Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS Systems Manager Change Managerを利用した本番アクセス統制 / Access Controle with AWS Systems Manager Change Manager

Yuji Oshima
October 28, 2022
Technology
2
1.1k

AWS Systems Manager Change Managerを利用した本番アクセス統制 / Access Controle with AWS Systems Manager Change Manager

「JAWS-UG情シス支部 第28回」で発表した資料
https://jawsug-sysad.connpass.com/event/261308/

「クラウドセキュリティエンジニアブログ」 詳細な実装手順やポイントを掲載
Change Managerによる変更管理と本番アクセス統制 ①動機づけ編
https://devblog.nuligen.com/entry/20221205/1670215415
Change Managerによる変更管理と本番アクセス統制 ②マルチアカウント&IAM設計編
https://devblog.nuligen.com/entry/20221205/1670215444
Change Managerによる変更管理と本番アクセス統制 ③Session Managerログイン&ロギング編
https://devblog.nuligen.com/entry/20221205/1670215458
Change Managerによる変更管理と本番アクセス統制 ④Change Managerセットアップ編
https://devblog.nuligen.com/entry/20221205/1670215474
Change Managerによる変更管理と本番アクセス統制 ⑤テンプレート作成編
https://devblog.nuligen.com/entry/20221205/1670215486
Change Managerによる変更管理と本番アクセス統制 ⑥動作確認編
https://devblog.nuligen.com/entry/20221205/1670215510
Change Managerによる変更管理と本番アクセス統制 ⑦まとめ
https://devblog.nuligen.com/entry/20221205/1670215524

Yuji Oshima

October 28, 2022
Tweet

More Decks by Yuji Oshima

See All by Yuji Oshima
AWS BuilderCardsの遊び方 / How to play AWS BuilderCards
yuj1osm
1
83
2023年のAWSセキュリティと生成AIを振り返る / Review AWS Security and Generative AI in 2023
yuj1osm
0
140
re:Invent 2023で感じたセキュリティの民主化と生成AI活用の未来 / The future of security democratization and generative AI as I felt at re:Invent 2023
yuj1osm
2
330
AWS Top Engineer (Security)がre:Invent 2023で見たセキュリティの民主化と生成AI活用の未来 / The future of security democratization and generative AI as seen by AWS Top Engineer (Security) at re:Invent 2023
yuj1osm
0
200
AWS re:Invent 2023に参加してきた ~Amazon Inspectorのアップデートを添えて~ / AWS re:Invent 2023 Participation Bulletin with Amazon Inspector Updates
yuj1osm
0
530
Amazon Inspectorの進化がアツい!脆弱性管理サービスをよりインテリジェントに / Amazon Inspector's Evolution is Hot! Making Vulnerability Management Services more Intelligent
yuj1osm
1
260
クラウド時代を生き抜くためのセキュリティ技術と人材育成 / Security Technology and Human Resource Development to Survive in the Cloud Era
yuj1osm
0
110
アナハイムに行ってきた!AWS re:Inforce 2023参加報告(速報版) / AWS re:Inforce 2023 Participation Bulletin
yuj1osm
0
780
AWS Summitを戦略的に楽しむ方法 / How to Enjoy AWS Summit Strategically
yuj1osm
0
600

Other Decks in Technology

See All in Technology
Building a RAG-powered AI chat app with Python and VS Code
pamelafox
0
100
サーバー間 GraphQL と webmock-graphql の話 / server-to-server graphql and webmock-graphql
qsona
2
190
リテール金融(キャッシュレス・ネット銀行・ネット証券)の競争環境と経済圏
8maki
0
1.2k
障害対応をちょっとずつよくしていくための 演習の作りかた
heleeen
0
240
Google Cloud Next '24 Recap(Cloud Run/k8s)
mokocm
0
240
AWSに詳しくない人でも始められるコスト最適化ガイド
yuhta28
1
250
競技としてのKaggle、役に立つKaggle
yu4u
3
1.9k
反実仮想機械学習とは何か
usaito
PRO
11
4.7k
Terraformあれやこれ/terraform-this-and-that
emiki
8
1.4k
Google Cloud Next '24でブログを10本書いた方法と勉強会を沸かせた方法
yasumuusan
0
310
Vertex AI を中心に 生成AIのアップデートを共有します
kaz1437
0
310
ワールドカフェI /チューターを改良する / World Café I and Improving the Tutors
ks91
PRO
0
120

Featured

See All Featured
Pencils Down: Stop Designing & Start Developing
hursman
117
11k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
30
6k
What the flash - Photography Introduction
edds
64
11k
Design by the Numbers
sachag
274
18k
Visualization
eitanlees
136
14k
In The Pink: A Labor of Love
frogandcode
138
21k
Large-scale JavaScript Application Architecture
addyosmani
504
110k
Build The Right Thing And Hit Your Dates
maggiecrowley
24
2k
Rebuilding a faster, lazier Slack
samanthasiow
73
8.2k
Typedesign – Prime Four
hannesfritz
36
2.1k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
244
20k
How STYLIGHT went responsive
nonsquared
92
4.8k

Transcript

  1. AWS Systems Manager Change Managerを 利用した本番アクセス統制 大島 悠司 JAWS-UG情シス支部 第28回

  2. 自己紹介 ◼ 大島 悠司(おおしま ゆうじ) • ニューリジェンセキュリティ株式会社 • クラウドセキュリティアーキテクト/基盤リーダー •

    2022 APN ALL AWS Certifications Engineers ◼ 経歴 • デジタルフォレンジック、マルウェア解析、スレットインテリジェンス • SOC、基盤運用、インシデントレスポンス • ニューリジェンの創業メンバーとして サービス開発/基盤構築運用/研究開発に従事 Azure×6, GCP×4 CISSP, GIAC×3, ISACA×2 yuj1osm 2

  3. アジェンダ ◼ マルチアカウント構成とIAM設計 ◼ Change Managerで実現する本番アクセス統制 3

  4. マルチアカウント構成とIAM設計 4

  5. マルチアカウント ◼ マルチアカウント構成のメリット • セキュリティやガバナンスの向上 • 課金の分離 • 運用の効率化 ◼

    アカウント分離の切り口 • 開発環境 • ステージング環境 • 本番環境 AWS Cloud(開発) AWS Cloud(ステージング) AWS Cloud(本番) 5

  6. 各アカウントにIAMユーザを作成 ◼ IAMユーザを各アカウントに作るデメリット • アカウントごとにログインが必要になる • IAMユーザが増えるにつれてポリシーの管理が複雑化 • セキュリティリスクが高まる AWS

    Cloud(開発) User1 User2 User3 AWS Cloud(ステージング) User1 User2 User3 AWS Cloud(本番) User1 User2 User3 User1 User2 User3 各AWSアカウントへ それぞれログイン 6

  7. Jumpアカウント方式 ◼ Jumpアカウントを用意し、IAMユーザを集約 ◼ 利用者はJumpアカウントにログインし、各アカウントへスイッチロール ◼ 各アカウントの権限はスイッチ先ロールに付与 AWS Cloud(開発) AWS

    Cloud(ステージング) AWS Cloud(本番) User1 User2 User3 Jumpアカウントへ ログイン AWS Cloud(Jump) User1 User2 User3 Role Permissions Role Permissions Role Permissions AWS STS 各アカウントへ スイッチロール Permissions 7

  8. IAM設計のコツ ◼ 役割ごとにグループを分ける ◼ グループに対して、スイッチできるアカウントとロールを固定 • リーダーグループは高権限のロール、メンバーグループは低権限のロールにスイッチ • 読み取り専用権限のロールもあると安心 8

  9. 本番環境へのアクセス統制どうする? ◼ 変更管理 • 誰が、いつ、変更作業のために本番環境にログインしたか追える? ◼ 本番アクセス統制 • 本番環境にいつでもログインできるようになっていないか? ここをどうやって

    管理・統制する? 9

  10. Change Managerで実現する本番アクセス統制 10

  11. Change Managerでアクセス管理 ◼ Change Managerとは? • AWS Systems Managerの1機能であり、アプリやインフラの変更管理を提供 •

    承認フローを組める ◼ どのように変更管理と本番アクセス統制をするか • 本番アクセス用グループを新たに作成 • このグループからのみ本番環境の作業ロールにスイッチ可能 • Change Managerの承認でこのグループに追加 • グループ追加とともにTTLタグをつける ※グループの参加期限を示したタグ 11

  12. 結論から ◼ これを作ります 12

  13. Change Managerセットアップ ◼ 機能を委任する 13

  14. Quick Setup ◼ 機能をメンバーアカウントに委任する Systems ManagerのQuick Setupから、 Change Managerをセットアップ 委任管理者アカウント、権限、変更が及ぶ

    範囲(組織やOU単位)で設定 14

  15. テンプレート作成 ◼ ドキュメントとテンプレート 15

  16. ドキュメントを作成する ◼ Change Managerテンプレートはドキュメントを参照するので、まずはドキュメントを作成 ・ドキュメントは具体的なタスクを定義 ・AWS APIを叩ける ・yamlで記載できる ・ここで2つのドキュメントを作成する ①グループ追加

    & TTLタグ付与 ②グループ離脱 & TTLタグ削除 ※TTLタグ:どのグループに、いつまで 追加され続けるか管理 16

  17. テンプレートを作成する ◼ 参照するドキュメントを指定し、Change Managerテンプレートを作成 ・テンプレートは承認者や通知先を定義 ・yamlで記載できる ・ここで2つのテンプレートを作成する ①グループ追加 & TTLタグ付与

    ②グループ離脱 & TTLタグ削除 17

  18. テンプレートを承認 ◼ テンプレート登録には承認が必要 テンプレート作成者がレビュー依頼 承認者がコメント付きで承認 承認済みになり使えるようになる 18

  19. 動作確認 ◼ 承認フローを得て本番環境にアクセスできるか確認 19

  20. 事前アクセス確認 ◼ ProdMemberWorkGroupに所属していないのでスイッチ不可 20

  21. リクエスト作成 ◼ 本番作業をするユーザがリクエストを作成する リクエストを作成する パラメータを入力 ・IAMユーザ名 ・グループ名(本番作業グループ) ・TTL(作業終了日時) 承認依頼 21

  22. リクエスト承認 ◼ 承認者が承認する タスクが実行される 承認者がコメント付きで承認 タイムラインでタスクのステータスや 承認者が見れる 22

  23. 本番環境へスイッチロール ◼ 再度、本番環境へスイッチロールしてみる リクエスト作成で入力した グループへの追加と、 TTLタグが付いている 今度は本番環境へスイッチロールできた 23

  24. 作業終了のリクエスト忘れへの対策 ◼ 作業終了のリクエストがされなければ本番アクセスできたままになってしまう ◼ ここでTTLタグを使って強制的にグループ離脱をさせる 例えば、以下のようなLambdaで定期的に実行 ・全ユーザのタグ値と現在日時を比較する ・タグ値 < 現在日時

    なら、タグとともにタグキーに 記載のグループから離脱させる ・強制離脱させた場合やタグ値のフォーマット誤りが あれば、エラーメールを出す メール例 24

  25. 全体図を振り返り 25

  26. まとめ ◼ マルチアカウント構成やIAM設計は、本番環境へのアクセス権限が過剰でないかを確認 ◼ サイバー攻撃だけでなく、内部不正対策として変更管理やアクセス統制も重要 ◼ Change Managerを使うことで変更管理とアクセス統制の仕組みを実装可能 26