Submit Search
Upload
Security-JAWS #21 Well-ArchitectedなIAMポリシーに挑戦する(改) 〜最小権限の原則を実装ってどゆこと?〜
•
0 likes
•
399 views
T
Takamasa Ohtake
Follow
Security-JAWS #21 Well-ArchitectedなIAMポリシーに挑戦する(改) 〜最小権限の原則を実装ってどゆこと?〜
Read less
Read more
Technology
Report
Share
Report
Share
1 of 40
Download now
Download to read offline
Recommended
AWSではじめるDNSSEC
AWSではじめるDNSSEC
Tomohiro Nakashima
AWS Black Belt Online Seminar 2016 AWS CloudFormation
AWS Black Belt Online Seminar 2016 AWS CloudFormation
Amazon Web Services Japan
20191002 AWS Black Belt Online Seminar Amazon EC2 Auto Scaling and AWS Auto S...
20191002 AWS Black Belt Online Seminar Amazon EC2 Auto Scaling and AWS Auto S...
Amazon Web Services Japan
20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと
Amazon Web Services Japan
20200826 AWS Black Belt Online Seminar AWS CloudFormation
20200826 AWS Black Belt Online Seminar AWS CloudFormation
Amazon Web Services Japan
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
Amazon Web Services Japan
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
Amazon Web Services Japan
[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?
[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?
de:code 2017
Recommended
AWSではじめるDNSSEC
AWSではじめるDNSSEC
Tomohiro Nakashima
AWS Black Belt Online Seminar 2016 AWS CloudFormation
AWS Black Belt Online Seminar 2016 AWS CloudFormation
Amazon Web Services Japan
20191002 AWS Black Belt Online Seminar Amazon EC2 Auto Scaling and AWS Auto S...
20191002 AWS Black Belt Online Seminar Amazon EC2 Auto Scaling and AWS Auto S...
Amazon Web Services Japan
20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと
Amazon Web Services Japan
20200826 AWS Black Belt Online Seminar AWS CloudFormation
20200826 AWS Black Belt Online Seminar AWS CloudFormation
Amazon Web Services Japan
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
Amazon Web Services Japan
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
Amazon Web Services Japan
[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?
[SC03] Active Directory の DR 対策~天災/人災/サイバー攻撃、その時あなたの IT 基盤は利用継続できますか?
de:code 2017
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
Amazon Web Services Japan
20210119 AWS Black Belt Online Seminar AWS CloudTrail
20210119 AWS Black Belt Online Seminar AWS CloudTrail
Amazon Web Services Japan
AWS Black Belt Techシリーズ AWS Direct Connect
AWS Black Belt Techシリーズ AWS Direct Connect
Amazon Web Services Japan
AWSからのメール送信
AWSからのメール送信
Amazon Web Services Japan
AWSの課金体系
AWSの課金体系
Amazon Web Services Japan
セキュリティ設計の頻出論点
セキュリティ設計の頻出論点
Tomohiro Nakashima
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
Amazon Web Services Japan
AWS Black Belt Techシリーズ Amazon VPC
AWS Black Belt Techシリーズ Amazon VPC
Amazon Web Services Japan
AWS Black Belt Online Seminar AWS Direct Connect
AWS Black Belt Online Seminar AWS Direct Connect
Amazon Web Services Japan
20210126 AWS Black Belt Online Seminar AWS CodeDeploy
20210126 AWS Black Belt Online Seminar AWS CodeDeploy
Amazon Web Services Japan
20190226 AWS Black Belt Online Seminar Amazon WorkSpaces
20190226 AWS Black Belt Online Seminar Amazon WorkSpaces
Amazon Web Services Japan
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本
Amazon Web Services Japan
AWS BlackBelt AWS上でのDDoS対策
AWS BlackBelt AWS上でのDDoS対策
Amazon Web Services Japan
AWS Black Belt Tech シリーズ 2015 - AWS CloudFormation
AWS Black Belt Tech シリーズ 2015 - AWS CloudFormation
Amazon Web Services Japan
202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用
202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用
Amazon Web Services Japan
20200623 AWS Black Belt Online Seminar Amazon Elasticsearch Service
20200623 AWS Black Belt Online Seminar Amazon Elasticsearch Service
Amazon Web Services Japan
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)
Amazon Web Services Japan
20190731 Black Belt Online Seminar Amazon ECS Deep Dive
20190731 Black Belt Online Seminar Amazon ECS Deep Dive
Amazon Web Services Japan
The Twelve-Factor Appで考えるAWSのサービス開発
The Twelve-Factor Appで考えるAWSのサービス開発
Amazon Web Services Japan
20200331 AWS Black Belt Online Seminar AWS Elemental MediaConvert
20200331 AWS Black Belt Online Seminar AWS Elemental MediaConvert
Amazon Web Services Japan
JAWS DAYS 2021 Hands-on Well-ArchitectedなIAMポリシーに挑戦する 〜最小権限の原則を実装ってどゆこと?〜
JAWS DAYS 2021 Hands-on Well-ArchitectedなIAMポリシーに挑戦する 〜最小権限の原則を実装ってどゆこと?〜
Takamasa Ohtake
地方のユーザとクラウド
地方のユーザとクラウド
Taku Harako
More Related Content
What's hot
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
Amazon Web Services Japan
20210119 AWS Black Belt Online Seminar AWS CloudTrail
20210119 AWS Black Belt Online Seminar AWS CloudTrail
Amazon Web Services Japan
AWS Black Belt Techシリーズ AWS Direct Connect
AWS Black Belt Techシリーズ AWS Direct Connect
Amazon Web Services Japan
AWSからのメール送信
AWSからのメール送信
Amazon Web Services Japan
AWSの課金体系
AWSの課金体系
Amazon Web Services Japan
セキュリティ設計の頻出論点
セキュリティ設計の頻出論点
Tomohiro Nakashima
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
Amazon Web Services Japan
AWS Black Belt Techシリーズ Amazon VPC
AWS Black Belt Techシリーズ Amazon VPC
Amazon Web Services Japan
AWS Black Belt Online Seminar AWS Direct Connect
AWS Black Belt Online Seminar AWS Direct Connect
Amazon Web Services Japan
20210126 AWS Black Belt Online Seminar AWS CodeDeploy
20210126 AWS Black Belt Online Seminar AWS CodeDeploy
Amazon Web Services Japan
20190226 AWS Black Belt Online Seminar Amazon WorkSpaces
20190226 AWS Black Belt Online Seminar Amazon WorkSpaces
Amazon Web Services Japan
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本
Amazon Web Services Japan
AWS BlackBelt AWS上でのDDoS対策
AWS BlackBelt AWS上でのDDoS対策
Amazon Web Services Japan
AWS Black Belt Tech シリーズ 2015 - AWS CloudFormation
AWS Black Belt Tech シリーズ 2015 - AWS CloudFormation
Amazon Web Services Japan
202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用
202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用
Amazon Web Services Japan
20200623 AWS Black Belt Online Seminar Amazon Elasticsearch Service
20200623 AWS Black Belt Online Seminar Amazon Elasticsearch Service
Amazon Web Services Japan
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)
Amazon Web Services Japan
20190731 Black Belt Online Seminar Amazon ECS Deep Dive
20190731 Black Belt Online Seminar Amazon ECS Deep Dive
Amazon Web Services Japan
The Twelve-Factor Appで考えるAWSのサービス開発
The Twelve-Factor Appで考えるAWSのサービス開発
Amazon Web Services Japan
20200331 AWS Black Belt Online Seminar AWS Elemental MediaConvert
20200331 AWS Black Belt Online Seminar AWS Elemental MediaConvert
Amazon Web Services Japan
What's hot
(20)
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
20210119 AWS Black Belt Online Seminar AWS CloudTrail
20210119 AWS Black Belt Online Seminar AWS CloudTrail
AWS Black Belt Techシリーズ AWS Direct Connect
AWS Black Belt Techシリーズ AWS Direct Connect
AWSからのメール送信
AWSからのメール送信
AWSの課金体系
AWSの課金体系
セキュリティ設計の頻出論点
セキュリティ設計の頻出論点
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
AWS Black Belt Techシリーズ Amazon VPC
AWS Black Belt Techシリーズ Amazon VPC
AWS Black Belt Online Seminar AWS Direct Connect
AWS Black Belt Online Seminar AWS Direct Connect
20210126 AWS Black Belt Online Seminar AWS CodeDeploy
20210126 AWS Black Belt Online Seminar AWS CodeDeploy
20190226 AWS Black Belt Online Seminar Amazon WorkSpaces
20190226 AWS Black Belt Online Seminar Amazon WorkSpaces
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本
AWS BlackBelt AWS上でのDDoS対策
AWS BlackBelt AWS上でのDDoS対策
AWS Black Belt Tech シリーズ 2015 - AWS CloudFormation
AWS Black Belt Tech シリーズ 2015 - AWS CloudFormation
202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用
202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用
20200623 AWS Black Belt Online Seminar Amazon Elasticsearch Service
20200623 AWS Black Belt Online Seminar Amazon Elasticsearch Service
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)
20190731 Black Belt Online Seminar Amazon ECS Deep Dive
20190731 Black Belt Online Seminar Amazon ECS Deep Dive
The Twelve-Factor Appで考えるAWSのサービス開発
The Twelve-Factor Appで考えるAWSのサービス開発
20200331 AWS Black Belt Online Seminar AWS Elemental MediaConvert
20200331 AWS Black Belt Online Seminar AWS Elemental MediaConvert
Similar to Security-JAWS #21 Well-ArchitectedなIAMポリシーに挑戦する(改) 〜最小権限の原則を実装ってどゆこと?〜
JAWS DAYS 2021 Hands-on Well-ArchitectedなIAMポリシーに挑戦する 〜最小権限の原則を実装ってどゆこと?〜
JAWS DAYS 2021 Hands-on Well-ArchitectedなIAMポリシーに挑戦する 〜最小権限の原則を実装ってどゆこと?〜
Takamasa Ohtake
地方のユーザとクラウド
地方のユーザとクラウド
Taku Harako
20130719 CDP Night LightningTalk "Internal Port Concentrator"
20130719 CDP Night LightningTalk "Internal Port Concentrator"
Kazuki Ueki
20130831 JAWS Chiba
20130831 JAWS Chiba
Kazuki Ueki
Introduction_of_CNSec_three_dogs _AWS_Dev_Day_LT
Introduction_of_CNSec_three_dogs _AWS_Dev_Day_LT
Typhon 666
逆襲の Well-Architected Framework (Alternative Architecture DOJO #5) 20201118
逆襲の Well-Architected Framework (Alternative Architecture DOJO #5) 20201118
Masanori KAMAYAMA
AWSウルトラクイズ第1回全国統一模擬試験_20121124
AWSウルトラクイズ第1回全国統一模擬試験_20121124
真吾 吉田
Aws cloud roadshow 2015 Nagoya - Taku Harako
Aws cloud roadshow 2015 Nagoya - Taku Harako
Taku Harako
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
cyberagent
JAWS DAYS 2016 Mafia Talk
JAWS DAYS 2016 Mafia Talk
真吾 吉田
JAWS-UG 大阪 第22回 LT
JAWS-UG 大阪 第22回 LT
Mitsuhiro Yamashita
20140726 jaws-ug chiba AWS operation best practice
20140726 jaws-ug chiba AWS operation best practice
Kazuki Ueki
20130907 JAWS-UG saitama#2 case_study
20130907 JAWS-UG saitama#2 case_study
Kazuki Ueki
40まで開発のリーダーだった男がインフラの運用のリーダー(見習い)になってみて
40まで開発のリーダーだった男がインフラの運用のリーダー(見習い)になってみて
Hiroyuki Hiki
SORACOM UG Yamagata #1 | IoTに必要な通信「SORACOM」入門セミナー
SORACOM UG Yamagata #1 | IoTに必要な通信「SORACOM」入門セミナー
SORACOM,INC
[JISA][変革リーダー養成部会]組織の中で自分を活かす生き方
[JISA][変革リーダー養成部会]組織の中で自分を活かす生き方
Shigeki Morizane
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
Amazon Web Services Japan
IoTに必要な通信「SORACOM」入門セミナー 20160616
IoTに必要な通信「SORACOM」入門セミナー 20160616
SORACOM,INC
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
株式会社スカイアーチネットワークス
SeleniumとPhantomJSで自動化サーバーレス(RPALT vol.1 LT)
SeleniumとPhantomJSで自動化サーバーレス(RPALT vol.1 LT)
Mitsuhiro Yamashita
Similar to Security-JAWS #21 Well-ArchitectedなIAMポリシーに挑戦する(改) 〜最小権限の原則を実装ってどゆこと?〜
(20)
JAWS DAYS 2021 Hands-on Well-ArchitectedなIAMポリシーに挑戦する 〜最小権限の原則を実装ってどゆこと?〜
JAWS DAYS 2021 Hands-on Well-ArchitectedなIAMポリシーに挑戦する 〜最小権限の原則を実装ってどゆこと?〜
地方のユーザとクラウド
地方のユーザとクラウド
20130719 CDP Night LightningTalk "Internal Port Concentrator"
20130719 CDP Night LightningTalk "Internal Port Concentrator"
20130831 JAWS Chiba
20130831 JAWS Chiba
Introduction_of_CNSec_three_dogs _AWS_Dev_Day_LT
Introduction_of_CNSec_three_dogs _AWS_Dev_Day_LT
逆襲の Well-Architected Framework (Alternative Architecture DOJO #5) 20201118
逆襲の Well-Architected Framework (Alternative Architecture DOJO #5) 20201118
AWSウルトラクイズ第1回全国統一模擬試験_20121124
AWSウルトラクイズ第1回全国統一模擬試験_20121124
Aws cloud roadshow 2015 Nagoya - Taku Harako
Aws cloud roadshow 2015 Nagoya - Taku Harako
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
JAWS DAYS 2016 Mafia Talk
JAWS DAYS 2016 Mafia Talk
JAWS-UG 大阪 第22回 LT
JAWS-UG 大阪 第22回 LT
20140726 jaws-ug chiba AWS operation best practice
20140726 jaws-ug chiba AWS operation best practice
20130907 JAWS-UG saitama#2 case_study
20130907 JAWS-UG saitama#2 case_study
40まで開発のリーダーだった男がインフラの運用のリーダー(見習い)になってみて
40まで開発のリーダーだった男がインフラの運用のリーダー(見習い)になってみて
SORACOM UG Yamagata #1 | IoTに必要な通信「SORACOM」入門セミナー
SORACOM UG Yamagata #1 | IoTに必要な通信「SORACOM」入門セミナー
[JISA][変革リーダー養成部会]組織の中で自分を活かす生き方
[JISA][変革リーダー養成部会]組織の中で自分を活かす生き方
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
IoTに必要な通信「SORACOM」入門セミナー 20160616
IoTに必要な通信「SORACOM」入門セミナー 20160616
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
SeleniumとPhantomJSで自動化サーバーレス(RPALT vol.1 LT)
SeleniumとPhantomJSで自動化サーバーレス(RPALT vol.1 LT)
Recently uploaded
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
UEHARA, Tetsutaro
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
Hiroki Ichikura
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
Yuki Kikuchi
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
FumieNakayama
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
FumieNakayama
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
博三 太田
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
akihisamiyanaga1
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
sugiuralab
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
iPride Co., Ltd.
Recently uploaded
(9)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
TataPixel: 畳の異方性を利用した切り替え可能なディスプレイの提案
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
Security-JAWS #21 Well-ArchitectedなIAMポリシーに挑戦する(改) 〜最小権限の原則を実装ってどゆこと?〜
1.
Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~ おおたけ
2.
Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~ 自己紹介 名前:大竹孝昌 職歴:とある電気メーカー 業務歴:社製ft
ServerとかHAクラスタリングSWとか開発 ⇒ なんやかんやあってAWSJとのアライアンス業務 JAWS-UG歴:初心者支部の勉強会に3回くらい参加 ⇒ ご縁があって(?) Security-JAWS のコアメンバ 好きなAWSサービス:Amazon S3 SORACOM UG Tokyo https://www.facebook.com/soracomug/ Security-JAWS https://s-jaws.doorkeeper.jp/ コミュニティ放送部 https://community-bc.connpass.com/ 個人活動
3.
今日のお話 JAWS DAYS 2021
のハンズオン資料がベース ※ハンズオン資料:https://www.slideshare.net/TakamasaOhtake/jaws-days-2021-handson-wellarchitectediam セッション内容は下記の観点で再編集 ・最小権限の原則 って何? ・具体的な権限の絞り込み方 Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
4.
それでは『原理原則の理解』から。
5.
原理原則の理解 『最小権限の原則』を理解する https://aws.amazon.com/jp/architecture/well-architected/ Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
6.
原理原則の理解 『最小権限の原則』を理解する https://wa.aws.amazon.com/index.ja.html クリックすると、、、 Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改)
~最小権限の原則を実装ってどゆこと?~
7.
原理原則の理解 『最小権限の原則』を理解する ベストプラクティス 最小権限のアクセスを付与する: 特定の条件下で特定の AWS リソースに対する特定のアクションを行えるよ うにして、ID
に必要なアクセスのみを付与します。グループと ID 属性を利用 して、個々のユーザーのアクセス許可を定義するのではなく、規模に応じて アクセス許可を動的に設定します。たとえば、開発者のグループに、扱うプ ロジェクトのリソースのみを管理することを許可できます。これにより、開発 者がグループから削除されると、アクセスポリシーに変更を加えることなく、 そのグループがどこでアクセスコントロールに使用されたかを問わず、開発 者のアクセスが取り消されます。 Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
8.
原理原則の理解 『最小権限の原則』を理解する ベストプラクティス 最小権限のアクセスを付与する: 特定の条件下で特定の AWS リソースに対する特定のアクションを行えるようにして、ID
に必要なアクセスのみを付与します。グループ と ID 属性を利用して、個々のユーザーのアクセス許可を定義するのではなく、規模に応じてアクセス許可を動的に設定します。たとえ ば、開発者のグループに、扱うプロジェクトのリソースのみを管理することを許可できます。これにより、開発者がグループから削除さ れると、アクセスポリシーに変更を加えることなく、そのグループがどこでアクセスコントロールに使用されたかを問わず、開発者のアク セスが取り消されます。 改善計画 ・最小権限ポリシーを実装する: IAM グループおよびロールに最小権限のアクセスポリシーを割り当てて、定義したユーザーのロール または機能を反映します。 ・必要でないアクセス許可を削除する: 不要なアクセス許可を削除して、最小権限を実装します。 ・アクセス許可の境界を考慮する: アクセス許可の境界は、アイデンティティベースのポリシーが IAM エンティティに付与できるアクセス 許可の上限を設定する管理ポリシーを使用するための高度な機能です。エンティティのアクセス許可の境界では、アイデンティティベー スのポリシーとそのアクセス許可の境界の両方で許可されているアクションのみを実行できます。 ・アクセス許可のリソースタグを検討する: タグを使用して、タグ付けをサポートする AWS リソースへのアクセスを制御できます。また、 IAM ユーザーとロールにタグ付けして、ユーザーがアクセスできる内容を制御することもできます。 ベストプラクティスの具体的な解釈(考え方) ベストプラクティスを実現するための具体的な対応策 Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
9.
原理原則の理解 『最小権限の原則』を実装する 下記の3点を定義する必要あり 1) アクセス権限が必要となる条件 ⇒
役割(ロール) 2) 実行する具体的なアクション ⇒ API 3) 操作対象のAWSリソース ⇒ ARN(AWS Resource Name) あの 権限 その 権限 この 権限 『この人に与える権限は何?』 特定ユーザーに様々な権限が集まる ま ぜ る な 危 険 『この人が担う役割は何?』 ⇒ 『その役割に必要な権限は何?』 あの 権限 その 権限 この 権限 『役割』 状況で切り替え あの 役割 その 役割 この 役割 ロールごとに必要な権限を割り当てる まずはココの定義から ば ら し て 安 心 Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
10.
どうやって権限を絞り込むの?
11.
絞り込み例 その1 まずは役割(ロール)を定義 役割:EC2インスタンスの運用 1) AWS
Management Console にて、EC2やVPCなどサービスの状態や設定値を確認(目視) API:閲覧に関係するもの全般 ARN:特に制限なし Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
12.
絞り込み例 その1 役割:EC2インスタンスの運用 1) AWS
Management Console にて、EC2やVPCなどサービスの状態や設定値を確認(目視) API:閲覧に関係するもの全般 ⇒ ReadOnlyAccess ARN:特に制限なし IAM Policyの中身 { "Version": "2012-10-17", "Statement": [ { "Action": [ (略) "ec2:Describe*", "ec2:Get*", "ec2:SearchTransitGatewayRoutes", "ec2messages:Get*", (略) ], "Effect": "Allow", "Resource": "*" } ] } EC2の閲覧系全般 すべてのAWSリソース Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
13.
絞り込み例 その1 役割:EC2インスタンスの運用 1) AWS
Management Console にて、EC2やVPCなどサービスの状態や設定値を確認(目視) 2) EC2インスタンスの起動と停止(手動実行) API:閲覧に関係するもの全般 + EC2インスタンスの起動と停止 ⇒ ReadOnlyAccess + カスタムポリシー ARN:特に制限なし New 要追加 Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
14.
絞り込み例 その1 カスタムポリシーを作成する EC2インスタンスの起動と停止に 必要なアクションのみを指定する 最小権限の実装を阻む壁 (ぶっちゃけ面倒) Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改)
~最小権限の原則を実装ってどゆこと?~
15.
【朗報】 AWS CloudShell +
AWS CLI ↑ この組み合わせが超便利
16.
絞り込み例 その1 AWS CLI
を活用する 画面操作の洗い出し ・EC2インスタンスの起動 ・EC2インスタンスの停止 ↓ AWS CLI で再現 ・aws ec2 start-instances ・aws ec2 stop-instances ↓ IAMポリシーに反映 ・EC2 : StartInstances ・EC2 : StopInstances 命名規則は比較的シンプル (眺めて傾向をつかもう) https://awscli.amazonaws.com/v2/documentation/api/latest/index.html インスタンスの起動と停止 ・start-instances ・stop-instances 似てるので類推可能 Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
17.
絞り込み例 その1 AWS CLI
を活用する $ aws ec2 start-instances --instance-ids <インスタンスID> $ echo $? $ aws ec2 stop-instances --instance-ids <インスタンスID> $ echo $? EC2インスタンスの起動 EC2インスタンスの停止 Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
18.
絞り込み例 その1 カスタムポリシーを作成する(再挑戦) 2つだけ許可 Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改)
~最小権限の原則を実装ってどゆこと?~
19.
閑話休題
20.
ちょっと補足 AWS管理ポリシー ReadOnlyAccess は安全? IAM
Policyの中身 { "Version": "2012-10-17", "Statement": [ { "Action": [ (略) "ec2:Describe*", "ec2:Get*", "ec2:SearchTransitGatewayRoutes", "ec2messages:Get*", (略) ], "Effect": "Allow", "Resource": "*" } ] } 閲覧系全般 すべてのAWSリソース 必要が無いデータにもアクセス可能! ⇒ 情報漏洩のリスクと考えることができる AWS Well-Architected フレームワーク SEC 8: 保管時のデータをどのように保護していますか? ベストプラクティス 人をデータから遠ざけるメカニズムを使用する: 通常の運用状況で、すべてのユーザーが機密データおよびシス テムに直接アクセスできないようにします。たとえば、クエリを実 行するデータストアに直接アクセスする代わりにダッシュボードを 提供します。CI/CD パイプラインを使用しない場合は、通常無効 になっている特権アクセスメカニズムを適切に提供するために必 要な制御とプロセスを決定します。 Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
21.
ちょっと補足 厳密には最小権限のIAMポリシーとは『最も絞り込んだ権限』 例)許可:特定のEC2インスタンスの起動/停止のみ { "Version": "2012-10-17", "Statement": [ { "Sid":
"VisualEditor0", "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances" ], "Resource": "*" } ] } 【 改善ポイント】 AWSリソースはARNで明示すべし ピンポイントな操作は AWS CLI が捗るやつ! 【注意】 CloudWatch での監視やパフォーマンス分析など AWS ManagementConsole を利用した方が捗る ケースもあるので、使い方はよく吟味しよう。 ワイルドカードは要注意! Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
22.
それはそうと
23.
都度AWS CLIで再現するの面倒じゃね? (CloudFormationが絡むと心が折れそう)
24.
どうやって権限を絞り込むの? (特にCloudFormationを使うとき)
25.
とにかく楽なやり方がいい! ※必要は発明の母
26.
絞り込み例 その2 AWS CloudTrail
を活用する 画面操作=APIの実行 (画面の操作履歴=APIの実行履歴) ↓ 『どんなAPIを実行されたのか?』は イベント履歴から判明するのでは!? Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
27.
絞り込み例 その2 AWS CloudTrail
を活用する ■ AWS CLI を活用 画面操作の洗い出し ↓ AWS CLI で再現 ↓ IAMポリシーに反映 ■ AWS CloudTrail を活用 画面操作の洗い出し&実行 ↓ AWS CloudTrail から発掘 ↓ IAMポリシーに反映 Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
28.
絞り込み例 その2 AWS CloudTrail
を活用する お題:CloudFormationでEC2インスタンスをデプロイするのに必要な権限は何? Launch Stack Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
29.
【ご提案】 目印になりそうなもの※を仕込んでみては? ※便宜上『マーカーイベント』と呼びます
30.
絞り込み例 その2 抽出したいイベント(操作)の前後でマーカーイベントを仕込む! 何も考えず下記コマンドを3回連続で実行 $ aws
accessanalyzer list-analyzers このアイコンをクリック! AWS CloudShellを起動 (初回実行は起動完了まで少々待つ) 別に他のコマンドでも OKなんですけどね。 Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~ 気分は sync sync sync
31.
絞り込み例 その2 AWS CloudTrail
を活用する 何も考えず3回連続で実行したコマンド イベント名=ListAnalyzers $ aws accessanalyzer list-analyzers マーカーイベント 発掘したいイベント(API)はこの隙間に眠っている! Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
32.
絞り込み例 その2 AWS CloudTrail
を活用する Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
33.
絞り込み例 その2 AWS CloudTrail
を活用する マーカーイベント ユーザー名とイベントソースを眺めて 関連しそうなイベント(API)を発掘する Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
34.
絞り込み例 その2 AWS CloudTrail
を活用する イベントソースより AWS CloudShell のものと判断 → スタック作成とは無関係なので無視でOKなハズ(仮説) イベントソースよりEC2のものと判断 → IAMポリシーのビジュアルエディタで発見できず → 一旦無視していいんじゃね?(仮説) 仮説が正しいかどうかは 実際に試して確認すること! Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
35.
CloudTrailからイベント(API)を ちまちまピックアップすると?
36.
絞り込み例 その2 イベントソース イベント名 ec2.amazonaws.com AuthorizeSecurityGroupIngress CreateSecurityGroup CreateTags RunInstances cloudformation.amazonaws.com DescribeStackEvents DescribeStacks ListStacks CreateStack EC2-Management-Policy_CreateSecurityGroupSample { "Version":
"2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupIngress", "cloudformation:ListStacks", "cloudformation:DescribeStackEvents", "cloudformation:CreateStack", "ec2:CreateSecurityGroup", "ec2:CreateTags", "ec2:RunInstances", "cloudformation:DescribeStacks" ], "Resource": "*" } ] } ※AWS IAMのビジュアルエディタで作成した結果 Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
37.
めでたし、めでたし。
38.
衝撃ニュースが!
39.
40.
次のセッションへ続く!
Download now