SlideShare uses cookies to improve functionality and performance, and to provide you with relevant advertising. If you continue browsing the site, you agree to the use of cookies on this website. See our User Agreement and Privacy Policy.
SlideShare uses cookies to improve functionality and performance, and to provide you with relevant advertising. If you continue browsing the site, you agree to the use of cookies on this website. See our Privacy Policy and User Agreement for details.
Successfully reported this slideshow.
Activate your 14 day free trial to unlock unlimited reading.
JAWS DAYS 2021 Hands-on Well-ArchitectedなIAMポリシーに挑戦する 〜最小権限の原則を実装ってどゆこと?〜
24.
② 学習
『最小権限の原則』を理解する
JAWS DAYS 2021 Hands-on
Well-ArchitectedなIAMポリシーに挑戦する ~最小権限の原則を実装ってどゆこと?~
Presented by JAWS-UG 初心者支部
https://aws.amazon.com/jp/architecture/well-architected/
25.
② 学習
『最小権限の原則』を理解する
JAWS DAYS 2021 Hands-on
Well-ArchitectedなIAMポリシーに挑戦する ~最小権限の原則を実装ってどゆこと?~
Presented by JAWS-UG 初心者支部
https://wa.aws.amazon.com/index.ja.html
クリックすると、、、
26.
② 学習
『最小権限の原則』を理解する
JAWS DAYS 2021 Hands-on
Well-ArchitectedなIAMポリシーに挑戦する ~最小権限の原則を実装ってどゆこと?~
Presented by JAWS-UG 初心者支部
ベストプラクティス
最小権限のアクセスを付与する:
特定の条件下で特定の AWS リソースに対する特定のアクションを行えるよ
うにして、ID に必要なアクセスのみを付与します。グループと ID 属性を利用
して、個々のユーザーのアクセス許可を定義するのではなく、規模に応じて
アクセス許可を動的に設定します。たとえば、開発者のグループに、扱うプ
ロジェクトのリソースのみを管理することを許可できます。これにより、開発
者がグループから削除されると、アクセスポリシーに変更を加えることなく、
そのグループがどこでアクセスコントロールに使用されたかを問わず、開発
者のアクセスが取り消されます。
27.
② 学習
『最小権限の原則』を理解する
JAWS DAYS 2021 Hands-on
Well-ArchitectedなIAMポリシーに挑戦する ~最小権限の原則を実装ってどゆこと?~
Presented by JAWS-UG 初心者支部
ベストプラクティス
最小権限のアクセスを付与する:
特定の条件下で特定の AWS リソースに対する特定のアクションを行えるようにして、ID に必要なアクセスのみを付与します。グループ
と ID 属性を利用して、個々のユーザーのアクセス許可を定義するのではなく、規模に応じてアクセス許可を動的に設定します。たとえ
ば、開発者のグループに、扱うプロジェクトのリソースのみを管理することを許可できます。これにより、開発者がグループから削除さ
れると、アクセスポリシーに変更を加えることなく、そのグループがどこでアクセスコントロールに使用されたかを問わず、開発者のアク
セスが取り消されます。
改善計画
・最小権限ポリシーを実装する: IAM グループおよびロールに最小権限のアクセスポリシーを割り当てて、定義したユーザーのロール
または機能を反映します。
・必要でないアクセス許可を削除する: 不要なアクセス許可を削除して、最小権限を実装します。
・アクセス許可の境界を考慮する: アクセス許可の境界は、アイデンティティベースのポリシーが IAM エンティティに付与できるアクセス
許可の上限を設定する管理ポリシーを使用するための高度な機能です。エンティティのアクセス許可の境界では、アイデンティティベー
スのポリシーとそのアクセス許可の境界の両方で許可されているアクションのみを実行できます。
・アクセス許可のリソースタグを検討する: タグを使用して、タグ付けをサポートする AWS リソースへのアクセスを制御できます。また、
IAM ユーザーとロールにタグ付けして、ユーザーがアクセスできる内容を制御することもできます。
ベストプラクティスの具体的な解釈(考え方)
ベストプラクティスを実現するための具体的な対応策
32.
③ 実習 その1
まずは役割(ロール)を定義
役割:EC2インスタンスの運用
1) AWS Management Console にて、EC2やVPCなどサービスの状態や設定値を確認(目視)
API:閲覧に関係するもの全般
ARN:特に制限なし
JAWS DAYS 2021 Hands-on
Well-ArchitectedなIAMポリシーに挑戦する ~最小権限の原則を実装ってどゆこと?~
Presented by JAWS-UG 初心者支部
33.
③ 実習 その1
AWS IAM にてロールを作成
JAWS DAYS 2021 Hands-on
Well-ArchitectedなIAMポリシーに挑戦する ~最小権限の原則を実装ってどゆこと?~
Presented by JAWS-UG 初心者支部
34.
③ 実習 その1
AWS IAM にてロールを作成
JAWS DAYS 2021 Hands-on
Well-ArchitectedなIAMポリシーに挑戦する ~最小権限の原則を実装ってどゆこと?~
Presented by JAWS-UG 初心者支部
AWS管理ポリシー
『ReadOnlyAccess』
35.
③ 実習 その1
AWS IAM にてロールを作成
JAWS DAYS 2021 Hands-on
Well-ArchitectedなIAMポリシーに挑戦する ~最小権限の原則を実装ってどゆこと?~
Presented by JAWS-UG 初心者支部
特になし
今回は『EC2-Management』
心を込めてポチッ。
36.
③ 実習 その1
スイッチロールしてみよう
JAWS DAYS 2021 Hands-on
Well-ArchitectedなIAMポリシーに挑戦する ~最小権限の原則を実装ってどゆこと?~
Presented by JAWS-UG 初心者支部
クリック!
37.
③ 実習 その1
スイッチロールしてみよう
JAWS DAYS 2021 Hands-on
Well-ArchitectedなIAMポリシーに挑戦する ~最小権限の原則を実装ってどゆこと?~
Presented by JAWS-UG 初心者支部
ロール名が表示
権限不足にて
起動に失敗する