Upgrade to Pro — share decks privately, control downloads, hide ads and more …

漏洩しても大丈夫なクレデンシャル運用ができないか考えてみた.pdf

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for umihico umihico
March 14, 2022
Programming
0
1.1k

 漏洩しても大丈夫なクレデンシャル運用ができないか考えてみた.pdf

JAWS-UG朝会 #31での登壇資料
https://jawsug-asa.connpass.com/event/230408/

公開terraformモジュール
https://registry.terraform.io/modules/umihico/antitheft-credentials/aws/latest

Avatar for umihico

umihico

March 14, 2022
Tweet

Other Decks in Programming

See All in Programming
15年続くIoTサービスの SREエンジニアが挑む 分散トレーシング導入
Avatar for Melonps melonps
2
230
QAフローを最適化し、品質水準を満たしながらリリースまでの期間を最短化する #RSGT2026
Avatar for shibayu36 shibayu36
2
4.4k
開発者から情シスまで - 多様なユーザー層に届けるAPI提供戦略 / Postman API Night Okinawa 2026 Winter
Avatar for tasshi tasshi
0
210
コマンドとリード間の連携に対する脅威分析フレームワーク
Avatar for Aja9tochin pandayumi
1
470
AIで開発はどれくらい加速したのか?AIエージェントによるコード生成を、現場の評価と研究開発の評価の両面からdeep diveしてみる
Avatar for どすこい daisuketakeda
1
2.5k
CSC307 Lecture 04
Avatar for Javier Gonzalez-Sanchez javiergs
PRO
0
660
今こそ知るべき耐量子計算機暗号(PQC)入門 / PQC: What You Need to Know Now
Avatar for mackey0225 mackey0225
3
390
要求定義・仕様記述・設計・検証の手引き - 理論から学ぶ明確で統一された成果物定義
Avatar for Kuniwak orgachem
PRO
1
250
なぜSQLはAIぽく見えるのか/why does SQL look AI like
Avatar for florets1 florets1
0
480
プロダクトオーナーから見たSOC2 _SOC2ゆるミートアップ#2
Avatar for Kenta Suzuki kekekenta
0
230
FOSDEM 2026: STUNMESH-go: Building P2P WireGuard Mesh Without Self-Hosted Infrastructure
Avatar for Date Huang tjjh89017
0
180
AIによる開発の民主化を支える コンテキスト管理のこれまでとこれから
Avatar for Mulyu mulyu
3
510

Featured

See All Featured
Helping Users Find Their Own Way: Creating Modern Search Experiences
Avatar for Dan Newman danielanewman
31
3.1k
Reflections from 52 weeks, 52 projects
Avatar for Jefferson Lam jeffersonlam
356
21k
The Organizational Zoo: Understanding Human Behavior Agility Through Metaphoric Constructive Conversations (based on the works of Arthur Shelley, Ph.D)
Avatar for Dr. Kim W Petersen kimpetersen
PRO
0
240
Evolving SEO for Evolving Search Engines
Avatar for Ryan Jones ryanjones
0
130
New Earth Scene 8
Avatar for Sydney Stone popppiees
1
1.5k
Raft: Consensus for Rubyists
Avatar for Patrick Van Stee vanstee
141
7.3k
GitHub's CSS Performance
Avatar for Jon Rohan jonrohan
1032
470k
Fight the Zombie Pattern Library - RWD Summit 2016
Avatar for Marcelo Somers marcelosomers
234
17k
Kristin Tynski - Automating Marketing Tasks With AI
Avatar for Tech SEO Connect techseoconnect
PRO
0
150
Why Mistakes Are the Best Teachers: Turning Failure into a Pathway for Growth
Avatar for Umar Saidu Auna auna
0
57
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
59
6.3k
Crafting Experiences
Avatar for Bethany Jepchumba bethany
1
55

Transcript

  1. Github: @umihico Twitter: @umihico_ JAWS-UG朝会 #31 漏洩しても大丈夫なクレデンシャル運用 ができないか考えてみた

  2. MFA AssumeRole AWS Vault awslabs/ git-secrets IPアドレス制限 Githubへpush ◦ ◦

    × ◦ ◦ ~/.aws/credentials ~/.aws/cli/cache リークされる × × ◦ × ◦ 環境変数を リークされる ◦ ◦ × × ◦ リーク先のリモートから ではなく端末上で叩か れる × × × × × やらかし防衛策を並べてみたらIP制限したくなった

  3. 1. 未許可の IP からでも許可申請を受け付けるには a. 踏み台っぽい IAM user を作る b.

    IP 制限だけ書き換えれる最低限の権限を持たせる c. 踏み台ユーザーは MFA 必須、かつキャッシュしないように漏洩対策をす る 2. 複数 IP でも利用できるようにするには a. 申請日時を管理して、一定期間ずつ IP を貯める必要がある b. 同時更新されても整合性を守りたい 利用技術 - DynamoDB - TTL (Time To Live) - Iam - Permission Boundary 可変IP、複数IPでも使える基盤を考えてみる

  4. これはつまり IAM のポリシーである JSON を書き換えること ( iam:CreatePolicy, iam:PutRolePolicy, iam:PutUserPolicy 等)

    JSON を書き換える権限であるため、「 IP リストだけ書き換える権限」という ものは作成が不可 →うっかり許可すると Action, Resource も含めた JSON 全体を編集でき、 踏み台ユーザーがメインユーザーの権限エスカレーションを実行できて しまう 安全性を高めるどころか、とんでもない脆弱性を持たせるところだった 編集権限は Permission Boundary の JSON とし、エスカレーションリスク無 く権限を「絞る」ことができて無事に解決 IAMの権限を書き換える権限(メタ権限?)の注意

  5. DynamoDBのTTL(Time To Live) - TTL を設定することで自然消滅してくれる - これがないと定期実行して古すぎる作成日を削除するバッチを作らないといけなくな る ご清聴ありがとうございました

    今回の terraform モジュールを公開しています https://registry.terraform.io/modules/umihico