SlideShare una empresa de Scribd logo
1 de 20
Descargar para leer sin conexión
CDPにIAM関連のデザインパターンが
無いので提案してみる
JAWS-UG CLI #16 LT
2015/03/30
Nobuhiro Nakayama
me.json
{
"name“ : "Nobuhiro Nakayama",
"favorite aws services“ : [
"Storage Gateway",
"Directory Service",
"IAM"
],
"certifications“ : [
"AWS Certified Solutions Architect-Associate",
"AWS Certified SysOps Administrator-Associate",
"Microsoft Certified Solutions Expert : Server Infrastructure",
"Microsoft Certified Solutions Expert : SharePoint“
“IPA : Network Specialist”
“IPA : Information Security Specialist”
]
}
2015/3/30 2
目次
• CDP(クラウドデザインパターン)
• 「サービス・リソースを保護するパターン」のご提案
2015/3/30 3
#17でManaged Policy入門の講師をします
• 波田野さん以外が講師をするのは初・・・ ((((;゚Д゚))))
• Qiitaでハンズオン資料を作成中
• そのとき、「CDPに参考になりそうなデザインパターンあるかも!」と思って調べてみた。
2015/3/30 4
2015/3/30 5
出典 http://aws.clouddesignpattern.org/images/a/ac/Cdp-overview-org.png
無かった・・・
2015/3/30 6
提案だ!
2015/3/30 7
とりあえず、提案してみる
1. Black List
2. White List
3. Resource Protection
4. Single Responsibility IAM Group
2015/3/30 8
Black List
• 概要
• 広い範囲のアクションを許可する権限と併せて、特定のアクションを禁止する権限を設定
• アクセス可否の決定ロジック
明示的なDeny > 明示的なAllow > デフォルトDeny
2015/3/30 9
Black List 設定例(1)
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "ec2:*",
"Effect": "Allow",
"Resource": "*"
}
]
}
2015/3/30 10
明示的に広範囲のActionをAllowを設定し、
Black List 設定例(2)
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ec2:TerminateInstances"
],
"Condition": {
"StringEquals": {
"ec2:Region": "ap-northeast-1"
}
},
"Resource": [
"*"
]
}
]
}
2015/3/30 11
AllowしたActionの一部をDenyする。
White List
• 概要
• 特定のアクションを許可する権限を設定
2015/3/30 12
White List 設定例(1)
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:RebootInstances",
"ec2:StartInstances",
"ec2:StopInstances"
],
"Resource": [
"*"
]
}
]
}
2015/3/30 13
明示的に狭い範囲のActionをAllowする。
Resource Protection
• 概要
• 重要なリソースの削除や変更を禁止する権限を設定
• EC2やRDSインスタンス、EBSボリューム
• EIP(一度リリースすると、同じEIPを確保するのはほぼ不可能)
• Hosted Zone(権威サーバのホスト名が変わる)
• S3バケット、ファイル(監査ログの改ざん、請求明細の消失、など)
• ResourceやConditionを利用
• Black Listの亜種
• Blue-Green Deploymentとかやってるとこには向かないかも?
• メリット・このパターンのねらい
• 誤操作や悪意をもった操作に対してリソースを保護
2015/3/30 14
Resource Protection 設定例(1)
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": “Allow",
"Action": [
“rds:*"
],
"Resource": [
“*"
]
}
]
}
2015/3/30 15
明示的に広範囲のActionをAllowし、
Resource Protection 設定例(2)
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"rds:DeleteDBInstance"
],
"Resource": [
"arn:aws:rds:ap-northeast-1:************:db:myinstance"
]
}
]
}
2015/3/30 16
特定のリソース/条件に対するActionをDenyする。
Single Responsibility IAM Group
• 概要
• 役割や機能単位でグループとポリシーを定義
• SRP(Single Responsibility Principle)のようなもの
• “A class should have only one reason to change.”
• グループにアタッチできるManaged Policyの上限は2つだが、単一の役割であれば十分なはず
• Managed Policyを利用することで、変更管理がしやすくなる(バージョン管理、ロールバック、など)
• ユーザは、担当する役割のグループに所属
• グループを分割しすぎると、グループに所属するユーザの管理が煩雑になるので注意が必要
• IAMユーザをIAMグループから削除し忘れる、など
• メリット・このパターンのねらい
• Managed Policyの新機能を生かしやすい(アタッチできる上限にひっかかりにくい)
• 複数バージョンの保持が可能
• ロールバックが簡単(Default Versionの変更)
• (うまく設計できれば)グループと役割が1:1になるで、わかりやすい。
• (たぶん)ポリシーが長くなりにくい
2015/3/30 17
Single Responsibility IAM Group
管理者
(全ての権限)
監査
(CloudTraliのログ
を閲覧)
監視
(CloudWatchの読
み取り権限)
運用
(EC2インスタンス
の起動・停止・再起
動)
User01 ○
User02 ○
User03 ○
User04 ○ ○
2015/3/30 18
各役割毎にグループとポリシーを定義
まとめ
• IAMを含んだデザインパターンが欲しい!
• デザインパターンとして明文化されていると、事故が減るのでは?
• CDPって、どなたかメンテしてるんでしょうか?
• 目黒支部の発足でメンテされるようになるといいなー・・・
• CloudTrail(とCloudWatchLogs)、Assume Role、Federation認証なども絡めたパターンも検討したい
• 次回の本編で(可能な範囲で)具体的な設計パターンについて議論できたらいいなーと思っていま
す!
2015/3/30 19
2015/3/30 20

Más contenido relacionado

Similar a JAWS-UG CLI専門支部 #16 CDPにIAM関連のデザインパターンが 無いので提案してみる

JAWS-UG CLI #34 LT AWS Directory Serviceで Microsoft ADがリリース されたので利用してみた
JAWS-UG CLI #34 LT AWS Directory ServiceでMicrosoft ADがリリースされたので利用してみたJAWS-UG CLI #34 LT AWS Directory ServiceでMicrosoft ADがリリースされたので利用してみた
JAWS-UG CLI #34 LT AWS Directory Serviceで Microsoft ADがリリース されたので利用してみたNobuhiro Nakayama
 
JAWS-UG CLI専門支部 #81 EC2 Systems Manager 入門
JAWS-UG CLI専門支部 #81 EC2 Systems Manager 入門JAWS-UG CLI専門支部 #81 EC2 Systems Manager 入門
JAWS-UG CLI専門支部 #81 EC2 Systems Manager 入門Nobuhiro Nakayama
 
JAWS-UG CLI専門支部 #13 Azure ADで AWSのManagementConsoleに SSOしてみた (代理認証編)
JAWS-UG CLI専門支部 #13 Azure ADでAWSのManagementConsoleにSSOしてみた(代理認証編)JAWS-UG CLI専門支部 #13 Azure ADでAWSのManagementConsoleにSSOしてみた(代理認証編)
JAWS-UG CLI専門支部 #13 Azure ADで AWSのManagementConsoleに SSOしてみた (代理認証編)Nobuhiro Nakayama
 
JAWS-UG CLI専門支部 #58 KMS入門
JAWS-UG CLI専門支部 #58 KMS入門JAWS-UG CLI専門支部 #58 KMS入門
JAWS-UG CLI専門支部 #58 KMS入門Nobuhiro Nakayama
 
JAWS-UG CLI #26 LT - AWSアカウントに秘密の質問を設定する必要はあるのか?
JAWS-UG CLI #26 LT - AWSアカウントに秘密の質問を設定する必要はあるのか?JAWS-UG CLI #26 LT - AWSアカウントに秘密の質問を設定する必要はあるのか?
JAWS-UG CLI #26 LT - AWSアカウントに秘密の質問を設定する必要はあるのか?Nobuhiro Nakayama
 
JAWS-UG Hybrid #1 Code Commitに光をあててみた
JAWS-UG Hybrid #1 Code Commitに光をあててみたJAWS-UG Hybrid #1 Code Commitに光をあててみた
JAWS-UG Hybrid #1 Code Commitに光をあててみたNobuhiro Nakayama
 
JAWS-UG CLI #33 LT - AWS Directory Serviceを LDAP Serverとして 利用してみた
JAWS-UG CLI #33 LT - AWS Directory ServiceをLDAP Serverとして利用してみたJAWS-UG CLI #33 LT - AWS Directory ServiceをLDAP Serverとして利用してみた
JAWS-UG CLI #33 LT - AWS Directory Serviceを LDAP Serverとして 利用してみたNobuhiro Nakayama
 
JAWS-UG CLI専門支部 #17 IAM Managed Policy入門
JAWS-UG CLI専門支部 #17 IAM Managed Policy入門JAWS-UG CLI専門支部 #17 IAM Managed Policy入門
JAWS-UG CLI専門支部 #17 IAM Managed Policy入門Nobuhiro Nakayama
 
JAWS-UG CLI専門支部 #74 Amazon Kinesis Firehose 入門
JAWS-UG CLI専門支部 #74 Amazon Kinesis Firehose 入門JAWS-UG CLI専門支部 #74 Amazon Kinesis Firehose 入門
JAWS-UG CLI専門支部 #74 Amazon Kinesis Firehose 入門Nobuhiro Nakayama
 
JAWS-UG CLI専門支部 #67 Amazon Machine Learning 入門
JAWS-UG CLI専門支部 #67 Amazon Machine Learning 入門JAWS-UG CLI専門支部 #67 Amazon Machine Learning 入門
JAWS-UG CLI専門支部 #67 Amazon Machine Learning 入門Nobuhiro Nakayama
 
AWS Black Belt Online Seminar 2017 AWS Summit Tokyo 2017 まとめ
AWS Black Belt Online Seminar 2017 AWS Summit Tokyo 2017 まとめAWS Black Belt Online Seminar 2017 AWS Summit Tokyo 2017 まとめ
AWS Black Belt Online Seminar 2017 AWS Summit Tokyo 2017 まとめAmazon Web Services Japan
 
JAWS-UG アーキテクチャ専門支部(ハイブリッド分科会) #9 EC2 Run Commnadのいいところ
JAWS-UG アーキテクチャ専門支部(ハイブリッド分科会) #9 EC2 Run CommnadのいいところJAWS-UG アーキテクチャ専門支部(ハイブリッド分科会) #9 EC2 Run Commnadのいいところ
JAWS-UG アーキテクチャ専門支部(ハイブリッド分科会) #9 EC2 Run CommnadのいいところNobuhiro Nakayama
 
AWS Black Belt Online Seminar - Amazon Lightsail
AWS Black Belt Online Seminar - Amazon Lightsail AWS Black Belt Online Seminar - Amazon Lightsail
AWS Black Belt Online Seminar - Amazon Lightsail Amazon Web Services Japan
 
Jaws festa-2014-cdp-01
Jaws festa-2014-cdp-01Jaws festa-2014-cdp-01
Jaws festa-2014-cdp-01宗 大栗
 
JAWS-UG CLI #37 AWS CodeCommit入門
JAWS-UG CLI #37 AWS CodeCommit入門 JAWS-UG CLI #37 AWS CodeCommit入門
JAWS-UG CLI #37 AWS CodeCommit入門 Nobuhiro Nakayama
 
【第21回Elasticsearch勉強会】aws環境に合わせてelastic stackをログ分析基盤として構築した話
【第21回Elasticsearch勉強会】aws環境に合わせてelastic stackをログ分析基盤として構築した話【第21回Elasticsearch勉強会】aws環境に合わせてelastic stackをログ分析基盤として構築した話
【第21回Elasticsearch勉強会】aws環境に合わせてelastic stackをログ分析基盤として構築した話Hibino Hisashi
 
JAWSDAYS2017 新訳 とあるアーキテクトのクラウドデザインパターン目録 AMI Maintenance Environment
JAWSDAYS2017 新訳 とあるアーキテクトのクラウドデザインパターン目録 AMI Maintenance EnvironmentJAWSDAYS2017 新訳 とあるアーキテクトのクラウドデザインパターン目録 AMI Maintenance Environment
JAWSDAYS2017 新訳 とあるアーキテクトのクラウドデザインパターン目録 AMI Maintenance EnvironmentJin k
 
アプリ開発&チーム管理で 役立った拡張機能
アプリ開発&チーム管理で役立った拡張機能アプリ開発&チーム管理で役立った拡張機能
アプリ開発&チーム管理で 役立った拡張機能Masaki Suzuki
 

Similar a JAWS-UG CLI専門支部 #16 CDPにIAM関連のデザインパターンが 無いので提案してみる (20)

JAWS-UG CLI #34 LT AWS Directory Serviceで Microsoft ADがリリース されたので利用してみた
JAWS-UG CLI #34 LT AWS Directory ServiceでMicrosoft ADがリリースされたので利用してみたJAWS-UG CLI #34 LT AWS Directory ServiceでMicrosoft ADがリリースされたので利用してみた
JAWS-UG CLI #34 LT AWS Directory Serviceで Microsoft ADがリリース されたので利用してみた
 
JAWS-UG CLI専門支部 #81 EC2 Systems Manager 入門
JAWS-UG CLI専門支部 #81 EC2 Systems Manager 入門JAWS-UG CLI専門支部 #81 EC2 Systems Manager 入門
JAWS-UG CLI専門支部 #81 EC2 Systems Manager 入門
 
JAWS-UG CLI専門支部 #13 Azure ADで AWSのManagementConsoleに SSOしてみた (代理認証編)
JAWS-UG CLI専門支部 #13 Azure ADでAWSのManagementConsoleにSSOしてみた(代理認証編)JAWS-UG CLI専門支部 #13 Azure ADでAWSのManagementConsoleにSSOしてみた(代理認証編)
JAWS-UG CLI専門支部 #13 Azure ADで AWSのManagementConsoleに SSOしてみた (代理認証編)
 
JAWS-UG CLI専門支部 #58 KMS入門
JAWS-UG CLI専門支部 #58 KMS入門JAWS-UG CLI専門支部 #58 KMS入門
JAWS-UG CLI専門支部 #58 KMS入門
 
JAWS-UG CLI #26 LT - AWSアカウントに秘密の質問を設定する必要はあるのか?
JAWS-UG CLI #26 LT - AWSアカウントに秘密の質問を設定する必要はあるのか?JAWS-UG CLI #26 LT - AWSアカウントに秘密の質問を設定する必要はあるのか?
JAWS-UG CLI #26 LT - AWSアカウントに秘密の質問を設定する必要はあるのか?
 
JAWS-UG Hybrid #1 Code Commitに光をあててみた
JAWS-UG Hybrid #1 Code Commitに光をあててみたJAWS-UG Hybrid #1 Code Commitに光をあててみた
JAWS-UG Hybrid #1 Code Commitに光をあててみた
 
JAWS-UG CLI #33 LT - AWS Directory Serviceを LDAP Serverとして 利用してみた
JAWS-UG CLI #33 LT - AWS Directory ServiceをLDAP Serverとして利用してみたJAWS-UG CLI #33 LT - AWS Directory ServiceをLDAP Serverとして利用してみた
JAWS-UG CLI #33 LT - AWS Directory Serviceを LDAP Serverとして 利用してみた
 
JAWS-UG CLI専門支部 #17 IAM Managed Policy入門
JAWS-UG CLI専門支部 #17 IAM Managed Policy入門JAWS-UG CLI専門支部 #17 IAM Managed Policy入門
JAWS-UG CLI専門支部 #17 IAM Managed Policy入門
 
JAWS-UG CLI専門支部 #74 Amazon Kinesis Firehose 入門
JAWS-UG CLI専門支部 #74 Amazon Kinesis Firehose 入門JAWS-UG CLI専門支部 #74 Amazon Kinesis Firehose 入門
JAWS-UG CLI専門支部 #74 Amazon Kinesis Firehose 入門
 
AWSでのビッグデータ分析
AWSでのビッグデータ分析AWSでのビッグデータ分析
AWSでのビッグデータ分析
 
JAWS-UG CLI専門支部 #67 Amazon Machine Learning 入門
JAWS-UG CLI専門支部 #67 Amazon Machine Learning 入門JAWS-UG CLI専門支部 #67 Amazon Machine Learning 入門
JAWS-UG CLI専門支部 #67 Amazon Machine Learning 入門
 
AWS Black Belt Online Seminar 2017 AWS Summit Tokyo 2017 まとめ
AWS Black Belt Online Seminar 2017 AWS Summit Tokyo 2017 まとめAWS Black Belt Online Seminar 2017 AWS Summit Tokyo 2017 まとめ
AWS Black Belt Online Seminar 2017 AWS Summit Tokyo 2017 まとめ
 
JAWS-UG アーキテクチャ専門支部(ハイブリッド分科会) #9 EC2 Run Commnadのいいところ
JAWS-UG アーキテクチャ専門支部(ハイブリッド分科会) #9 EC2 Run CommnadのいいところJAWS-UG アーキテクチャ専門支部(ハイブリッド分科会) #9 EC2 Run Commnadのいいところ
JAWS-UG アーキテクチャ専門支部(ハイブリッド分科会) #9 EC2 Run Commnadのいいところ
 
AWS Black Belt Online Seminar - Amazon Lightsail
AWS Black Belt Online Seminar - Amazon Lightsail AWS Black Belt Online Seminar - Amazon Lightsail
AWS Black Belt Online Seminar - Amazon Lightsail
 
Jaws festa-2014-cdp-01
Jaws festa-2014-cdp-01Jaws festa-2014-cdp-01
Jaws festa-2014-cdp-01
 
JAWS-UG CLI #37 AWS CodeCommit入門
JAWS-UG CLI #37 AWS CodeCommit入門 JAWS-UG CLI #37 AWS CodeCommit入門
JAWS-UG CLI #37 AWS CodeCommit入門
 
【第21回Elasticsearch勉強会】aws環境に合わせてelastic stackをログ分析基盤として構築した話
【第21回Elasticsearch勉強会】aws環境に合わせてelastic stackをログ分析基盤として構築した話【第21回Elasticsearch勉強会】aws環境に合わせてelastic stackをログ分析基盤として構築した話
【第21回Elasticsearch勉強会】aws環境に合わせてelastic stackをログ分析基盤として構築した話
 
JAWSDAYS2017 新訳 とあるアーキテクトのクラウドデザインパターン目録 AMI Maintenance Environment
JAWSDAYS2017 新訳 とあるアーキテクトのクラウドデザインパターン目録 AMI Maintenance EnvironmentJAWSDAYS2017 新訳 とあるアーキテクトのクラウドデザインパターン目録 AMI Maintenance Environment
JAWSDAYS2017 新訳 とあるアーキテクトのクラウドデザインパターン目録 AMI Maintenance Environment
 
アプリ開発&チーム管理で 役立った拡張機能
アプリ開発&チーム管理で役立った拡張機能アプリ開発&チーム管理で役立った拡張機能
アプリ開発&チーム管理で 役立った拡張機能
 
JAWS-UG 情シス支部 #3
JAWS-UG 情シス支部 #3JAWS-UG 情シス支部 #3
JAWS-UG 情シス支部 #3
 

Más de Nobuhiro Nakayama

New features of AWS Systems Manager
New features of AWS Systems ManagerNew features of AWS Systems Manager
New features of AWS Systems ManagerNobuhiro Nakayama
 
AWSのセキュリティを考える!「AWS Well-Architected Tool」活用術セミナー セキュリティの柱を解説
AWSのセキュリティを考える!「AWS Well-Architected Tool」活用術セミナー セキュリティの柱を解説AWSのセキュリティを考える!「AWS Well-Architected Tool」活用術セミナー セキュリティの柱を解説
AWSのセキュリティを考える!「AWS Well-Architected Tool」活用術セミナー セキュリティの柱を解説Nobuhiro Nakayama
 
Well-Architected Framework Security Pillar Deep Dive ~セキュリティからはじめるより良い設計~
Well-Architected Framework Security Pillar Deep Dive ~セキュリティからはじめるより良い設計~Well-Architected Framework Security Pillar Deep Dive ~セキュリティからはじめるより良い設計~
Well-Architected Framework Security Pillar Deep Dive ~セキュリティからはじめるより良い設計~Nobuhiro Nakayama
 
PCI DSSにおける認証認可 インフラ編
PCI DSSにおける認証認可 インフラ編PCI DSSにおける認証認可 インフラ編
PCI DSSにおける認証認可 インフラ編Nobuhiro Nakayama
 
AWS Well-Architected Tool 活用術セミナー セキュリティ編
AWS Well-Architected Tool 活用術セミナー セキュリティ編AWS Well-Architected Tool 活用術セミナー セキュリティ編
AWS Well-Architected Tool 活用術セミナー セキュリティ編Nobuhiro Nakayama
 
【勉強会資料】ネットワークアクセス制御(管理編) for PCI DSS
【勉強会資料】ネットワークアクセス制御(管理編) for PCI DSS【勉強会資料】ネットワークアクセス制御(管理編) for PCI DSS
【勉強会資料】ネットワークアクセス制御(管理編) for PCI DSSNobuhiro Nakayama
 
【勉強会資料】Systems Managerによるパッチ管理 for PCI DSS
【勉強会資料】Systems Managerによるパッチ管理 for PCI DSS【勉強会資料】Systems Managerによるパッチ管理 for PCI DSS
【勉強会資料】Systems Managerによるパッチ管理 for PCI DSSNobuhiro Nakayama
 
「AWSアカウントの現状を把握できてますか?それ、Dome9でよく見えますよ。」 Developers.IO 2019 Security
「AWSアカウントの現状を把握できてますか?それ、Dome9でよく見えますよ。」 Developers.IO 2019 Security「AWSアカウントの現状を把握できてますか?それ、Dome9でよく見えますよ。」 Developers.IO 2019 Security
「AWSアカウントの現状を把握できてますか?それ、Dome9でよく見えますよ。」 Developers.IO 2019 SecurityNobuhiro Nakayama
 
Well Architected Tool 使い方セミナー(コスト最適化編)
Well Architected Tool 使い方セミナー(コスト最適化編)Well Architected Tool 使い方セミナー(コスト最適化編)
Well Architected Tool 使い方セミナー(コスト最適化編)Nobuhiro Nakayama
 
re:Growth 2018 Tokyo:Amazon FSx for Windows File Server はみんなが夢見たファイルサーバーなのか
re:Growth 2018 Tokyo:Amazon FSx for Windows File Server はみんなが夢見たファイルサーバーなのかre:Growth 2018 Tokyo:Amazon FSx for Windows File Server はみんなが夢見たファイルサーバーなのか
re:Growth 2018 Tokyo:Amazon FSx for Windows File Server はみんなが夢見たファイルサーバーなのかNobuhiro Nakayama
 
Developers.IO 2018 ビジネスを阻害しない!AWS アカウントの管理
Developers.IO 2018 ビジネスを阻害しない!AWS アカウントの管理Developers.IO 2018 ビジネスを阻害しない!AWS アカウントの管理
Developers.IO 2018 ビジネスを阻害しない!AWS アカウントの管理Nobuhiro Nakayama
 
JAWS-UG CLI専門支部 #76 Amazon AppStream 2.0 入門
JAWS-UG CLI専門支部 #76 Amazon AppStream 2.0 入門JAWS-UG CLI専門支部 #76 Amazon AppStream 2.0 入門
JAWS-UG CLI専門支部 #76 Amazon AppStream 2.0 入門Nobuhiro Nakayama
 
JAWS-UG CLI専門支部 CLIカンファレンス2016 ハンズオン
JAWS-UG CLI専門支部 CLIカンファレンス2016 ハンズオンJAWS-UG CLI専門支部 CLIカンファレンス2016 ハンズオン
JAWS-UG CLI専門支部 CLIカンファレンス2016 ハンズオンNobuhiro Nakayama
 
JAWS-UG 東京 #25 CLI専門支部紹介
JAWS-UG 東京 #25 CLI専門支部紹介JAWS-UG 東京 #25 CLI専門支部紹介
JAWS-UG 東京 #25 CLI専門支部紹介Nobuhiro Nakayama
 
JAWS-UG CLI専門支部 #49 Redshift入門
JAWS-UG CLI専門支部 #49 Redshift入門JAWS-UG CLI専門支部 #49 Redshift入門
JAWS-UG CLI専門支部 #49 Redshift入門Nobuhiro Nakayama
 
JAWS-UG CLI #32 - AWS Directory Service 入門
JAWS-UG CLI #32 - AWS Directory Service 入門JAWS-UG CLI #32 - AWS Directory Service 入門
JAWS-UG CLI #32 - AWS Directory Service 入門Nobuhiro Nakayama
 
JAWS-UG CLI #27 LT ActiveDirectoryのユーザとパスワードでManagement Consoleにログインする
JAWS-UG CLI #27 LT ActiveDirectoryのユーザとパスワードでManagement ConsoleにログインするJAWS-UG CLI #27 LT ActiveDirectoryのユーザとパスワードでManagement Consoleにログインする
JAWS-UG CLI #27 LT ActiveDirectoryのユーザとパスワードでManagement ConsoleにログインするNobuhiro Nakayama
 

Más de Nobuhiro Nakayama (19)

New features of AWS Systems Manager
New features of AWS Systems ManagerNew features of AWS Systems Manager
New features of AWS Systems Manager
 
AWSのセキュリティを考える!「AWS Well-Architected Tool」活用術セミナー セキュリティの柱を解説
AWSのセキュリティを考える!「AWS Well-Architected Tool」活用術セミナー セキュリティの柱を解説AWSのセキュリティを考える!「AWS Well-Architected Tool」活用術セミナー セキュリティの柱を解説
AWSのセキュリティを考える!「AWS Well-Architected Tool」活用術セミナー セキュリティの柱を解説
 
Well-Architected Framework Security Pillar Deep Dive ~セキュリティからはじめるより良い設計~
Well-Architected Framework Security Pillar Deep Dive ~セキュリティからはじめるより良い設計~Well-Architected Framework Security Pillar Deep Dive ~セキュリティからはじめるより良い設計~
Well-Architected Framework Security Pillar Deep Dive ~セキュリティからはじめるより良い設計~
 
PCI DSSにおける認証認可 インフラ編
PCI DSSにおける認証認可 インフラ編PCI DSSにおける認証認可 インフラ編
PCI DSSにおける認証認可 インフラ編
 
AWS Well-Architected Tool 活用術セミナー セキュリティ編
AWS Well-Architected Tool 活用術セミナー セキュリティ編AWS Well-Architected Tool 活用術セミナー セキュリティ編
AWS Well-Architected Tool 活用術セミナー セキュリティ編
 
【勉強会資料】ネットワークアクセス制御(管理編) for PCI DSS
【勉強会資料】ネットワークアクセス制御(管理編) for PCI DSS【勉強会資料】ネットワークアクセス制御(管理編) for PCI DSS
【勉強会資料】ネットワークアクセス制御(管理編) for PCI DSS
 
【勉強会資料】Systems Managerによるパッチ管理 for PCI DSS
【勉強会資料】Systems Managerによるパッチ管理 for PCI DSS【勉強会資料】Systems Managerによるパッチ管理 for PCI DSS
【勉強会資料】Systems Managerによるパッチ管理 for PCI DSS
 
「AWSアカウントの現状を把握できてますか?それ、Dome9でよく見えますよ。」 Developers.IO 2019 Security
「AWSアカウントの現状を把握できてますか?それ、Dome9でよく見えますよ。」 Developers.IO 2019 Security「AWSアカウントの現状を把握できてますか?それ、Dome9でよく見えますよ。」 Developers.IO 2019 Security
「AWSアカウントの現状を把握できてますか?それ、Dome9でよく見えますよ。」 Developers.IO 2019 Security
 
Parameter store 20190226
Parameter store 20190226Parameter store 20190226
Parameter store 20190226
 
Well Architected Tool 使い方セミナー(コスト最適化編)
Well Architected Tool 使い方セミナー(コスト最適化編)Well Architected Tool 使い方セミナー(コスト最適化編)
Well Architected Tool 使い方セミナー(コスト最適化編)
 
re:Growth 2018 Tokyo:Amazon FSx for Windows File Server はみんなが夢見たファイルサーバーなのか
re:Growth 2018 Tokyo:Amazon FSx for Windows File Server はみんなが夢見たファイルサーバーなのかre:Growth 2018 Tokyo:Amazon FSx for Windows File Server はみんなが夢見たファイルサーバーなのか
re:Growth 2018 Tokyo:Amazon FSx for Windows File Server はみんなが夢見たファイルサーバーなのか
 
Developers.IO 2018 ビジネスを阻害しない!AWS アカウントの管理
Developers.IO 2018 ビジネスを阻害しない!AWS アカウントの管理Developers.IO 2018 ビジネスを阻害しない!AWS アカウントの管理
Developers.IO 2018 ビジネスを阻害しない!AWS アカウントの管理
 
JAWS-UG CLI専門支部 #76 Amazon AppStream 2.0 入門
JAWS-UG CLI専門支部 #76 Amazon AppStream 2.0 入門JAWS-UG CLI専門支部 #76 Amazon AppStream 2.0 入門
JAWS-UG CLI専門支部 #76 Amazon AppStream 2.0 入門
 
はじめてのAWS CLI
はじめてのAWS CLIはじめてのAWS CLI
はじめてのAWS CLI
 
JAWS-UG CLI専門支部 CLIカンファレンス2016 ハンズオン
JAWS-UG CLI専門支部 CLIカンファレンス2016 ハンズオンJAWS-UG CLI専門支部 CLIカンファレンス2016 ハンズオン
JAWS-UG CLI専門支部 CLIカンファレンス2016 ハンズオン
 
JAWS-UG 東京 #25 CLI専門支部紹介
JAWS-UG 東京 #25 CLI専門支部紹介JAWS-UG 東京 #25 CLI専門支部紹介
JAWS-UG 東京 #25 CLI専門支部紹介
 
JAWS-UG CLI専門支部 #49 Redshift入門
JAWS-UG CLI専門支部 #49 Redshift入門JAWS-UG CLI専門支部 #49 Redshift入門
JAWS-UG CLI専門支部 #49 Redshift入門
 
JAWS-UG CLI #32 - AWS Directory Service 入門
JAWS-UG CLI #32 - AWS Directory Service 入門JAWS-UG CLI #32 - AWS Directory Service 入門
JAWS-UG CLI #32 - AWS Directory Service 入門
 
JAWS-UG CLI #27 LT ActiveDirectoryのユーザとパスワードでManagement Consoleにログインする
JAWS-UG CLI #27 LT ActiveDirectoryのユーザとパスワードでManagement ConsoleにログインするJAWS-UG CLI #27 LT ActiveDirectoryのユーザとパスワードでManagement Consoleにログインする
JAWS-UG CLI #27 LT ActiveDirectoryのユーザとパスワードでManagement Consoleにログインする
 

Último

TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdfTaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdfMatsushita Laboratory
 
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見Shumpei Kishi
 
20240326_IoTLT_vol109_kitazaki_v1___.pdf
20240326_IoTLT_vol109_kitazaki_v1___.pdf20240326_IoTLT_vol109_kitazaki_v1___.pdf
20240326_IoTLT_vol109_kitazaki_v1___.pdfAyachika Kitazaki
 
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~arts yokohama
 
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)ssuser539845
 
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-LoopへTetsuya Nihonmatsu
 
2024 01 Virtual_Counselor
2024 01 Virtual_Counselor 2024 01 Virtual_Counselor
2024 01 Virtual_Counselor arts yokohama
 
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦Sadao Tokuyama
 
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法ssuser370dd7
 

Último (12)

2024 03 CTEA
2024 03 CTEA2024 03 CTEA
2024 03 CTEA
 
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdfTaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
 
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
 
20240326_IoTLT_vol109_kitazaki_v1___.pdf
20240326_IoTLT_vol109_kitazaki_v1___.pdf20240326_IoTLT_vol109_kitazaki_v1___.pdf
20240326_IoTLT_vol109_kitazaki_v1___.pdf
 
What is the world where you can make your own semiconductors?
What is the world where you can make your own semiconductors?What is the world where you can make your own semiconductors?
What is the world where you can make your own semiconductors?
 
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
 
2024 04 minnanoito
2024 04 minnanoito2024 04 minnanoito
2024 04 minnanoito
 
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
 
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
 
2024 01 Virtual_Counselor
2024 01 Virtual_Counselor 2024 01 Virtual_Counselor
2024 01 Virtual_Counselor
 
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
 
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
 

JAWS-UG CLI専門支部 #16 CDPにIAM関連のデザインパターンが 無いので提案してみる

  • 2. me.json { "name“ : "Nobuhiro Nakayama", "favorite aws services“ : [ "Storage Gateway", "Directory Service", "IAM" ], "certifications“ : [ "AWS Certified Solutions Architect-Associate", "AWS Certified SysOps Administrator-Associate", "Microsoft Certified Solutions Expert : Server Infrastructure", "Microsoft Certified Solutions Expert : SharePoint“ “IPA : Network Specialist” “IPA : Information Security Specialist” ] } 2015/3/30 2
  • 4. #17でManaged Policy入門の講師をします • 波田野さん以外が講師をするのは初・・・ ((((;゚Д゚)))) • Qiitaでハンズオン資料を作成中 • そのとき、「CDPに参考になりそうなデザインパターンあるかも!」と思って調べてみた。 2015/3/30 4
  • 8. とりあえず、提案してみる 1. Black List 2. White List 3. Resource Protection 4. Single Responsibility IAM Group 2015/3/30 8
  • 9. Black List • 概要 • 広い範囲のアクションを許可する権限と併せて、特定のアクションを禁止する権限を設定 • アクセス可否の決定ロジック 明示的なDeny > 明示的なAllow > デフォルトDeny 2015/3/30 9
  • 10. Black List 設定例(1) { "Version": "2012-10-17", "Statement": [ { "Action": "ec2:*", "Effect": "Allow", "Resource": "*" } ] } 2015/3/30 10 明示的に広範囲のActionをAllowを設定し、
  • 11. Black List 設定例(2) { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "ec2:TerminateInstances" ], "Condition": { "StringEquals": { "ec2:Region": "ap-northeast-1" } }, "Resource": [ "*" ] } ] } 2015/3/30 11 AllowしたActionの一部をDenyする。
  • 12. White List • 概要 • 特定のアクションを許可する権限を設定 2015/3/30 12
  • 13. White List 設定例(1) { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:RebootInstances", "ec2:StartInstances", "ec2:StopInstances" ], "Resource": [ "*" ] } ] } 2015/3/30 13 明示的に狭い範囲のActionをAllowする。
  • 14. Resource Protection • 概要 • 重要なリソースの削除や変更を禁止する権限を設定 • EC2やRDSインスタンス、EBSボリューム • EIP(一度リリースすると、同じEIPを確保するのはほぼ不可能) • Hosted Zone(権威サーバのホスト名が変わる) • S3バケット、ファイル(監査ログの改ざん、請求明細の消失、など) • ResourceやConditionを利用 • Black Listの亜種 • Blue-Green Deploymentとかやってるとこには向かないかも? • メリット・このパターンのねらい • 誤操作や悪意をもった操作に対してリソースを保護 2015/3/30 14
  • 15. Resource Protection 設定例(1) { "Version": "2012-10-17", "Statement": [ { "Effect": “Allow", "Action": [ “rds:*" ], "Resource": [ “*" ] } ] } 2015/3/30 15 明示的に広範囲のActionをAllowし、
  • 16. Resource Protection 設定例(2) { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "rds:DeleteDBInstance" ], "Resource": [ "arn:aws:rds:ap-northeast-1:************:db:myinstance" ] } ] } 2015/3/30 16 特定のリソース/条件に対するActionをDenyする。
  • 17. Single Responsibility IAM Group • 概要 • 役割や機能単位でグループとポリシーを定義 • SRP(Single Responsibility Principle)のようなもの • “A class should have only one reason to change.” • グループにアタッチできるManaged Policyの上限は2つだが、単一の役割であれば十分なはず • Managed Policyを利用することで、変更管理がしやすくなる(バージョン管理、ロールバック、など) • ユーザは、担当する役割のグループに所属 • グループを分割しすぎると、グループに所属するユーザの管理が煩雑になるので注意が必要 • IAMユーザをIAMグループから削除し忘れる、など • メリット・このパターンのねらい • Managed Policyの新機能を生かしやすい(アタッチできる上限にひっかかりにくい) • 複数バージョンの保持が可能 • ロールバックが簡単(Default Versionの変更) • (うまく設計できれば)グループと役割が1:1になるで、わかりやすい。 • (たぶん)ポリシーが長くなりにくい 2015/3/30 17
  • 18. Single Responsibility IAM Group 管理者 (全ての権限) 監査 (CloudTraliのログ を閲覧) 監視 (CloudWatchの読 み取り権限) 運用 (EC2インスタンス の起動・停止・再起 動) User01 ○ User02 ○ User03 ○ User04 ○ ○ 2015/3/30 18 各役割毎にグループとポリシーを定義
  • 19. まとめ • IAMを含んだデザインパターンが欲しい! • デザインパターンとして明文化されていると、事故が減るのでは? • CDPって、どなたかメンテしてるんでしょうか? • 目黒支部の発足でメンテされるようになるといいなー・・・ • CloudTrail(とCloudWatchLogs)、Assume Role、Federation認証なども絡めたパターンも検討したい • 次回の本編で(可能な範囲で)具体的な設計パターンについて議論できたらいいなーと思っていま す! 2015/3/30 19