Makoto Miida, profile picture
Uploaded byMakoto Miida
PDF, PPTX1,925 views

MSPとしてのオペチー向けReadOnly IAMポリシー

DEVIO-MTUP11-TOKYO-013

Embed presentation

Download as PDF, PPTX
MSPとしてのオペチー向け ReadOnly IAMポリシー Ⓒ Classmethod, Inc. 1 DEVIO-MTUP11-TOKYO-013 クラスメソッド株式会社 三井田 2014年12月16日 #cmdevio
自己紹介 • 三井田誠(みいだ) • id: macotomii • AWSコンサルティング部 • 2014年3月入社 • AWSオペレーションチーム(オペチー) • 主にQA対応、障害対応、定例作業対応など ! • ダジャレ好き • 麻婆豆腐好き Ⓒ Classmethod, Inc. 2
アジェンダ • リードオンリー権限のチューニング • MSPから見たチューニングのポイント ! • Let’s tunings! • 既存(Read Only Access)の修正 • Read Only Accessに含まれない他サービスのポリシー統合 Ⓒ Classmethod, Inc. 3
AWS謹製ポリシーテンプレート IAM -> User/Group/Role -> Attach ** Policy Ⓒ Classmethod, Inc. 4
チューニングのポイント ★ テンプレートは、『利用者向け』想定と思われる ★ リードオンリー=何でも読めてしまう、と具合が悪 いことがある ★ リードオンリーのテンプレートには入ってない有益 なAPI Actionもある Ⓒ Classmethod, Inc. 5
Let’s tuning! IAMポリシーの例 Ⓒ Classmethod, Inc. 6 { "Version": "2012-10-17", "Statement": [ { "Action": [ "ds:Check*", "ds:Describe*", "ds:Get*", "ds:List*", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSubnets", "ec2:DescribeVpcs" ], "Effect": "Allow", "Resource": "*" } ] } この赤い部分、 アクションをチューニング していきます
Let’s tuning! S3のReadOnly Ⓒ Classmethod, Inc. GetObjectの許可は 具合が悪いので・・・ (機密性) 7 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": "*" } ] } { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucket*", "s3:GetLifecycleConfiguration", "s3:GetObjectAcl", "s3:GetObjectTorrent", "s3:GetObjectVersion", "s3:GetObjectVersionAcl", "s3:GetObjectVersionTorrent" ], "Resource": "*" } ] }
Let’s tuning! DynamoDBのReadOnly Ⓒ Classmethod, Inc. GetItemの許可は 具合が悪いので・・・ (機密性) 8 "dynamodb:BatchGetItem", "dynamodb:DescribeTable", "dynamodb:GetItem", "dynamodb:ListTables", "dynamodb:Query", “dynamodb:Scan", ! ※ポリシーテンプレートでは、  他に連携するcloudwatchや  datapipelineのアクションも  あります "dynamodb:DescribeTable", “dynamodb:ListTables", ! ※ここまで絞っちゃいました
Let’s tuning! EC2のReadOnly Ⓒ Classmethod, Inc. お問合せの際、トラブルシュート を支援するために・・・ 9 { "Effect": "Allow", "Action": "ec2:Describe*", "Resource": "*" }, ! ※他に連携するcloudwatchや  ELB, AutoScalingのアクションも  あります { "Effect": "Allow", "ec2:Describe*", "ec2:GetConsoleOutput", "Resource": "*" }, ! ※コンソールログを追加しました
Let’s tuning! 他サービスのReadOnlyを統合! Route 53 Domains, CloudWatch Logsの リードオンリー権限を追加してみよう! !  ※問合せの大半は、設定方法などについてです Ⓒ Classmethod, Inc. 10 { "Effect": "Allow", "route53domains:Get*", “route53domains:List*", "logs:Describe*" "Resource": "*" }, ! ※足しました
最後に! • 厳密なチューニングには骨が折れる!コツは! • APIリファレンスと仲良くなる • APIはAWSで何が出来るのかの入り口!自ずと 詳しくなってきて、何かと知識がつくw ! • お客様との契約条項で、ReadOnlyと言わずに、PowerUser権限を委譲してもらう Ⓒ Classmethod, Inc. 11
Ⓒ Classmethod, Inc. #cmdevio ご静聴ありがとうございました。 スライドは後日ブログで公開します。 12 DevIO MTUP11-001 I am IAMer… 哎呀!麻!!

More Related Content

PDF
Devio mtup11-tokyo-012
byYusuke Takahashi
 
PDF
regrowth_configurationtool
bymasaomoc1015
 
PDF
Leap MotionとLambdaで「第九」を鳴らしてみる
byTsuyoshi Seino
 
PDF
体で覚えるSQS! DEVIO-MTUP11-TOKYO-007
by都元ダイスケ Miyamoto
 
PDF
Single Command Deployのための gradle-aws-plugin講座
by都元ダイスケ Miyamoto
 
PDF
社内向けTech Talk資料~Fluentdの基本紹介~
byDaisuke Ikeda
 
PPTX
AWSのElastic BeanstalkでWordPressを 構築レスで導入してみる。
byDaigou Harada
 
PDF
Ruby で zabbix agent の loadable module を作れる loadable module を C言語 + mruby で作った
bytakanori suzuki
 
Devio mtup11-tokyo-012
byYusuke Takahashi
 
regrowth_configurationtool
bymasaomoc1015
 
Leap MotionとLambdaで「第九」を鳴らしてみる
byTsuyoshi Seino
 
体で覚えるSQS! DEVIO-MTUP11-TOKYO-007
by都元ダイスケ Miyamoto
 
Single Command Deployのための gradle-aws-plugin講座
by都元ダイスケ Miyamoto
 
社内向けTech Talk資料~Fluentdの基本紹介~
byDaisuke Ikeda
 
AWSのElastic BeanstalkでWordPressを 構築レスで導入してみる。
byDaigou Harada
 
Ruby で zabbix agent の loadable module を作れる loadable module を C言語 + mruby で作った
bytakanori suzuki
 

What's hot

PPTX
AKS と ACI を組み合わせて使ってみた
byHideaki Aoyagi
 
PDF
当社のawsへの取組
byMercari Inc.
 
PDF
Amazon ElastiCache(初心者向け 超速マスター編)JAWSUG大阪
by崇之 清水
 
PDF
LocalStack
bychibochibo
 
PDF
松本克彦 ピグにおけるリアルタイムランキングの導入
bymatsumoto_katsuhiko
 
PDF
クラウド環境向けZabbixカスタマイズ紹介(第5回Zabbix勉強会)
byDaisuke Ikeda
 
PDF
Awsをちゃんと使ってみた 監視編
byYoichi Toyota
 
PDF
Docker ホスティングサービス 'Arukas' での Mesos + Marathon の活用について(Mesos勉強会)
byさくらインターネット株式会社
 
PDF
ElastiCacheを利用する上でキャッシュをどのように有効に使うべきか
byAmazon Web Services Japan
 
PDF
Introduction of Azure Docker Integration
byTakekazu Omi
 
PPTX
Amazon EKS への道 ~入門編~
byHideaki Aoyagi
 
PPT
Performance and Scalability of Web Service
byShinji Tanaka
 
PDF
コンテナで作れるFaaS
by真吾 吉田
 
PDF
CDP(キャンペーンサイト編)
byHiroyasu Suzuki
 
PDF
Understanding Azure Application Gateway
byKuniteru Asami
 
PPTX
PHP on Cloud
byAkio Katayama
 
PDF
RDS(MySQL)の利用と注意点
byHiroyasu Suzuki
 
PDF
Amazon ElastiCacheのはじめ方
byAmazon Web Services Japan
 
PDF
GCP vs 他社クラウド
byHasegawa Yusuke
 
PDF
Rds徹底入門
byJunpei Nakada
 
AKS と ACI を組み合わせて使ってみた
byHideaki Aoyagi
 
当社のawsへの取組
byMercari Inc.
 
Amazon ElastiCache(初心者向け 超速マスター編)JAWSUG大阪
by崇之 清水
 
LocalStack
bychibochibo
 
松本克彦 ピグにおけるリアルタイムランキングの導入
bymatsumoto_katsuhiko
 
クラウド環境向けZabbixカスタマイズ紹介(第5回Zabbix勉強会)
byDaisuke Ikeda
 
Awsをちゃんと使ってみた 監視編
byYoichi Toyota
 
Docker ホスティングサービス 'Arukas' での Mesos + Marathon の活用について(Mesos勉強会)
byさくらインターネット株式会社
 
ElastiCacheを利用する上でキャッシュをどのように有効に使うべきか
byAmazon Web Services Japan
 
Introduction of Azure Docker Integration
byTakekazu Omi
 
Amazon EKS への道 ~入門編~
byHideaki Aoyagi
 
Performance and Scalability of Web Service
byShinji Tanaka
 
コンテナで作れるFaaS
by真吾 吉田
 
CDP(キャンペーンサイト編)
byHiroyasu Suzuki
 
Understanding Azure Application Gateway
byKuniteru Asami
 
PHP on Cloud
byAkio Katayama
 
RDS(MySQL)の利用と注意点
byHiroyasu Suzuki
 
Amazon ElastiCacheのはじめ方
byAmazon Web Services Japan
 
GCP vs 他社クラウド
byHasegawa Yusuke
 
Rds徹底入門
byJunpei Nakada
 

Viewers also liked

PDF
20141216 CM re:Growth 梢さんと頑張るシステムサポート
byKazuki Ueki
 
PDF
Fullbokをがっつり使ってみた
bySatoshi Noto
 
PDF
Microsoft Office 魔改造 2014冬
byTomonari Fukuda
 
PDF
DynamoDB Streamを使ったリアルタイム分析
byShinsukeYokota
 
PDF
20141216 CM re:Growth Previewが通りにくい“Aurora”を ガッツリ触ってみた! #cmdevio
by宗 大栗
 
PDF
Cm re growth-reinvent-app304-kaji
byHiroyuki Kaji
 
PDF
20131210 CM re:Growth - Infrastructure as Code から Full Reproducible Infrastru...
by都元ダイスケ Miyamoto
 
PDF
20131210 classmethod re:Growth session04
byKazuki Ueki
 
PDF
Developers.IO MeetUp 01 Massive Messaging Platform Deployment in a Week.
bysatoshi
 
PPTX
Developers.io meetup 01 2013/12/10
byTomonari Fukuda
 
PDF
Re growth takekawa-slideshare
by努(TSUTOMU) 武川(TAKEKAWA)
 
PDF
2013.12.10 Classmethod re:Grwoth
byshinyaa31
 
PDF
Cm re growth-devio-mtup11-sapporo-004
bySatoru Ishikawa
 
PPTX
6リージョン同時75万接続のメッセージ配信基盤をCloudFormationとCapistranoで3日で構築した話
byRyuta Otaki
 
PDF
LambdaとMobileの美味しいかもしれない関係
byHiraku Komuro
 
PDF
Cloud FormationによるBlue-Green Deployment - Dev io mtup11 003
byShuji Watanabe
 
PPTX
CloudWatchの使い方
byShinsukeYokota
 
20141216 CM re:Growth 梢さんと頑張るシステムサポート
byKazuki Ueki
 
Fullbokをがっつり使ってみた
bySatoshi Noto
 
Microsoft Office 魔改造 2014冬
byTomonari Fukuda
 
DynamoDB Streamを使ったリアルタイム分析
byShinsukeYokota
 
20141216 CM re:Growth Previewが通りにくい“Aurora”を ガッツリ触ってみた! #cmdevio
by宗 大栗
 
Cm re growth-reinvent-app304-kaji
byHiroyuki Kaji
 
20131210 CM re:Growth - Infrastructure as Code から Full Reproducible Infrastru...
by都元ダイスケ Miyamoto
 
20131210 classmethod re:Growth session04
byKazuki Ueki
 
Developers.IO MeetUp 01 Massive Messaging Platform Deployment in a Week.
bysatoshi
 
Developers.io meetup 01 2013/12/10
byTomonari Fukuda
 
Re growth takekawa-slideshare
by努(TSUTOMU) 武川(TAKEKAWA)
 
2013.12.10 Classmethod re:Grwoth
byshinyaa31
 
Cm re growth-devio-mtup11-sapporo-004
bySatoru Ishikawa
 
6リージョン同時75万接続のメッセージ配信基盤をCloudFormationとCapistranoで3日で構築した話
byRyuta Otaki
 
LambdaとMobileの美味しいかもしれない関係
byHiraku Komuro
 
Cloud FormationによるBlue-Green Deployment - Dev io mtup11 003
byShuji Watanabe
 
CloudWatchの使い方
byShinsukeYokota
 

Similar to MSPとしてのオペチー向けReadOnly IAMポリシー

PDF
IAM & Consolidated Billing -ほぼ週刊AWSマイスターシリーズ第4回
bySORACOM, INC
 
PDF
AWS Black Belt Techシリーズ AWS IAM
byAmazon Web Services Japan
 
PDF
[AWSマイスターシリーズ]Identity and Access Management (IAM)
byAmazon Web Services Japan
 
PDF
Data Lake Security on AWS
byAmazon Web Services Japan
 
PDF
20120201 aws meister-reloaded-iam-and-billing-public
byAmazon Web Services Japan
 
PDF
20200630 AWS Black Belt Online Seminar Amazon Cognito
byAmazon Web Services Japan
 
PPTX
20170803 bigdataevent
byMakoto Uehara
 
PDF
[AWSマイスターシリーズ] AWS SDK for Java / .NET
byAmazon Web Services Japan
 
PDF
Security JAWS AWS reInvent 2022 Security reCap 20230228
byHayato Kiriyama
 
PDF
AWSマイスターシリーズReloaded -Amazon Glacier-
byAmazon Web Services Japan
 
PDF
Amazon Glacierのご紹介(機能編)
byAmazon Web Services Japan
 
PDF
AWSのセキュリティについて
byYasuhiro Horiuchi
 
PDF
[!注意! 2013年2月時点の資料] Amazon Web Services (AWS)について
byAya Komuro
 
PDF
[AWSマイスターシリーズ] AWS SDK for PHP / Ruby / boto(Python) / JavaScript in Node.js
byAmazon Web Services Japan
 
PDF
20191125 Container Security
byAmazon Web Services Japan
 
PDF
[AWS DevDay] Cognito / Amplify で加速するエンタープライズのアプリケーション開発
byYuki Ando
 
PDF
Developers.IO 2018 ビジネスを阻害しない!AWS アカウントの管理
byNobuhiro Nakayama
 
PDF
AWSにおけるセキュリティの考え方
bymorisshi
 
PDF
AWS Organizations
byServerworks Co.,Ltd.
 
PPTX
20190920 AWS IAM
byyamamotomsc
 
IAM & Consolidated Billing -ほぼ週刊AWSマイスターシリーズ第4回
bySORACOM, INC
 
AWS Black Belt Techシリーズ AWS IAM
byAmazon Web Services Japan
 
[AWSマイスターシリーズ]Identity and Access Management (IAM)
byAmazon Web Services Japan
 
Data Lake Security on AWS
byAmazon Web Services Japan
 
20120201 aws meister-reloaded-iam-and-billing-public
byAmazon Web Services Japan
 
20200630 AWS Black Belt Online Seminar Amazon Cognito
byAmazon Web Services Japan
 
20170803 bigdataevent
byMakoto Uehara
 
[AWSマイスターシリーズ] AWS SDK for Java / .NET
byAmazon Web Services Japan
 
Security JAWS AWS reInvent 2022 Security reCap 20230228
byHayato Kiriyama
 
AWSマイスターシリーズReloaded -Amazon Glacier-
byAmazon Web Services Japan
 
Amazon Glacierのご紹介(機能編)
byAmazon Web Services Japan
 
AWSのセキュリティについて
byYasuhiro Horiuchi
 
[!注意! 2013年2月時点の資料] Amazon Web Services (AWS)について
byAya Komuro
 
[AWSマイスターシリーズ] AWS SDK for PHP / Ruby / boto(Python) / JavaScript in Node.js
byAmazon Web Services Japan
 
20191125 Container Security
byAmazon Web Services Japan
 
[AWS DevDay] Cognito / Amplify で加速するエンタープライズのアプリケーション開発
byYuki Ando
 
Developers.IO 2018 ビジネスを阻害しない!AWS アカウントの管理
byNobuhiro Nakayama
 
AWSにおけるセキュリティの考え方
bymorisshi
 
AWS Organizations
byServerworks Co.,Ltd.
 
20190920 AWS IAM
byyamamotomsc
 

MSPとしてのオペチー向けReadOnly IAMポリシー

  • 1.
    MSPとしてのオペチー向け ReadOnly IAMポリシー Ⓒ Classmethod, Inc. 1 DEVIO-MTUP11-TOKYO-013 クラスメソッド株式会社 三井田 2014年12月16日 #cmdevio
  • 2.
    自己紹介 • 三井田誠(みいだ) • id: macotomii • AWSコンサルティング部 • 2014年3月入社 • AWSオペレーションチーム(オペチー) • 主にQA対応、障害対応、定例作業対応など ! • ダジャレ好き • 麻婆豆腐好き Ⓒ Classmethod, Inc. 2
  • 3.
    アジェンダ • リードオンリー権限のチューニング • MSPから見たチューニングのポイント ! • Let’s tunings! • 既存(Read Only Access)の修正 • Read Only Accessに含まれない他サービスのポリシー統合 Ⓒ Classmethod, Inc. 3
  • 4.
    AWS謹製ポリシーテンプレート IAM ->User/Group/Role -> Attach ** Policy Ⓒ Classmethod, Inc. 4
  • 5.
    チューニングのポイント ★ テンプレートは、『利用者向け』想定と思われる ★ リードオンリー=何でも読めてしまう、と具合が悪 いことがある ★ リードオンリーのテンプレートには入ってない有益 なAPI Actionもある Ⓒ Classmethod, Inc. 5
  • 6.
    Let’s tuning! IAMポリシーの例 Ⓒ Classmethod, Inc. 6 { "Version": "2012-10-17", "Statement": [ { "Action": [ "ds:Check*", "ds:Describe*", "ds:Get*", "ds:List*", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSubnets", "ec2:DescribeVpcs" ], "Effect": "Allow", "Resource": "*" } ] } この赤い部分、 アクションをチューニング していきます
  • 7.
    Let’s tuning! S3のReadOnly Ⓒ Classmethod, Inc. GetObjectの許可は 具合が悪いので・・・ (機密性) 7 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": "*" } ] } { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucket*", "s3:GetLifecycleConfiguration", "s3:GetObjectAcl", "s3:GetObjectTorrent", "s3:GetObjectVersion", "s3:GetObjectVersionAcl", "s3:GetObjectVersionTorrent" ], "Resource": "*" } ] }
  • 8.
    Let’s tuning! DynamoDBのReadOnly Ⓒ Classmethod, Inc. GetItemの許可は 具合が悪いので・・・ (機密性) 8 "dynamodb:BatchGetItem", "dynamodb:DescribeTable", "dynamodb:GetItem", "dynamodb:ListTables", "dynamodb:Query", “dynamodb:Scan", ! ※ポリシーテンプレートでは、  他に連携するcloudwatchや  datapipelineのアクションも  あります "dynamodb:DescribeTable", “dynamodb:ListTables", ! ※ここまで絞っちゃいました
  • 9.
    Let’s tuning! EC2のReadOnly Ⓒ Classmethod, Inc. お問合せの際、トラブルシュート を支援するために・・・ 9 { "Effect": "Allow", "Action": "ec2:Describe*", "Resource": "*" }, ! ※他に連携するcloudwatchや  ELB, AutoScalingのアクションも  あります { "Effect": "Allow", "ec2:Describe*", "ec2:GetConsoleOutput", "Resource": "*" }, ! ※コンソールログを追加しました
  • 10.
    Let’s tuning! 他サービスのReadOnlyを統合! Route 53 Domains, CloudWatch Logsの リードオンリー権限を追加してみよう! !  ※問合せの大半は、設定方法などについてです Ⓒ Classmethod, Inc. 10 { "Effect": "Allow", "route53domains:Get*", “route53domains:List*", "logs:Describe*" "Resource": "*" }, ! ※足しました
  • 11.
    最後に! • 厳密なチューニングには骨が折れる!コツは! • APIリファレンスと仲良くなる • APIはAWSで何が出来るのかの入り口!自ずと 詳しくなってきて、何かと知識がつくw ! • お客様との契約条項で、ReadOnlyと言わずに、PowerUser権限を委譲してもらう Ⓒ Classmethod, Inc. 11
  • 12.
    Ⓒ Classmethod, Inc. #cmdevio ご静聴ありがとうございました。 スライドは後日ブログで公開します。 12 DevIO MTUP11-001 I am IAMer… 哎呀!麻!!