Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS アカウントへのログインを一時的に許可する簡易承認ワークフローを作ってみた

Tsukasa_Ishimaru
June 30, 2023
Technology
0
110

AWS アカウントへのログインを一時的に許可する簡易承認ワークフローを作ってみた

Tsukasa_Ishimaru

June 30, 2023
Tweet

More Decks by Tsukasa_Ishimaru

See All by Tsukasa_Ishimaru
IaCジェネレーターとBedrockで詳細設計書を生成してみた
tsukasa_ishimaru
4
920
AWS Application Composer使ってみた
tsukasa_ishimaru
0
180
AWSコスト削減~EC2・RDS自動起動・停止~
tsukasa_ishimaru
0
210

Other Decks in Technology

See All in Technology
ゼロから始めるVue.jsコミュニティ貢献 / first-vuejs-community-contribution-link-and-motivation
lmi
1
150
コードファーストの考え方。 Amplify Gen2から学ぶAWS次世代のWeb開発体験
yoshiitaka
2
470
社内アプリで Cloudflare D1を プロダクト運用してみた体験談(Tokyo)
haochenx
0
130
R3のコードから見る実践LINQ実装最適化・コンカレントプログラミング実例
neuecc
3
3.1k
さらばあのボタンとは言わせない SORACOM LTE-M Button powerd by AWSをまだ使えるようにした(前編?)
miura55
0
100
Documentação de Produtos: Artefatos essenciais na prática
rigolon
1
190
Python と Snowflake はズッ友だょ!~ Snowflake の Python 関連機能をふりかえる ~
__allllllllez__
2
150
Zero Data Loss Autonomous Recovery Service サービス概要
oracle4engineer
PRO
0
1.9k
Autonomous Database Cloud 技術詳細 / adb-s_technical_detail_jp
oracle4engineer
PRO
15
35k
自己改善からチームを動かす! 「セルフエンジニアリングマネージャー」のすゝめ
shoota
6
1.1k
止まらないLinuxシステムを構築する_高信頼性クラスタ入門
koedoyoshida
3
2.1k
BPStudyの200回を中心にIT業界を振り返る。そしてこれから
haru860
3
420

Featured

See All Featured
Debugging Ruby Performance
tmm1
70
11k
Optimizing for Happiness
mojombo
370
69k
Why You Should Never Use an ORM
jnunemaker
PRO
51
8.7k
Rebuilding a faster, lazier Slack
samanthasiow
74
8.2k
Raft: Consensus for Rubyists
vanstee
133
6.3k
How to Ace a Technical Interview
jacobian
273
22k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
79
43k
Building Flexible Design Systems
yeseniaperezcruz
320
37k
Learning to Love Humans: Emotional Interface Design
aarron
267
39k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
226
51k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
12
1k
Building Applications with DynamoDB
mza
88
5.6k

Transcript

  1. AWSアカウントへのログインを一時的に 許可する簡易承認ワークフローを作ってみた 2023年6月29日 【AWS×BTC】AWS LT大会 株式会社セゾン情報システムズ 石丸 司 #aws_lt_saison_btc

  2. 目次 1.自己紹介 2.はじめに 3.システム構成図 4.運用イメージ 5.改善点 6.おわりに #aws_lt_saison_btc

  3. 1. 自己紹介 ▪氏名:石丸司(いしまるつかさ) ▪所属:セゾン情報システムズ ▪経歴 2017/4/1 : 新卒入社 2017/7/1~2022/3/31 :

    基幹システムのアプリ開発・維持保守 2022/4/1~ : AWSインフラの構築・維持保守 ▪最近の活動 JAPAN AWS Top Engineers選出を目指し、資格取得、Qiita投稿・LT登壇などを実施中 Twitter:@tsukasa_aws #aws_lt_saison_btc

  4. 2. はじめに マルチアカウント環境にて、本番作業で使用する作業用ロール(管理者権限ロール)への アクセス(スイッチロール)管理を手作業で行っているケースが多いのではないでしょうか。 この運用を自動化できないか検討・試作してみましたので、 今回はその内容をご紹介したいと思います。 踏み台アカウント 作業対象アカウント IAMユーザー (作業用IAMロールへ

    のスイッチロール用) Excelにて 踏み台アカウント IAMユーザーの パスワードを管理 作業用IAMロール (管理者権限) スイッチロール #aws_lt_saison_btc ・・・

  5. 3. システム構成図 踏み台アカウント 作業対象アカウント 作業用IAMロール (管理者権限ロール) SystemsManager Automation ※ 承認者

    開始用Eventbridge Schedule作成 承認ステップ 終了用Eventbridge Schedule作成 Scheduler Scheduler AWS Lambda 踏み台アカウントの Lambdaアクセス用 IAMロール 作業者 ③承認 ②通知 ①実行 ④スケジュール作成 ⑤実行 ⑥スイッチロール ⑦信頼ポリシーを変更 カスタムランブック #aws_lt_saison_btc ※SystemsManager Automationとは AWS リソースのメンテナンス作業を自動化するためのSystems Manager内の機能 Chatbot SNS ※参考にさせて頂いた記事 https://dev.classmethod.jp/articles/workflow-to- add-temporary-privilege-by-ssm-automation/

  6. 4. 運用イメージ ①(作業者)SlackからSystemsManagerのカスタムランブックを実行 実行コマンドを送信 #aws_lt_saison_btc パラメータ設定 実行済メッセージ

  7. 4. 運用イメージ ②(承認者)Slackで承認依頼メッセージ確認&承認 承認 #aws_lt_saison_btc 承認画面遷移

  8. 4. 運用イメージ ③(AWS内部処理)作業用IAMロールの信頼ポリシーを変更 #aws_lt_saison_btc 踏み台アカウント 作業対象アカウント 作業用IAMロール (管理者権限ロール) SystemsManager Automation

    ※ 承認者 開始用Eventbridge Schedule作成 承認ステップ 終了用Eventbridge Schedule作成 Scheduler Scheduler AWS Lambda 踏み台アカウントの Lambdaアクセス用 IAMロール 作業者 ③承認 ②通知 ①実行 ④スケジュール作成 ⑤実行 ⑥スイッチロール ⑦信頼ポリシーを変更 カスタムランブック Chatbot SNS

  9. 4. 運用イメージ ④(作業者)踏み台アカウントのIAMユーザーにログイン&スイッチロール ログイン #aws_lt_saison_btc スイッチロール

  10. 4. 運用イメージ ⑤(作業者)作業完了後に作業対象アカウントからログアウト 入力した終了時刻に自動で 作業用IAMロールの信頼ポリシーを初期化 ⇒スイッチロール不可の状態になる #aws_lt_saison_btc

  11. 5. 改善点 • 承認者への承認依頼通知をSlackに飛ばす (Chatbotが非対応なので、Lambda or EventBridge + SNS) •

    複数の作業者の作業時間が被る場合の考慮 • AWS IAM Identity Center対応(SSOユーザー対応) • CloudFormationテンプレート作成 #aws_lt_saison_btc

  12. 6. おわりに • 今回ご紹介した事例が少しでもお役にたてれば幸いです。 • SystemsManagerを使用した、様々な運用作業自動化の事例が増 えていくことを願っています。 #aws_lt_saison_btc

  13. ご清聴ありがとうございました #aws_lt_saison_btc