Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS アカウントへのログインを一時的に許可する簡易承認ワークフローを作ってみた

Tsukasa_Ishimaru
June 30, 2023
Technology
0
130

AWS アカウントへのログインを一時的に許可する簡易承認ワークフローを作ってみた

Tsukasa_Ishimaru

June 30, 2023
Tweet

More Decks by Tsukasa_Ishimaru

See All by Tsukasa_Ishimaru
Aurora_BlueGreenDeploymentsやってみた
tsukasa_ishimaru
1
130
WafCharm使ってみた
tsukasa_ishimaru
0
140
IaCジェネレーターとBedrockで詳細設計書を生成してみた
tsukasa_ishimaru
5
1.5k
AWS Application Composer使ってみた
tsukasa_ishimaru
0
220
AWSコスト削減~EC2・RDS自動起動・停止~
tsukasa_ishimaru
0
270

Other Decks in Technology

See All in Technology
誰も全体を知らない ~ ロールの垣根を超えて引き上げる開発生産性 / Boosting Development Productivity Across Roles
kakehashi
1
230
Exadata Database Service on Dedicated Infrastructure(ExaDB-D) UI スクリーン・キャプチャ集
oracle4engineer
PRO
2
3.2k
Amazon CloudWatch Network Monitor のススメ
yuki_ink
1
210
Zennのパフォーマンスモニタリングでやっていること
ryosukeigarashi
0
150
OS 標準のデザインシステムを超えて - より柔軟な Flutter テーマ管理 | FlutterKaigi 2024
ronnnnn
0
220
CDCL による厳密解法を採用した MILP ソルバー
imai448
3
140
Incident Response Practices: Waroom's Features and Future Challenges
rrreeeyyy
0
160
なぜ今 AI Agent なのか _近藤憲児
kenjikondobai
4
1.4k
AWS Lambda のトラブルシュートをしていて思うこと
kazzpapa3
2
180
10XにおけるData Contractの導入について: Data Contract事例共有会
10xinc
6
660
SSMRunbook作成の勘所_20241120
koichiotomo
3
160
New Relicを活用したSREの最初のステップ / NRUG OKINAWA VOL.3
isaoshimizu
3
630

Featured

See All Featured
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
28
2k
Building Your Own Lightsaber
phodgson
103
6.1k
How to Think Like a Performance Engineer
csswizardry
20
1.1k
How to train your dragon (web standard)
notwaldorf
88
5.7k
Rebuilding a faster, lazier Slack
samanthasiow
79
8.7k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
8
900
A Philosophy of Restraint
colly
203
16k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
665
120k
What's in a price? How to price your products and services
michaelherold
243
12k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
329
21k
Raft: Consensus for Rubyists
vanstee
136
6.6k
Side Projects
sachag
452
42k

Transcript

  1. AWSアカウントへのログインを一時的に 許可する簡易承認ワークフローを作ってみた 2023年6月29日 【AWS×BTC】AWS LT大会 株式会社セゾン情報システムズ 石丸 司 #aws_lt_saison_btc

  2. 目次 1.自己紹介 2.はじめに 3.システム構成図 4.運用イメージ 5.改善点 6.おわりに #aws_lt_saison_btc

  3. 1. 自己紹介 ▪氏名:石丸司(いしまるつかさ) ▪所属:セゾン情報システムズ ▪経歴 2017/4/1 : 新卒入社 2017/7/1~2022/3/31 :

    基幹システムのアプリ開発・維持保守 2022/4/1~ : AWSインフラの構築・維持保守 ▪最近の活動 JAPAN AWS Top Engineers選出を目指し、資格取得、Qiita投稿・LT登壇などを実施中 Twitter:@tsukasa_aws #aws_lt_saison_btc

  4. 2. はじめに マルチアカウント環境にて、本番作業で使用する作業用ロール(管理者権限ロール)への アクセス(スイッチロール)管理を手作業で行っているケースが多いのではないでしょうか。 この運用を自動化できないか検討・試作してみましたので、 今回はその内容をご紹介したいと思います。 踏み台アカウント 作業対象アカウント IAMユーザー (作業用IAMロールへ

    のスイッチロール用) Excelにて 踏み台アカウント IAMユーザーの パスワードを管理 作業用IAMロール (管理者権限) スイッチロール #aws_lt_saison_btc ・・・

  5. 3. システム構成図 踏み台アカウント 作業対象アカウント 作業用IAMロール (管理者権限ロール) SystemsManager Automation ※ 承認者

    開始用Eventbridge Schedule作成 承認ステップ 終了用Eventbridge Schedule作成 Scheduler Scheduler AWS Lambda 踏み台アカウントの Lambdaアクセス用 IAMロール 作業者 ③承認 ②通知 ①実行 ④スケジュール作成 ⑤実行 ⑥スイッチロール ⑦信頼ポリシーを変更 カスタムランブック #aws_lt_saison_btc ※SystemsManager Automationとは AWS リソースのメンテナンス作業を自動化するためのSystems Manager内の機能 Chatbot SNS ※参考にさせて頂いた記事 https://dev.classmethod.jp/articles/workflow-to- add-temporary-privilege-by-ssm-automation/

  6. 4. 運用イメージ ①(作業者)SlackからSystemsManagerのカスタムランブックを実行 実行コマンドを送信 #aws_lt_saison_btc パラメータ設定 実行済メッセージ

  7. 4. 運用イメージ ②(承認者)Slackで承認依頼メッセージ確認&承認 承認 #aws_lt_saison_btc 承認画面遷移

  8. 4. 運用イメージ ③(AWS内部処理)作業用IAMロールの信頼ポリシーを変更 #aws_lt_saison_btc 踏み台アカウント 作業対象アカウント 作業用IAMロール (管理者権限ロール) SystemsManager Automation

    ※ 承認者 開始用Eventbridge Schedule作成 承認ステップ 終了用Eventbridge Schedule作成 Scheduler Scheduler AWS Lambda 踏み台アカウントの Lambdaアクセス用 IAMロール 作業者 ③承認 ②通知 ①実行 ④スケジュール作成 ⑤実行 ⑥スイッチロール ⑦信頼ポリシーを変更 カスタムランブック Chatbot SNS

  9. 4. 運用イメージ ④(作業者)踏み台アカウントのIAMユーザーにログイン&スイッチロール ログイン #aws_lt_saison_btc スイッチロール

  10. 4. 運用イメージ ⑤(作業者)作業完了後に作業対象アカウントからログアウト 入力した終了時刻に自動で 作業用IAMロールの信頼ポリシーを初期化 ⇒スイッチロール不可の状態になる #aws_lt_saison_btc

  11. 5. 改善点 • 承認者への承認依頼通知をSlackに飛ばす (Chatbotが非対応なので、Lambda or EventBridge + SNS) •

    複数の作業者の作業時間が被る場合の考慮 • AWS IAM Identity Center対応(SSOユーザー対応) • CloudFormationテンプレート作成 #aws_lt_saison_btc

  12. 6. おわりに • 今回ご紹介した事例が少しでもお役にたてれば幸いです。 • SystemsManagerを使用した、様々な運用作業自動化の事例が増 えていくことを願っています。 #aws_lt_saison_btc

  13. ご清聴ありがとうございました #aws_lt_saison_btc