NI
Uploaded byNTT DATA Technology & Innovation
16,166 views

IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)

IAM Roles Anywhereのない世界とある世界 (2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料) 2022年11月24日(木) NTTデータ 奥村 康晃

Embed presentation

© 2022 NTT DATA Corporation [2022 年の AWS アップデートを振り返ろう ~Season 4~] IAM Roles Anywhereのない世界とある世界 2022/11/24 株式会社NTTデータ 奥村康晃
© 2022 NTT DATA Corporation 2 自己紹介 氏名:奥村 康晃 所属:NTTデータ ソリューション事業本部 データセンタ&クラウドサービス事業部 役割: - クラウド分野における技術リード - 先進技術のソリューション取り込み 好きなAWSサービス: - Organizations - IAM Roles Anywhere  New
© 2022 NTT DATA Corporation 3 本日ご紹介するアップデート • IAM Roles AnywhereのGA • https://aws.amazon.com/jp/about-aws/whats-new/2022/07/aws- identity-access-management-iam-roles-anywhere-workloads- outside-aws/ なぜIAM Roles Anywhereが素晴らしいのかを “AWS外からAWSリソースへAPIアクセスする”というシチュエーションを 使って説明していきます!
© 2022 NTT DATA Corporation 4 AWS外からのAWSへのAPIアクセス時の課題 AWSの外からAWSリソースへAPI経由でアクセスしようとする場合、必ずアクセスキーを操作 元に保持する必要がある • アクセスキー=アクセスキー IDとシークレットアクセスキーの2つの文字列の組み合わせ アクセスキーが漏洩すると不正操作などが行われる可能性があり、 アクセスキー管理方法は注意を払う必要がある AWS Cloud オンプレシステム ローカル開発環境 API アクセスキー アクセスキー
© 2022 NTT DATA Corporation 5 AWS外からのAWSへのAPIアクセス時の課題への対策 ポピュラーな対策が、一時的なアクセスキーを払い出すことで、漏洩時のリスクを抑えること AWS Cloud オンプレシステム ローカル開発環境 API アクセスキー アクセスキー 有効期限のある一時的なアクセスキー
© 2022 NTT DATA Corporation 6 IAM Roles Anywhereがない世界の実現方法 | IAM Identity Center • IAM Identity Center(旧SSO)を利用し、一時アクセスキーを発行 • AWS CLI(v2)を利用して、コマンドラインベースで一時的なアクセスキーを呼び出し元 に保持させることが可能 Member Account オンプレシステム ローカル開発環境 AWS IAM Identity Center 1. aws sso login –profile xx 0.profile作成 2. IAM Identity Center セッション認証情報の保存 3. profile指定でのawsコマンドの実行(一時アクセスキーの取得) Master Account AWS STS 4. 一時アクセスキーの取得しつつ、コマンド結果受領
© 2022 NTT DATA Corporation 7 IAM Roles Anywhereがない世界の実現方法 | IAM Identity Center 大規模なマルチアカウント環境になってくると、IAM Identity Centerでの中央 集権的な権限管理だと自由度が低く、つらくなる (Organizationsが使えない場合はそもそもこの構成が取れない) Member Account オンプレシステム ローカル開発環境 AWS IAM Identity Center 1. aws sso login –profile xx 0.profile作成 2. IAM Identity Center セッション認証情報の保存 3. profile指定でのawsコマンドの実行(一時アクセスキーの取得) Master Account AWS STS 4. 一時アクセスキーの取得しつつ、コマンド結果受領
© 2022 NTT DATA Corporation 8 IAM Roles Anywhereがない世界の実現方法 | Jump Account • Jump Accountと呼ぶ踏み台アカウントを用意し、そこにだけIAMユーザを用意し、Jump AccountのIAMユーザからメンバーアカウントへスイッチロールする方式 • 各AWSアカウントで自由に権限制御ができ、大規模マルチアカウント環境でもOK! • Jump Account用のIAMユーザのみ長期アクセスキーを利用するが、接続元IPアドレス 制限、権限を絞る、で安心安全! Member Account オンプレシステム ローカル開発環境 IAM User 1. IAMユーザで認証 (長期アクセスキー) 2. Member AccountのIAM Roleへスイッチロール Jump Account AWS STS 3. 一時アクセスキーの取得 IAM Role assume roleを許可 権限管理 は各アカウント
© 2022 NTT DATA Corporation 9 IAM Roles Anywhereがない世界の実現方法 | Jump Account ただし、結局組み合わせる文字列の数が2つから3つ(アクセスキーID, シークレッ トアクセスキー, スイッチロール先のIAM RoleのARN)になっただけで、本当にセ キュリティレベルが高まっているのか・・・ 接続元のIPアドレス制限はされているのだけど・・・ モヤモヤ・・・ Member Account オンプレシステム ローカル開発環境 IAM User 1. IAMユーザで認証 (長期アクセスキー) 2. Member AccountのIAM Roleへスイッチロール Jump Account AWS STS 3. 一時アクセスキーの取得 IAM Role assume roleを許可 権限管理 は各アカウント
© 2022 NTT DATA Corporation 10 そんな時に発表があったのが、 IAM Roles Anywhere
© 2022 NTT DATA Corporation 11 IAM Roles Anywhereとは? AWS外部にあるアプリケーションが IAM ロールを使用して AWS API にセキュアにアクセス できる仕組み 信頼済みの認証局が発行した証明書と一時アクセスキーを交換することが可能 オンプレシステム ローカル開発環境 AWS Cloud IAM Roles Anywhere 認証局 発行 AWS STS 信頼 1. 秘密鍵と証明書の提示 2. 一時アクセスキーの取得
© 2022 NTT DATA Corporation 12 IAM Roles Anywhereを実環境で使うときに困ること 1.マルチアカウント環境で、全AWSアカウントにIAM Roles Anywhereを作るのか? 2.認証局をどうする? 困りポイント2 オンプレシステム ローカル開発環境 AWS Cloud IAM Roles Anywhere 認証局 発行 AWS STS 信頼 1. 秘密鍵と証明書の提示 2. 一時アクセスキーの取得 困りポイント1
© 2022 NTT DATA Corporation 13 IAM Roles Anywhereを使いやすくするには? • Jumpアカウント構成をとり、1つのAWSアカウントだけでIAM Roles Anywhereを用意 • 認証局をJumpアカウント内にPrivate CAとして用意し、認証局維持作業を軽減 • JumpアカウントのIAMロールとして認証を行い、その後メンバーアカウントのIAMロールへスイッチロール。 • 権限管理の自由度を高めつつ、Jumpアカウントへの認証機構のセキュリティレベルを向上! Member Account オンプレシステム ローカル環境 Jump Account 2. MemberアカウントのIAMロールへスイッチロール IAM Role assume roleを許可 権限管理 は各アカウント IAM Roles Anywhere IAM Role Private CA 0. 発行 1. Jumpアカウントの IAMロールへ 信頼 素晴らしき、IAM Role Anywhereのある世界・・・!
© 2022 NTT DATA Corporation 14 ただ・・・・ IAM Roles Anywhereは専用ツールである、クレデンシャル・ヘルパー・ツールの利用が必須 https://docs.aws.amazon.com/ja_jp/rolesanywhere/latest/userguide/c redential-helper.html#getting-credential-helper-tool ぜひともAWS CLIに標準装備していただけると、もっと嬉しい・・・! 以前はCLIでなければ作れなかったIAM Roles Anywhere用のIAM Roleもマネコンから作 れるようになっていたりと、改善が見られるので、引き続き改善よろしくお願いいたします!
© 2022 NTT DATA Corporation

More Related Content

PDF
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
byAmazon Web Services Japan
 
PDF
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
byAmazon Web Services Japan
 
PDF
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
byAmazon Web Services Japan
 
PDF
20190911 AWS Black Belt Online Seminar AWS Batch
byAmazon Web Services Japan
 
PDF
20200708サーバーレスでのAPI管理の考え方
byAmazon Web Services Japan
 
PDF
20200219 AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続
byAmazon Web Services Japan
 
PDF
20210126 AWS Black Belt Online Seminar AWS CodeDeploy
byAmazon Web Services Japan
 
PPTX
Dockerからcontainerdへの移行
byAkihiro Suda
 
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
byAmazon Web Services Japan
 
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
byAmazon Web Services Japan
 
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
byAmazon Web Services Japan
 
20190911 AWS Black Belt Online Seminar AWS Batch
byAmazon Web Services Japan
 
20200708サーバーレスでのAPI管理の考え方
byAmazon Web Services Japan
 
20200219 AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続
byAmazon Web Services Japan
 
20210126 AWS Black Belt Online Seminar AWS CodeDeploy
byAmazon Web Services Japan
 
Dockerからcontainerdへの移行
byAkihiro Suda
 

What's hot

PDF
20200630 AWS Black Belt Online Seminar Amazon Cognito
byAmazon Web Services Japan
 
PDF
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
byAmazon Web Services Japan
 
PDF
20180425 AWS Black Belt Online Seminar Amazon Relational Database Service (Am...
byAmazon Web Services Japan
 
PDF
20200212 AWS Black Belt Online Seminar AWS Systems Manager
byAmazon Web Services Japan
 
PDF
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
byAmazon Web Services Japan
 
PDF
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
byAmazon Web Services Japan
 
PPTX
20220409 AWS BLEA 開発にあたって検討したこと
byAmazon Web Services Japan
 
PDF
20210216 AWS Black Belt Online Seminar AWS Database Migration Service
byAmazon Web Services Japan
 
PDF
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
byAmazon Web Services Japan
 
PDF
AWS Black Belt Online Seminar AWS Direct Connect
byAmazon Web Services Japan
 
PDF
20190514 AWS Black Belt Online Seminar Amazon API Gateway
byAmazon Web Services Japan
 
PDF
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
byAmazon Web Services Japan
 
PDF
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
byAmazon Web Services Japan
 
PDF
AWSのログ管理ベストプラクティス
byAkihiro Kuwano
 
PDF
20200826 AWS Black Belt Online Seminar AWS CloudFormation
byAmazon Web Services Japan
 
PDF
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
byAmazon Web Services Japan
 
PPTX
DeNA の AWS アカウント管理とセキュリティ監査自動化
byDeNA
 
PDF
マルチテナント化で知っておきたいデータベースのこと
byAmazon Web Services Japan
 
PDF
Amazon Aurora - Auroraの止まらない進化とその中身
byAmazon Web Services Japan
 
PDF
Ingress on Azure Kubernetes Service
byToru Makabe
 
20200630 AWS Black Belt Online Seminar Amazon Cognito
byAmazon Web Services Japan
 
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
byAmazon Web Services Japan
 
20180425 AWS Black Belt Online Seminar Amazon Relational Database Service (Am...
byAmazon Web Services Japan
 
20200212 AWS Black Belt Online Seminar AWS Systems Manager
byAmazon Web Services Japan
 
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
byAmazon Web Services Japan
 
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
byAmazon Web Services Japan
 
20220409 AWS BLEA 開発にあたって検討したこと
byAmazon Web Services Japan
 
20210216 AWS Black Belt Online Seminar AWS Database Migration Service
byAmazon Web Services Japan
 
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
byAmazon Web Services Japan
 
AWS Black Belt Online Seminar AWS Direct Connect
byAmazon Web Services Japan
 
20190514 AWS Black Belt Online Seminar Amazon API Gateway
byAmazon Web Services Japan
 
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
byAmazon Web Services Japan
 
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
byAmazon Web Services Japan
 
AWSのログ管理ベストプラクティス
byAkihiro Kuwano
 
20200826 AWS Black Belt Online Seminar AWS CloudFormation
byAmazon Web Services Japan
 
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
byAmazon Web Services Japan
 
DeNA の AWS アカウント管理とセキュリティ監査自動化
byDeNA
 
マルチテナント化で知っておきたいデータベースのこと
byAmazon Web Services Japan
 
Amazon Aurora - Auroraの止まらない進化とその中身
byAmazon Web Services Japan
 
Ingress on Azure Kubernetes Service
byToru Makabe
 

Similar to IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)

PDF
AWS Black Belt Techシリーズ AWS IAM
byAmazon Web Services Japan
 
PDF
セキュリティ設計の頻出論点
byTomohiro Nakashima
 
PDF
20191125 Container Security
byAmazon Web Services Japan
 
PDF
AWS Black Belt Techシリーズ AWS IAM
byAmazon Web Services Japan
 
PDF
[AWSマイスターシリーズ]Identity and Access Management (IAM)
byAmazon Web Services Japan
 
PPTX
PenTesterが知っている危ないAWS環境の共通点
byzaki4649
 
PDF
AWS WAF 全機能解説 @2021夏(文字化けあり)
byYuto Ichikawa
 
PPTX
new AWS WAF update 概要と AMRの選び方でも足りないこと
byYOJI WATANABE
 
PDF
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
byTatsuo Kudo
 
PDF
AWSのセキュリティを考える!「AWS Well-Architected Tool」活用術セミナー セキュリティの柱を解説
byNobuhiro Nakayama
 
PDF
AWS WAF Security Automation
byHayato Kiriyama
 
PDF
「AWSアカウントの現状を把握できてますか?それ、Dome9でよく見えますよ。」 Developers.IO 2019 Security
byNobuhiro Nakayama
 
PDF
AWS Well-Architected Tool 活用術セミナー セキュリティ編
byNobuhiro Nakayama
 
PDF
AWS_reInforce_2022_reCap_Ja.pdf
byHayato Kiriyama
 
PDF
JAWS-UG 情シス支部 #3
byNobuhiro Nakayama
 
PDF
AWS Black Belt Online Seminar 2018 ReInvent recap security other
byAmazon Web Services Japan
 
PDF
Security JAWS AWS reInvent 2022 Security reCap 20230228
byHayato Kiriyama
 
PDF
Developers.IO 2018 ビジネスを阻害しない!AWS アカウントの管理
byNobuhiro Nakayama
 
PDF
IAM & Consolidated Billing -ほぼ週刊AWSマイスターシリーズ第4回
bySORACOM, INC
 
PDF
20120201 aws meister-reloaded-iam-and-billing-public
byAmazon Web Services Japan
 
AWS Black Belt Techシリーズ AWS IAM
byAmazon Web Services Japan
 
セキュリティ設計の頻出論点
byTomohiro Nakashima
 
20191125 Container Security
byAmazon Web Services Japan
 
AWS Black Belt Techシリーズ AWS IAM
byAmazon Web Services Japan
 
[AWSマイスターシリーズ]Identity and Access Management (IAM)
byAmazon Web Services Japan
 
PenTesterが知っている危ないAWS環境の共通点
byzaki4649
 
AWS WAF 全機能解説 @2021夏(文字化けあり)
byYuto Ichikawa
 
new AWS WAF update 概要と AMRの選び方でも足りないこと
byYOJI WATANABE
 
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
byTatsuo Kudo
 
AWSのセキュリティを考える!「AWS Well-Architected Tool」活用術セミナー セキュリティの柱を解説
byNobuhiro Nakayama
 
AWS WAF Security Automation
byHayato Kiriyama
 
「AWSアカウントの現状を把握できてますか?それ、Dome9でよく見えますよ。」 Developers.IO 2019 Security
byNobuhiro Nakayama
 
AWS Well-Architected Tool 活用術セミナー セキュリティ編
byNobuhiro Nakayama
 
AWS_reInforce_2022_reCap_Ja.pdf
byHayato Kiriyama
 
JAWS-UG 情シス支部 #3
byNobuhiro Nakayama
 
AWS Black Belt Online Seminar 2018 ReInvent recap security other
byAmazon Web Services Japan
 
Security JAWS AWS reInvent 2022 Security reCap 20230228
byHayato Kiriyama
 
Developers.IO 2018 ビジネスを阻害しない!AWS アカウントの管理
byNobuhiro Nakayama
 
IAM & Consolidated Billing -ほぼ週刊AWSマイスターシリーズ第4回
bySORACOM, INC
 
20120201 aws meister-reloaded-iam-and-billing-public
byAmazon Web Services Japan
 

More from NTT DATA Technology & Innovation

PDF
2025年現在のNewSQL (最強DB講義 #36 発表資料)
byNTT DATA Technology & Innovation
 
PDF
ストリーム処理はデータを失うから怖い?それ、何とかできますよ! 〜Apahe Kafkaを用いたストリーム処理における送達保証〜 (Open Source...
byNTT DATA Technology & Innovation
 
PDF
つくって壊して直して学ぶ Database on Kubernetes (CloudNative Days Summer 2025 発表資料)
byNTT DATA Technology & Innovation
 
PDF
静かに変わってきたクラスファイルを詳細に調べて楽しむ(JJUG CCC 2024 Fall講演資料)
byNTT DATA Technology & Innovation
 
PDF
PostgreSQLのHTAP適応について考える (PostgreSQL Conference Japan 2024 講演資料)
byNTT DATA Technology & Innovation
 
PDF
PostgreSQL最新動向 ~カラムナストアから生成AI連携まで~ (Open Source Conference 2025 Tokyo/Spring ...
byNTT DATA Technology & Innovation
 
PDF
Apache Sparkに対するKubernetesのNUMAノードを意識したリソース割り当ての性能効果 (Open Source Conference ...
byNTT DATA Technology & Innovation
 
PDF
PostgreSQL18新機能紹介(db tech showcase 2025 発表資料)
byNTT DATA Technology & Innovation
 
PDF
pgbenchのスレッドとクライアント (第51回 PostgreSQLアンカンファレンス@オンライン 発表資料)
byNTT DATA Technology & Innovation
 
PDF
Java in Japan: A Journey of Community, Culture, and Global Integration (JavaO...
byNTT DATA Technology & Innovation
 
PDF
開発中の新機能 Spark Declarative Pipeline に飛びついてみたが難しかった(JEDAI DAIS Recap#2 講演資料)
byNTT DATA Technology & Innovation
 
PDF
実はアナタの身近にある!? Linux のチェックポイント/レストア機能 (NTT Tech Conference 2025 発表資料)
byNTT DATA Technology & Innovation
 
PDF
論理レプリケーションのアーキテクチャ (第52回 PostgreSQLアンカンファレンス@オンライン 発表資料)
byNTT DATA Technology & Innovation
 
PDF
生成AI時代のPostgreSQLハイブリッド検索 (第50回PostgreSQLアンカンファレンス@オンライン 発表資料)
byNTT DATA Technology & Innovation
 
PDF
DAIS2024参加報告 ~Spark中心にしらべてみた~ (JEDAI DAIS Recap 講演資料)
byNTT DATA Technology & Innovation
 
PDF
PostgreSQLのgitレポジトリから見える2024年の開発状況 (第51回 PostgreSQLアンカンファレンス@オンライン 発表資料)
byNTT DATA Technology & Innovation
 
PDF
Can We Use Rust to Develop Extensions for PostgreSQL? (POSETTE: An Event for ...
byNTT DATA Technology & Innovation
 
PDF
PGConf.dev 2025 参加レポート (JPUG総会併設セミナー2025 発表資料)
byNTT DATA Technology & Innovation
 
PDF
SAFe実践から見えた、フレームワークより大切な組織変革の道程(Scrum Fest Sendai 2025 発表資料)
byNTT DATA Technology & Innovation
 
PDF
Unveiling the Hidden Layers of Java Class Files: Beyond Bytecode (Devnexus 2025)
byNTT DATA Technology & Innovation
 
2025年現在のNewSQL (最強DB講義 #36 発表資料)
byNTT DATA Technology & Innovation
 
ストリーム処理はデータを失うから怖い?それ、何とかできますよ! 〜Apahe Kafkaを用いたストリーム処理における送達保証〜 (Open Source...
byNTT DATA Technology & Innovation
 
つくって壊して直して学ぶ Database on Kubernetes (CloudNative Days Summer 2025 発表資料)
byNTT DATA Technology & Innovation
 
静かに変わってきたクラスファイルを詳細に調べて楽しむ(JJUG CCC 2024 Fall講演資料)
byNTT DATA Technology & Innovation
 
PostgreSQLのHTAP適応について考える (PostgreSQL Conference Japan 2024 講演資料)
byNTT DATA Technology & Innovation
 
PostgreSQL最新動向 ~カラムナストアから生成AI連携まで~ (Open Source Conference 2025 Tokyo/Spring ...
byNTT DATA Technology & Innovation
 
Apache Sparkに対するKubernetesのNUMAノードを意識したリソース割り当ての性能効果 (Open Source Conference ...
byNTT DATA Technology & Innovation
 
PostgreSQL18新機能紹介(db tech showcase 2025 発表資料)
byNTT DATA Technology & Innovation
 
pgbenchのスレッドとクライアント (第51回 PostgreSQLアンカンファレンス@オンライン 発表資料)
byNTT DATA Technology & Innovation
 
Java in Japan: A Journey of Community, Culture, and Global Integration (JavaO...
byNTT DATA Technology & Innovation
 
開発中の新機能 Spark Declarative Pipeline に飛びついてみたが難しかった(JEDAI DAIS Recap#2 講演資料)
byNTT DATA Technology & Innovation
 
実はアナタの身近にある!? Linux のチェックポイント/レストア機能 (NTT Tech Conference 2025 発表資料)
byNTT DATA Technology & Innovation
 
論理レプリケーションのアーキテクチャ (第52回 PostgreSQLアンカンファレンス@オンライン 発表資料)
byNTT DATA Technology & Innovation
 
生成AI時代のPostgreSQLハイブリッド検索 (第50回PostgreSQLアンカンファレンス@オンライン 発表資料)
byNTT DATA Technology & Innovation
 
DAIS2024参加報告 ~Spark中心にしらべてみた~ (JEDAI DAIS Recap 講演資料)
byNTT DATA Technology & Innovation
 
PostgreSQLのgitレポジトリから見える2024年の開発状況 (第51回 PostgreSQLアンカンファレンス@オンライン 発表資料)
byNTT DATA Technology & Innovation
 
Can We Use Rust to Develop Extensions for PostgreSQL? (POSETTE: An Event for ...
byNTT DATA Technology & Innovation
 
PGConf.dev 2025 参加レポート (JPUG総会併設セミナー2025 発表資料)
byNTT DATA Technology & Innovation
 
SAFe実践から見えた、フレームワークより大切な組織変革の道程(Scrum Fest Sendai 2025 発表資料)
byNTT DATA Technology & Innovation
 
Unveiling the Hidden Layers of Java Class Files: Beyond Bytecode (Devnexus 2025)
byNTT DATA Technology & Innovation
 

Recently uploaded

PPTX
2025年11月24日情報ネットワーク法学会大井哲也発表「API利用のシステム情報」
byTetsuya Oi
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):コアマイクロシステムズ株式会社 テーマ 「AI HPC時代のトータルソリューションプロバイダ」
byPC Cluster Consortium
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):Pacific Teck Japan テーマ2「『Slinky』 SlurmとクラウドのKuber...
byPC Cluster Consortium
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):Pacific Teck Japan テーマ3「『TrinityX』 AI時代のクラスターマネジメ...
byPC Cluster Consortium
 
PDF
論文紹介:DiffusionRet: Generative Text-Video Retrieval with Diffusion Model
byToru Tamaki
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):日本ヒューレット・パッカード合同会社 テーマ1「大規模AIの能力を最大限に活用するHPE Comp...
byPC Cluster Consortium
 
PDF
論文紹介:HiLoRA: Adaptive Hierarchical LoRA Routing for Training-Free Domain Gene...
byToru Tamaki
 
PDF
論文紹介:MotionMatcher: Cinematic Motion Customizationof Text-to-Video Diffusion ...
byToru Tamaki
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):エヌビディア合同会社 テーマ1「NVIDIA 最新発表製品等のご案内」
byPC Cluster Consortium
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):日本ヒューレット・パッカード合同会社 テーマ3「IT運用とデータサイエンティストを強力に支援するH...
byPC Cluster Consortium
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):富士通株式会社 テーマ1「HPC&AI: Accelerating material develo...
byPC Cluster Consortium
 
PPTX
ChatGPTのコネクタ開発から学ぶ、外部サービスをつなぐMCPサーバーの仕組み
byRyuji Egashira
 
PDF
AI開発の最前線を変えるニューラルネットワークプロセッサと、未来社会における応用可能性
byData Source
 
PDF
膨大なデータ時代を制する鍵、セグメンテーションAIが切り拓く解析精度と効率の革新
byData Source
 
PDF
ニューラルプロセッサによるAI処理の高速化と、未知の可能性を切り拓く未来の人工知能
byData Source
 
2025年11月24日情報ネットワーク法学会大井哲也発表「API利用のシステム情報」
byTetsuya Oi
 
PCCC25(設立25年記念PCクラスタシンポジウム):コアマイクロシステムズ株式会社 テーマ 「AI HPC時代のトータルソリューションプロバイダ」
byPC Cluster Consortium
 
PCCC25(設立25年記念PCクラスタシンポジウム):Pacific Teck Japan テーマ2「『Slinky』 SlurmとクラウドのKuber...
byPC Cluster Consortium
 
PCCC25(設立25年記念PCクラスタシンポジウム):Pacific Teck Japan テーマ3「『TrinityX』 AI時代のクラスターマネジメ...
byPC Cluster Consortium
 
論文紹介:DiffusionRet: Generative Text-Video Retrieval with Diffusion Model
byToru Tamaki
 
PCCC25(設立25年記念PCクラスタシンポジウム):日本ヒューレット・パッカード合同会社 テーマ1「大規模AIの能力を最大限に活用するHPE Comp...
byPC Cluster Consortium
 
論文紹介:HiLoRA: Adaptive Hierarchical LoRA Routing for Training-Free Domain Gene...
byToru Tamaki
 
論文紹介:MotionMatcher: Cinematic Motion Customizationof Text-to-Video Diffusion ...
byToru Tamaki
 
PCCC25(設立25年記念PCクラスタシンポジウム):エヌビディア合同会社 テーマ1「NVIDIA 最新発表製品等のご案内」
byPC Cluster Consortium
 
PCCC25(設立25年記念PCクラスタシンポジウム):日本ヒューレット・パッカード合同会社 テーマ3「IT運用とデータサイエンティストを強力に支援するH...
byPC Cluster Consortium
 
PCCC25(設立25年記念PCクラスタシンポジウム):富士通株式会社 テーマ1「HPC&AI: Accelerating material develo...
byPC Cluster Consortium
 
ChatGPTのコネクタ開発から学ぶ、外部サービスをつなぐMCPサーバーの仕組み
byRyuji Egashira
 
AI開発の最前線を変えるニューラルネットワークプロセッサと、未来社会における応用可能性
byData Source
 
膨大なデータ時代を制する鍵、セグメンテーションAIが切り拓く解析精度と効率の革新
byData Source
 
ニューラルプロセッサによるAI処理の高速化と、未知の可能性を切り拓く未来の人工知能
byData Source
 

IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)

  • 1.
    © 2022 NTTDATA Corporation [2022 年の AWS アップデートを振り返ろう ~Season 4~] IAM Roles Anywhereのない世界とある世界 2022/11/24 株式会社NTTデータ 奥村康晃
  • 2.
    © 2022 NTTDATA Corporation 2 自己紹介 氏名:奥村 康晃 所属:NTTデータ ソリューション事業本部 データセンタ&クラウドサービス事業部 役割: - クラウド分野における技術リード - 先進技術のソリューション取り込み 好きなAWSサービス: - Organizations - IAM Roles Anywhere  New
  • 3.
    © 2022 NTTDATA Corporation 3 本日ご紹介するアップデート • IAM Roles AnywhereのGA • https://aws.amazon.com/jp/about-aws/whats-new/2022/07/aws- identity-access-management-iam-roles-anywhere-workloads- outside-aws/ なぜIAM Roles Anywhereが素晴らしいのかを “AWS外からAWSリソースへAPIアクセスする”というシチュエーションを 使って説明していきます!
  • 4.
    © 2022 NTTDATA Corporation 4 AWS外からのAWSへのAPIアクセス時の課題 AWSの外からAWSリソースへAPI経由でアクセスしようとする場合、必ずアクセスキーを操作 元に保持する必要がある • アクセスキー=アクセスキー IDとシークレットアクセスキーの2つの文字列の組み合わせ アクセスキーが漏洩すると不正操作などが行われる可能性があり、 アクセスキー管理方法は注意を払う必要がある AWS Cloud オンプレシステム ローカル開発環境 API アクセスキー アクセスキー
  • 5.
    © 2022 NTTDATA Corporation 5 AWS外からのAWSへのAPIアクセス時の課題への対策 ポピュラーな対策が、一時的なアクセスキーを払い出すことで、漏洩時のリスクを抑えること AWS Cloud オンプレシステム ローカル開発環境 API アクセスキー アクセスキー 有効期限のある一時的なアクセスキー
  • 6.
    © 2022 NTTDATA Corporation 6 IAM Roles Anywhereがない世界の実現方法 | IAM Identity Center • IAM Identity Center(旧SSO)を利用し、一時アクセスキーを発行 • AWS CLI(v2)を利用して、コマンドラインベースで一時的なアクセスキーを呼び出し元 に保持させることが可能 Member Account オンプレシステム ローカル開発環境 AWS IAM Identity Center 1. aws sso login –profile xx 0.profile作成 2. IAM Identity Center セッション認証情報の保存 3. profile指定でのawsコマンドの実行(一時アクセスキーの取得) Master Account AWS STS 4. 一時アクセスキーの取得しつつ、コマンド結果受領
  • 7.
    © 2022 NTTDATA Corporation 7 IAM Roles Anywhereがない世界の実現方法 | IAM Identity Center 大規模なマルチアカウント環境になってくると、IAM Identity Centerでの中央 集権的な権限管理だと自由度が低く、つらくなる (Organizationsが使えない場合はそもそもこの構成が取れない) Member Account オンプレシステム ローカル開発環境 AWS IAM Identity Center 1. aws sso login –profile xx 0.profile作成 2. IAM Identity Center セッション認証情報の保存 3. profile指定でのawsコマンドの実行(一時アクセスキーの取得) Master Account AWS STS 4. 一時アクセスキーの取得しつつ、コマンド結果受領
  • 8.
    © 2022 NTTDATA Corporation 8 IAM Roles Anywhereがない世界の実現方法 | Jump Account • Jump Accountと呼ぶ踏み台アカウントを用意し、そこにだけIAMユーザを用意し、Jump AccountのIAMユーザからメンバーアカウントへスイッチロールする方式 • 各AWSアカウントで自由に権限制御ができ、大規模マルチアカウント環境でもOK! • Jump Account用のIAMユーザのみ長期アクセスキーを利用するが、接続元IPアドレス 制限、権限を絞る、で安心安全! Member Account オンプレシステム ローカル開発環境 IAM User 1. IAMユーザで認証 (長期アクセスキー) 2. Member AccountのIAM Roleへスイッチロール Jump Account AWS STS 3. 一時アクセスキーの取得 IAM Role assume roleを許可 権限管理 は各アカウント
  • 9.
    © 2022 NTTDATA Corporation 9 IAM Roles Anywhereがない世界の実現方法 | Jump Account ただし、結局組み合わせる文字列の数が2つから3つ(アクセスキーID, シークレッ トアクセスキー, スイッチロール先のIAM RoleのARN)になっただけで、本当にセ キュリティレベルが高まっているのか・・・ 接続元のIPアドレス制限はされているのだけど・・・ モヤモヤ・・・ Member Account オンプレシステム ローカル開発環境 IAM User 1. IAMユーザで認証 (長期アクセスキー) 2. Member AccountのIAM Roleへスイッチロール Jump Account AWS STS 3. 一時アクセスキーの取得 IAM Role assume roleを許可 権限管理 は各アカウント
  • 10.
    © 2022 NTTDATA Corporation 10 そんな時に発表があったのが、 IAM Roles Anywhere
  • 11.
    © 2022 NTTDATA Corporation 11 IAM Roles Anywhereとは? AWS外部にあるアプリケーションが IAM ロールを使用して AWS API にセキュアにアクセス できる仕組み 信頼済みの認証局が発行した証明書と一時アクセスキーを交換することが可能 オンプレシステム ローカル開発環境 AWS Cloud IAM Roles Anywhere 認証局 発行 AWS STS 信頼 1. 秘密鍵と証明書の提示 2. 一時アクセスキーの取得
  • 12.
    © 2022 NTTDATA Corporation 12 IAM Roles Anywhereを実環境で使うときに困ること 1.マルチアカウント環境で、全AWSアカウントにIAM Roles Anywhereを作るのか? 2.認証局をどうする? 困りポイント2 オンプレシステム ローカル開発環境 AWS Cloud IAM Roles Anywhere 認証局 発行 AWS STS 信頼 1. 秘密鍵と証明書の提示 2. 一時アクセスキーの取得 困りポイント1
  • 13.
    © 2022 NTTDATA Corporation 13 IAM Roles Anywhereを使いやすくするには? • Jumpアカウント構成をとり、1つのAWSアカウントだけでIAM Roles Anywhereを用意 • 認証局をJumpアカウント内にPrivate CAとして用意し、認証局維持作業を軽減 • JumpアカウントのIAMロールとして認証を行い、その後メンバーアカウントのIAMロールへスイッチロール。 • 権限管理の自由度を高めつつ、Jumpアカウントへの認証機構のセキュリティレベルを向上! Member Account オンプレシステム ローカル環境 Jump Account 2. MemberアカウントのIAMロールへスイッチロール IAM Role assume roleを許可 権限管理 は各アカウント IAM Roles Anywhere IAM Role Private CA 0. 発行 1. Jumpアカウントの IAMロールへ 信頼 素晴らしき、IAM Role Anywhereのある世界・・・!
  • 14.
    © 2022 NTTDATA Corporation 14 ただ・・・・ IAM Roles Anywhereは専用ツールである、クレデンシャル・ヘルパー・ツールの利用が必須 https://docs.aws.amazon.com/ja_jp/rolesanywhere/latest/userguide/c redential-helper.html#getting-credential-helper-tool ぜひともAWS CLIに標準装備していただけると、もっと嬉しい・・・! 以前はCLIでなければ作れなかったIAM Roles Anywhere用のIAM Roleもマネコンから作 れるようになっていたりと、改善が見られるので、引き続き改善よろしくお願いいたします!
  • 15.
    © 2022 NTTDATA Corporation