Upgrade to Pro — share decks privately, control downloads, hide ads and more …

JAWSDAYS2017_IAM

Sponsored · SiteGround - Reliable hosting with speed, security, and support you can count on.
Avatar for Toshiya OKITA Toshiya OKITA
March 11, 2017
Technology
1.5k
0

 JAWSDAYS2017_IAM

http://jawsdays2017.jaws-ug.jp/session/1792/

Avatar for Toshiya OKITA

Toshiya OKITA

March 11, 2017

More Decks by Toshiya OKITA

See All by Toshiya OKITA
20170827jtf
Avatar for Toshiya OKITA toshi__ya
0
910
infrapre20180805
Avatar for Toshiya OKITA toshi__ya
0
52
JAWSUG-yokohama-Reboot
Avatar for Toshiya OKITA toshi__ya
0
1.6k
Negotiation anti-patterns
Avatar for Toshiya OKITA toshi__ya
0
140

Other Decks in Technology

See All in Technology
ハーネスエンジニアリングをやりすぎた話 ~そのハーネスは解体された~
Avatar for Gota gotalab555
4
1.6k
基盤を育てる 外部SaaS連携の運用
Avatar for Hiroto Gamo gamonges_dresscode
1
110
AgentCore×VPCでの設計パターンn選と勘所
Avatar for Har1101 har1101
3
270
ぼくがかんがえたさいきょうのあうとぷっと
Avatar for Yuuki Yamashita yama3133
0
190
サイボウズ 開発本部採用ピッチ / Cybozu Engineer Recruit
Avatar for Cybozu cybozuinsideout
PRO
10
78k
AI バイブコーティングでキーボード不要?!
Avatar for Sam Akada samakada
0
480
AI時代にデータ基盤が持つべきCapabilityを考える + Snowflake Data Superheroやっていき宣言 / Considering the Capabilities Data Platforms Should Have in the AI Era + Declaration of Commitment as a Snowflake Data Superhero
Avatar for Civitaspo civitaspo
0
130
Digitization部 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
1
7.3k
Rapid Start: Faster Internet Connections, with Ruby's Help
Avatar for kazuho kazuho
2
170
60分で学ぶ最新Webフロントエンド
Avatar for mizdra mizdra
PRO
34
18k
レビューしきれない?それは「全て人力でのレビュー」だからではないでしょうか
Avatar for amixedcolor amixedcolor
0
300
Azure Lifecycle with Copilot CLI
Avatar for Toru Makabe torumakabe
3
1k

Featured

See All Featured
SEO Brein meetup: CTRL+C is not how to scale international SEO
Avatar for Linda Hogenes lindahogenes
1
2.6k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
Avatar for Tammy Everts tammyeverts
55
3.3k
Hiding What from Whom? A Critical Review of the History of Programming languages for Music
Avatar for Tomoya Matsuura tomoyanonymous
2
750
Speed Design
Avatar for Sergey Chernyshev sergeychernyshev
33
1.6k
The MySQL Ecosystem @ GitHub 2015
Avatar for Sam Lambert samlambert
251
13k
How To Stay Up To Date on Web Technology
Avatar for Chris Coyier chriscoyier
790
250k
The Hidden Cost of Media on the Web [PixelPalooza 2025]
Avatar for Tammy Everts tammyeverts
2
270
The Limits of Empathy - UXLibs8
Avatar for Cassini Nazir cassininazir
1
300
16th Malabo Montpellier Forum Presentation
Avatar for AKADEMIYA2063 akademiya2063
PRO
0
99
Art, The Web, and Tiny UX
Avatar for Lynn Fisher lynnandtonic
304
21k
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
45
9k
Test your architecture with Archunit
Avatar for Yoan thirion
1
2.2k

Transcript

  1. Security-JAWS 大喜多 利哉 IAM 権限をこえて

  2. 自己紹介 • 大喜多 利哉(https://ookita.biz/) • 仕事:回線サービス・VPN・F/Wが専門の ネットワークエンジニア • 活動コミュニティ: •

    Security-JAWS 運営メンバー • JAWS-UG 横浜支部 運営メンバー • KUSANAGI-UG東京 代表

  3. 今回みなさんに おはなしすること • IAMとは何か • IAMの各要素とそれぞれのユースケース • IAMベストプラクティス

  4. IAMとは • AWS Identity and Access Managementの略 • AWS利用者の認証とアクセスポリシーの管理 グループA(全操作可)

    グループB(S3全操作可) グループC(S3参照可) EC2 S3

  5. IAMユーザー IAMグループ • IAMユーザー AWS操作用のユーザー 1ユーザー10グループまで所属可能 パーミッション(AWSサービスへのアクセス権限) • IAMグループ IAMユーザーをまとめるグループ

    パーミッション(AWSサービスへのアクセス権限) ※パーミッションはIAMユーザー/グループどちらにも設定できる

  6. IAMポリシー • AWSに対する権限設定 JSON形式で記述 http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_policies.html • AWS管理ポリシー AWSが一般的なユースケースに基づいて作成したプリセットポリシー • カスタマー管理ポリシー

    AWS管理ポリシーで要件を満たせない場合に独自に作成するポリシー

  7. アクセス可否の 決定ロジック • 先ほど ※パーミッションはIAMユーザー/グループどちらにも設定できる と書きました。 • どういう判定をするのか気になりますよね • すべてのアクセスはデフォルトで拒否(暗黙のDeny)

    その他に明示的なAllowと明示的なDenyがある • 明示的なDeny(最優先)>明示的なAllow(優先)>暗黙のDeny(最後) • IAMユーザー・IAMグループの設定を参照して、上記優先順位に従って決 定されます。なおIAMユーザーとIAMグループの間に優劣の関係はありま せん。

  8. リソースベースポリシー • これまではIAMユーザー/IAMグループに対してポリシーを設定する 話をしてきました。 • リソースにポリシーを紐付けることも可能です。 • S3のバケットやSQSのキューなどに対してポリシーを紐付けること ができます。 例)特定のIPアドレスからしかアクセスできないバケットなどが作れ

    ます

  9. IAMロール • AWSサービスやアプリケーション等にAWS操作権限を付与するため の仕組み • IAMユーザー/グループとは全く別のもの • 例えば、AWS SDKを利用する場合にアクセスキーとシークレット キーを明示的に記載する必要がありましたが、IAMロールを使用する

    と、IAMロールが適用されたインスタンス上では認証情報設定が不要 になります。

  10. その他 • Identitiy Federation(ID連携) 企業・組織が持つ認証機能とAWSの認証を紐付ける機能 LDAP認証済みユーザーに対してS3へのアクセス権をつけるなどできる 認証したユーザーごとに一時的なアクセスキーを発行することで実現

  11. IAM ベストプラクティス 1. AWS アカウント(ルート)のアクセスキーをロックする 2. 個々のIAM ユーザーを作成する 3. IAM

    ユーザーへのアクセス権限を割り当てるためにグループを使う 4. 最小限の特権を認める 5. ユーザーのために強度の高いパスワードを設定する 6. 特権ユーザーに対して、MFA を有効化する 7. EC2で作動するアプリケーションに対し、ロールを使用する 8. 認証情報を共有するのではなく、ロールを使って委託する 9. 認証情報を定期的にローテーションする 10. 不要な認証情報の削除 11. 追加セキュリティに対するポリシー条件を使用する 12. AWSアカウントのアクティビティの履歴の保持

  12. 参考  IAMドキュメント群 http://aws.amazon.com/jp/documentation/iam/  IAMベストプラクティス http://docs.aws.amazon.com/IAM/latest/UserGuide/IAMBestPracti ces.html

  13. ご静聴ありがとうございました