【Black Belt】AWS Identity and Access Management (IAM) Confirmation 参加ログ
2016/9/21開催の [Black Belt] AWS Identity and Access Management (IAM) Confirmation に参加しました。
Black Beltに初めて参加しましたが、オンラインで参加できるので移動がなくて良いですね。
質問も読み上げられました(^^)
資料は公開されたら添付します。
2016/10/17 遅くなりましたが、添付しました。
AWS Black Belt Online Seminar AWS Identity and Access Management (AWS IAM) from Amazon Web Services Japan
www.slideshare.net以下、メモの箇条書き。
メモ
AWS rootアカウント
- AWS rootアカウントは極力利用しない
- 侵入テストのリクエストとかで使う
- 侵入テストのリクエスト専用の権限を作ってほしい。そもそも3ヶ月に1回全環境に定期検査が入るのでリクエストがめんどい。となりのグループのお偉いさんに毎回依頼するのめんどい
IAMで使用する認証情報(アクセスキー/シークレットキー)
- AMIの中へは埋め込まない
MFA
- 手持ちデバイスを使った二段階認証の仕組み
- そこまでの要求はまだないかな
- SMS MFAはまだプレビュー
Credential Report
- これを使って認証情報のローテーションを確認することができる
- 定期的なローテーションとか実際やると大変そう
インラインポリシー
- 従来通り、ユーザ/グループに紐付いたポリシー
リソースベースのポリシー
- AWSアカウントを越したアクセス許可を書くことができる
作成支援ツール
- AWS Policy Generator
- IAM Policy Simulator
ユーザのアクティビティの記録
- AWS CloudTrail を使用する
Access Advisor&Service Last Accessed
- 最後にAWSサービスにアクセスした日付と時刻を表示する機能
- ユーザーやグループ、ロールに与えられた権限で利用されていないものを発見。利用状況がわかる
AWS ConfigのIAMサポート
- IAMの変更履歴を管理することができる
IAMロール
- アプリケーション(EC2など)に付与する
- 認証情報が漏洩するリスクがなくなる
- ネットワークのせいで認証に失敗することが極稀にあるのでリトライ処理をしておく必要がある(体験談)
- 下のQAでも書いたけど、アプリからのみアクセスを許可する場合はAssumeロールを検討する必要がある
Q&A
質問読まれた
— 山野 健太 (@yamano3201) September 21, 2016
Q.S3アクセス可のIAMロールをEC2に付けると、EC2にログインできる人は誰でもアクセスできてしまいます。アプリだけがアクセスできる方法はありますか?
A.Assumeロールをアプリから使うことでより多くのコントロールを得れるのでは。 #awsblackbelt
最後に
今後もできるだけ参加します。