Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS アカウントへのログインを一時的に許可する簡易承認ワークフローを作ってみた
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Tsukasa_Ishimaru
June 30, 2023
Technology
270
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
AWS アカウントへのログインを一時的に許可する簡易承認ワークフローを作ってみた
Tsukasa_Ishimaru
June 30, 2023
More Decks by Tsukasa_Ishimaru
See All by Tsukasa_Ishimaru
Aurora_BlueGreenDeploymentsやってみた
tsukasa_ishimaru
1
260
WafCharm使ってみた
tsukasa_ishimaru
0
320
IaCジェネレーターとBedrockで詳細設計書を生成してみた
tsukasa_ishimaru
5
2.6k
AWS Application Composer使ってみた
tsukasa_ishimaru
0
310
AWSコスト削減~EC2・RDS自動起動・停止~
tsukasa_ishimaru
0
380
Other Decks in Technology
See All in Technology
エンジニアリング戦略の作り方 / Crafting Engineering Strategy
iwashi86
20
6.6k
Snowflakeと仲良くなる第一歩
coco_se
4
430
ポケモンの型をTypeScriptの型システムで表現してみた
subroh0508
0
370
"何を作るか"を任される エンジニアは、どう育つのか
yutaokafuji
1
610
AGENTS.mdとSkillsで始めるAIエージェント活用
sonoda_mj
3
200
Claude Code の Sandbox 機能を Anthropic Sandbox Runtime(srt) で試そう!/lets-play-anthropic-sandbox-runtime
tomoki10
1
550
ルールやカスタム機能、どう活かす?ハンズオンで体感するIBM Bobの出力コントロール
muehara
1
130
なぜ Platform Engineering の土台に Kubernetes を選ぶのか
r4ynode
2
590
Kubernetesにおける学習基盤とLLMOpsの概要
ry
1
250
SIer20年! 培ったスキルがスタートアップで輝く時
shucho0103
0
840
AAIFに入ってみた ~内から見えるコミュニティ動向~
sato4
0
160
Dario Amodi『Policy on the AI Exponential』を理解する
nagatsu
0
220
Featured
See All Featured
Making the Leap to Tech Lead
cromwellryan
135
9.9k
The Invisible Side of Design
smashingmag
302
52k
Six Lessons from altMBA
skipperchong
29
4.3k
My Coaching Mixtape
mlcsv
0
140
Joys of Absence: A Defence of Solitary Play
codingconduct
1
390
Future Trends and Review - Lecture 12 - Web Technologies (1019888BNR)
signer
PRO
0
3.6k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
141
35k
AI Search: Where Are We & What Can We Do About It?
aleyda
0
7.6k
Digital Ethics as a Driver of Design Innovation
axbom
PRO
1
310
コードの90%をAIが書く世界で何が待っているのか / What awaits us in a world where 90% of the code is written by AI
rkaga
62
44k
How to build an LLM SEO readiness audit: a practical framework
nmsamuel
1
770
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
38
2.9k
Transcript
AWSアカウントへのログインを一時的に 許可する簡易承認ワークフローを作ってみた 2023年6月29日 【AWS×BTC】AWS LT大会 株式会社セゾン情報システムズ 石丸 司 #aws_lt_saison_btc
目次 1.自己紹介 2.はじめに 3.システム構成図 4.運用イメージ 5.改善点 6.おわりに #aws_lt_saison_btc
1. 自己紹介 ▪氏名:石丸司(いしまるつかさ) ▪所属:セゾン情報システムズ ▪経歴 2017/4/1 : 新卒入社 2017/7/1~2022/3/31 :
基幹システムのアプリ開発・維持保守 2022/4/1~ : AWSインフラの構築・維持保守 ▪最近の活動 JAPAN AWS Top Engineers選出を目指し、資格取得、Qiita投稿・LT登壇などを実施中 Twitter:@tsukasa_aws #aws_lt_saison_btc
2. はじめに マルチアカウント環境にて、本番作業で使用する作業用ロール(管理者権限ロール)への アクセス(スイッチロール)管理を手作業で行っているケースが多いのではないでしょうか。 この運用を自動化できないか検討・試作してみましたので、 今回はその内容をご紹介したいと思います。 踏み台アカウント 作業対象アカウント IAMユーザー (作業用IAMロールへ
のスイッチロール用) Excelにて 踏み台アカウント IAMユーザーの パスワードを管理 作業用IAMロール (管理者権限) スイッチロール #aws_lt_saison_btc ・・・
3. システム構成図 踏み台アカウント 作業対象アカウント 作業用IAMロール (管理者権限ロール) SystemsManager Automation ※ 承認者
開始用Eventbridge Schedule作成 承認ステップ 終了用Eventbridge Schedule作成 Scheduler Scheduler AWS Lambda 踏み台アカウントの Lambdaアクセス用 IAMロール 作業者 ③承認 ②通知 ①実行 ④スケジュール作成 ⑤実行 ⑥スイッチロール ⑦信頼ポリシーを変更 カスタムランブック #aws_lt_saison_btc ※SystemsManager Automationとは AWS リソースのメンテナンス作業を自動化するためのSystems Manager内の機能 Chatbot SNS ※参考にさせて頂いた記事 https://dev.classmethod.jp/articles/workflow-to- add-temporary-privilege-by-ssm-automation/
4. 運用イメージ ①(作業者)SlackからSystemsManagerのカスタムランブックを実行 実行コマンドを送信 #aws_lt_saison_btc パラメータ設定 実行済メッセージ
4. 運用イメージ ②(承認者)Slackで承認依頼メッセージ確認&承認 承認 #aws_lt_saison_btc 承認画面遷移
4. 運用イメージ ③(AWS内部処理)作業用IAMロールの信頼ポリシーを変更 #aws_lt_saison_btc 踏み台アカウント 作業対象アカウント 作業用IAMロール (管理者権限ロール) SystemsManager Automation
※ 承認者 開始用Eventbridge Schedule作成 承認ステップ 終了用Eventbridge Schedule作成 Scheduler Scheduler AWS Lambda 踏み台アカウントの Lambdaアクセス用 IAMロール 作業者 ③承認 ②通知 ①実行 ④スケジュール作成 ⑤実行 ⑥スイッチロール ⑦信頼ポリシーを変更 カスタムランブック Chatbot SNS
4. 運用イメージ ④(作業者)踏み台アカウントのIAMユーザーにログイン&スイッチロール ログイン #aws_lt_saison_btc スイッチロール
4. 運用イメージ ⑤(作業者)作業完了後に作業対象アカウントからログアウト 入力した終了時刻に自動で 作業用IAMロールの信頼ポリシーを初期化 ⇒スイッチロール不可の状態になる #aws_lt_saison_btc
5. 改善点 • 承認者への承認依頼通知をSlackに飛ばす (Chatbotが非対応なので、Lambda or EventBridge + SNS) •
複数の作業者の作業時間が被る場合の考慮 • AWS IAM Identity Center対応(SSOユーザー対応) • CloudFormationテンプレート作成 #aws_lt_saison_btc
6. おわりに • 今回ご紹介した事例が少しでもお役にたてれば幸いです。 • SystemsManagerを使用した、様々な運用作業自動化の事例が増 えていくことを願っています。 #aws_lt_saison_btc
ご清聴ありがとうございました #aws_lt_saison_btc
tsukasa_ishimaru
iwashi86
coco_se
subroh0508
yutaokafuji
sonoda_mj
tomoki10
muehara
r4ynode
ry
shucho0103
sato4
nagatsu
cromwellryan
smashingmag
skipperchong
mlcsv
codingconduct
signer
eileencodes
aleyda
axbom
rkaga
nmsamuel
