアクセスポリシーの管理 グループA(全操作可)
グループB(S3全操作可) グループC(S3参照可) EC2 S3
IAMユーザー IAMグループ • IAMユーザー AWS操作用のユーザー 1ユーザー10グループまで所属可能 パーミッション(AWSサービスへのアクセス権限) • IAMグループ IAMユーザーをまとめるグループ
パーミッション(AWSサービスへのアクセス権限) ※パーミッションはIAMユーザー/グループどちらにも設定できる
IAMポリシー • AWSに対する権限設定 JSON形式で記述 http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_policies.html • AWS管理ポリシー AWSが一般的なユースケースに基づいて作成したプリセットポリシー • カスタマー管理ポリシー
AWS管理ポリシーで要件を満たせない場合に独自に作成するポリシー
アクセス可否の 決定ロジック • 先ほど ※パーミッションはIAMユーザー/グループどちらにも設定できる と書きました。 • どういう判定をするのか気になりますよね • すべてのアクセスはデフォルトで拒否(暗黙のDeny)
その他に明示的なAllowと明示的なDenyがある • 明示的なDeny(最優先)>明示的なAllow(優先)>暗黙のDeny(最後) • IAMユーザー・IAMグループの設定を参照して、上記優先順位に従って決 定されます。なおIAMユーザーとIAMグループの間に優劣の関係はありま せん。
リソースベースポリシー • これまではIAMユーザー/IAMグループに対してポリシーを設定する 話をしてきました。 • リソースにポリシーを紐付けることも可能です。 • S3のバケットやSQSのキューなどに対してポリシーを紐付けること ができます。 例)特定のIPアドレスからしかアクセスできないバケットなどが作れ
ます
IAMロール • AWSサービスやアプリケーション等にAWS操作権限を付与するため の仕組み • IAMユーザー/グループとは全く別のもの • 例えば、AWS SDKを利用する場合にアクセスキーとシークレット キーを明示的に記載する必要がありましたが、IAMロールを使用する
と、IAMロールが適用されたインスタンス上では認証情報設定が不要 になります。
その他 • Identitiy Federation(ID連携) 企業・組織が持つ認証機能とAWSの認証を紐付ける機能 LDAP認証済みユーザーに対してS3へのアクセス権をつけるなどできる 認証したユーザーごとに一時的なアクセスキーを発行することで実現
IAM ベストプラクティス 1. AWS アカウント(ルート)のアクセスキーをロックする 2. 個々のIAM ユーザーを作成する 3. IAM
ユーザーへのアクセス権限を割り当てるためにグループを使う 4. 最小限の特権を認める 5. ユーザーのために強度の高いパスワードを設定する 6. 特権ユーザーに対して、MFA を有効化する 7. EC2で作動するアプリケーションに対し、ロールを使用する 8. 認証情報を共有するのではなく、ロールを使って委託する 9. 認証情報を定期的にローテーションする 10. 不要な認証情報の削除 11. 追加セキュリティに対するポリシー条件を使用する 12. AWSアカウントのアクティビティの履歴の保持
参考 IAMドキュメント群 http://aws.amazon.com/jp/documentation/iam/ IAMベストプラクティス http://docs.aws.amazon.com/IAM/latest/UserGuide/IAMBestPracti ces.html
ご静聴ありがとうございました
toshi__ya
yakumo
takmin
oqtopus
yamatai1212
sansan33
rvirus0817
sansantech
aoinoguchi
genda
shift_evolve
jacobtomlinson
cassininazir
mayatellez
tammyeverts
notwaldorf
katarinadahlin
szymonslowik
addyosmani
destraynor
mfonobong
rasagy
sarafernandez
