Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Change Managerで始める本番アクセス統制 / Access Control Sta...

Change Managerで始める本番アクセス統制 / Access Control Starting with Change Manager

「JAWS-UG 名古屋 IDとアクセス管理を語る」で発表した資料
https://jawsug-nagoya.doorkeeper.jp/events/155386

「クラウドセキュリティエンジニアブログ」 詳細な実装手順やポイントを掲載
Change Managerによる変更管理と本番アクセス統制 ①動機づけ編
https://devblog.nuligen.com/entry/20221205/1670215415
Change Managerによる変更管理と本番アクセス統制 ②マルチアカウント&IAM設計編
https://devblog.nuligen.com/entry/20221205/1670215444
Change Managerによる変更管理と本番アクセス統制 ③Session Managerログイン&ロギング編
https://devblog.nuligen.com/entry/20221205/1670215458
Change Managerによる変更管理と本番アクセス統制 ④Change Managerセットアップ編
https://devblog.nuligen.com/entry/20221205/1670215474
Change Managerによる変更管理と本番アクセス統制 ⑤テンプレート作成編
https://devblog.nuligen.com/entry/20221205/1670215486
Change Managerによる変更管理と本番アクセス統制 ⑥動作確認編
https://devblog.nuligen.com/entry/20221205/1670215510
Change Managerによる変更管理と本番アクセス統制 ⑦まとめ
https://devblog.nuligen.com/entry/20221205/1670215524

Yuji Oshima

May 02, 2023
Tweet

More Decks by Yuji Oshima

Other Decks in Technology

Transcript

  1. 自己紹介 ◼ 大島 悠司 (Yuji Oshima) • ニューリジェンセキュリティ株式会社 • クラウドセキュリティアーキテクト/基盤リーダー

    • AWS Community Builders (Security & Identity) • 2023 Japan AWS Top Engineers (Security) • 2022 - 2023 Japan AWS All Certifications Engineers ◼ 経歴 • デジタルフォレンジック、マルウェア解析、スレットインテリジェンス • SOC、基盤運用、インシデントレスポンス • ニューリジェンの創業メンバーとして サービス開発 / 基盤構築運用 / 研究開発 などに従事 yuj1osm 2
  2. マルチアカウント ◼ マルチアカウント構成のメリット • セキュリティやガバナンスの向上 • 課金の分離 • 運用の効率化 ◼

    アカウント分離の切り口 • 開発環境 • ステージング環境 • 本番環境 AWS Cloud(開発) AWS Cloud(ステージング) AWS Cloud(本番) 5
  3. 各アカウントにIAMユーザを作成 ◼ IAMユーザを各アカウントに作るデメリット • アカウントごとにログインが必要になる • IAMユーザが増えるにつれてポリシーの管理が複雑化 • セキュリティリスクが高まる AWS

    Cloud(開発) User1 User2 User3 AWS Cloud(ステージング) User1 User2 User3 AWS Cloud(本番) User1 User2 User3 User1 User2 User3 各AWSアカウントへ それぞれログイン 6
  4. Jumpアカウント方式 ◼ Jumpアカウントを用意し、IAMユーザを集約 ◼ 利用者はJumpアカウントにログインし、各アカウントへスイッチロール ◼ 各アカウントの権限はスイッチ先ロールに付与 AWS Cloud(開発) AWS

    Cloud(ステージング) AWS Cloud(本番) User1 User2 User3 Jumpアカウントへ ログイン AWS Cloud(Jump) User1 User2 User3 Role Permissions Role Permissions Role Permissions AWS STS 各アカウントへ スイッチロール Permissions 7
  5. Change Managerでアクセス管理 ◼ Change Managerとは? • AWS Systems Managerの1機能であり、アプリやインフラの変更管理を提供 •

    承認フローを組める ◼ どのように変更管理と本番アクセス統制をするか • 本番アクセス用グループを新たに作成 • このグループからのみ本番環境の作業ロールにスイッチ可能 • Change Managerの承認でこのグループに追加 • グループ追加とともにTTLタグをつける ※グループの参加期限を示したタグ 11
  6. Change Managerによる本番アクセス統制 参考資料 ◼ 「クラウドセキュリティエンジニアブログ」 詳細な実装手順やポイントを掲載 • Change Managerによる変更管理と本番アクセス統制 ①動機づけ編

    https://devblog.nuligen.com/entry/20221205/1670215415 • Change Managerによる変更管理と本番アクセス統制 ②マルチアカウント&IAM設計編 https://devblog.nuligen.com/entry/20221205/1670215444 • Change Managerによる変更管理と本番アクセス統制 ③Session Managerログイン&ロギング編 https://devblog.nuligen.com/entry/20221205/1670215458 • Change Managerによる変更管理と本番アクセス統制 ④Change Managerセットアップ編 https://devblog.nuligen.com/entry/20221205/1670215474 • Change Managerによる変更管理と本番アクセス統制 ⑤テンプレート作成編 https://devblog.nuligen.com/entry/20221205/1670215486 • Change Managerによる変更管理と本番アクセス統制 ⑥動作確認編 https://devblog.nuligen.com/entry/20221205/1670215510 • Change Managerによる変更管理と本番アクセス統制 ⑦まとめ https://devblog.nuligen.com/entry/20221205/1670215524 26