Upgrade to Pro — share decks privately, control downloads, hide ads and more …

漏洩しても大丈夫なクレデンシャル運用ができないか考えてみた.pdf

umihico
March 14, 2022
Programming
0
920

 漏洩しても大丈夫なクレデンシャル運用ができないか考えてみた.pdf

JAWS-UG朝会 #31での登壇資料
https://jawsug-asa.connpass.com/event/230408/

公開terraformモジュール
https://registry.terraform.io/modules/umihico/antitheft-credentials/aws/latest

umihico

March 14, 2022
Tweet

Other Decks in Programming

See All in Programming
TYPO3 v13 – The road to LTS: What's new and new APIs
luisasofie_xoxo
0
190
Code Reviews
bkuhlmann
4
890
Zero Waste, Radical Magic, and Italian Graft – Quarkus Efficiency Secrets
hollycummins
0
230
PostmanでAPIの動作確認が楽になった話
h455h1
0
160
Blue/Greenデプロイの導入による 運用フローの改善
kudoas
1
360
Git Lint
bkuhlmann
4
750
"config" ってなんだ? / What is "config"?
okashoi
0
240
単体テストを書かない技術 #phpcon_odawara
o0h
PRO
26
8.2k
PHP8.3の機能を振り返る / Review of PHP 8.3 features
seike460
PRO
1
110
Tailwind CSSを本気でカスタマイズする方法
fsubal
13
5.1k
Java 22 Overview
kishida
1
180
今、知っておきたい! 生成AIエージェントの世界
elith
3
350

Featured

See All Featured
Designing for Performance
lara
601
67k
Six Lessons from altMBA
skipperchong
21
3k
Designing for humans not robots
tammielis
248
25k
Robots, Beer and Maslow
schacon
PRO
155
7.9k
jQuery: Nuts, Bolts and Bling
dougneiner
59
7.1k
Raft: Consensus for Rubyists
vanstee
132
6.3k
Practical Orchestrator
shlominoach
182
9.7k
5 minutes of I Can Smell Your CMS
philhawksworth
199
19k
We Have a Design System, Now What?
morganepeng
43
6.7k
Imperfection Machines: The Place of Print at Facebook
scottboms
260
12k
The Pragmatic Product Professional
lauravandoore
25
5.8k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
322
20k

Transcript

  1. Github: @umihico Twitter: @umihico_ JAWS-UG朝会 #31 漏洩しても大丈夫なクレデンシャル運用 ができないか考えてみた

  2. MFA AssumeRole AWS Vault awslabs/ git-secrets IPアドレス制限 Githubへpush ◦ ◦

    × ◦ ◦ ~/.aws/credentials ~/.aws/cli/cache リークされる × × ◦ × ◦ 環境変数を リークされる ◦ ◦ × × ◦ リーク先のリモートから ではなく端末上で叩か れる × × × × × やらかし防衛策を並べてみたらIP制限したくなった

  3. 1. 未許可の IP からでも許可申請を受け付けるには a. 踏み台っぽい IAM user を作る b.

    IP 制限だけ書き換えれる最低限の権限を持たせる c. 踏み台ユーザーは MFA 必須、かつキャッシュしないように漏洩対策をす る 2. 複数 IP でも利用できるようにするには a. 申請日時を管理して、一定期間ずつ IP を貯める必要がある b. 同時更新されても整合性を守りたい 利用技術 - DynamoDB - TTL (Time To Live) - Iam - Permission Boundary 可変IP、複数IPでも使える基盤を考えてみる

  4. これはつまり IAM のポリシーである JSON を書き換えること ( iam:CreatePolicy, iam:PutRolePolicy, iam:PutUserPolicy 等)

    JSON を書き換える権限であるため、「 IP リストだけ書き換える権限」という ものは作成が不可 →うっかり許可すると Action, Resource も含めた JSON 全体を編集でき、 踏み台ユーザーがメインユーザーの権限エスカレーションを実行できて しまう 安全性を高めるどころか、とんでもない脆弱性を持たせるところだった 編集権限は Permission Boundary の JSON とし、エスカレーションリスク無 く権限を「絞る」ことができて無事に解決 IAMの権限を書き換える権限(メタ権限?)の注意

  5. DynamoDBのTTL(Time To Live) - TTL を設定することで自然消滅してくれる - これがないと定期実行して古すぎる作成日を削除するバッチを作らないといけなくな る ご清聴ありがとうございました

    今回の terraform モジュールを公開しています https://registry.terraform.io/modules/umihico