やーまんぶろぐ

気が向いた時にだけ書くブログ

【Black Belt】AWS Identity and Access Management (IAM) Confirmation 参加ログ

2016/9/21開催の [Black Belt] AWS Identity and Access Management (IAM) Confirmation に参加しました。
Black Beltに初めて参加しましたが、オンラインで参加できるので移動がなくて良いですね。
質問も読み上げられました(^^)

資料は公開されたら添付します。
2016/10/17 遅くなりましたが、添付しました。

www.slideshare.net


以下、メモの箇条書き。

メモ

AWS rootアカウント

  • AWS rootアカウントは極力利用しない
  • 侵入テストのリクエストとかで使う
    • 侵入テストのリクエスト専用の権限を作ってほしい。そもそも3ヶ月に1回全環境に定期検査が入るのでリクエストがめんどい。となりのグループのお偉いさんに毎回依頼するのめんどい

IAMで使用する認証情報(アクセスキー/シークレットキー)

  • AMIの中へは埋め込まない

MFA

  • 手持ちデバイスを使った二段階認証の仕組み
    • そこまでの要求はまだないかな
  • SMS MFAはまだプレビュー

Credential Report

  • これを使って認証情報のローテーションを確認することができる
    • 定期的なローテーションとか実際やると大変そう

AWS管理ポリシー

  • 事前定義されたポリシーをアタッチして使う
  • バージョニングとロールバックができる

カスタマー管理ポリシー

  • AWSアカウントで作成して使う
  • AWS管理ポリシーで適用できないときに使う

インラインポリシー

  • 従来通り、ユーザ/グループに紐付いたポリシー

リソースベースのポリシー

  • AWSアカウントを越したアクセス許可を書くことができる

作成支援ツール

ユーザのアクティビティの記録

  • AWS CloudTrail を使用する

Access Advisor&Service Last Accessed

  • 最後にAWSサービスにアクセスした日付と時刻を表示する機能
  • ユーザーやグループ、ロールに与えられた権限で利用されていないものを発見。利用状況がわかる

AWS ConfigのIAMサポート

  • IAMの変更履歴を管理することができる

IAMロール

  • アプリケーション(EC2など)に付与する
  • 認証情報が漏洩するリスクがなくなる
  • ネットワークのせいで認証に失敗することが極稀にあるのでリトライ処理をしておく必要がある(体験談)
  • 下のQAでも書いたけど、アプリからのみアクセスを許可する場合はAssumeロールを検討する必要がある

Temporary Security Credentials & AWS STS in all AWS regions

  • 一時的に権限を与えられるものがある
  • クロスアカウントアクセスによく使われる
  • AssumeRole を呼び出して一時的なセキュリティ認証情報を取得し、その認証情報を使用して Amazon S3 を呼び出すようなことができる
    • STSはManagement Consoleが用意されていないみたいですね。
    • ここらへんは今度試してみたいと思います。

Q&A

  • Q. 特定のVPCへのアクセスができる権限を与えられるか?
    • A. 万能的にVPCへのアクセスを制御することは難しい

最後に

今後もできるだけ参加します。