Submit Search
Upload
LTスライド(ksk_mats)[JAWS-UG 初心者支部#36 しくじりLT大会!!]
•
0 likes
•
75 views
K
Keisuke Matsuda
Follow
https://jawsug-bgnr.connpass.com/event/210736/
Read less
Read more
Engineering
Report
Share
Report
Share
1 of 26
Download now
Download to read offline
Recommended
形式手法で捗る!インフラ構成の設計と検証
形式手法で捗る!インフラ構成の設計と検証
y_taka_23
初めてのDirect Connect 四国クラウドお遍路2014&JAWS-UGの現状
初めてのDirect Connect 四国クラウドお遍路2014&JAWS-UGの現状
Hiroyuki Hiki
四国クラウドお遍路20141004
四国クラウドお遍路20141004
Genta Watanabe
JAWSUG札幌-社内環境見える化計画
JAWSUG札幌-社内環境見える化計画
Serverworks Co.,Ltd.
JenkinsのAWS連携
JenkinsのAWS連携
株式会社スカイアーチネットワークス
AWSでシステム構築工数を1/10にしつつ、高品質化も実現した枠組みのご紹介
AWSでシステム構築工数を1/10にしつつ、高品質化も実現した枠組みのご紹介
株式会社スカイアーチネットワークス
クラウド利用の変遷
クラウド利用の変遷
KLab Inc. / Tech
20140628第9会クラウド女子会 vpc
20140628第9会クラウド女子会 vpc
SachieMiyazaki
Recommended
形式手法で捗る!インフラ構成の設計と検証
形式手法で捗る!インフラ構成の設計と検証
y_taka_23
初めてのDirect Connect 四国クラウドお遍路2014&JAWS-UGの現状
初めてのDirect Connect 四国クラウドお遍路2014&JAWS-UGの現状
Hiroyuki Hiki
四国クラウドお遍路20141004
四国クラウドお遍路20141004
Genta Watanabe
JAWSUG札幌-社内環境見える化計画
JAWSUG札幌-社内環境見える化計画
Serverworks Co.,Ltd.
JenkinsのAWS連携
JenkinsのAWS連携
株式会社スカイアーチネットワークス
AWSでシステム構築工数を1/10にしつつ、高品質化も実現した枠組みのご紹介
AWSでシステム構築工数を1/10にしつつ、高品質化も実現した枠組みのご紹介
株式会社スカイアーチネットワークス
クラウド利用の変遷
クラウド利用の変遷
KLab Inc. / Tech
20140628第9会クラウド女子会 vpc
20140628第9会クラウド女子会 vpc
SachieMiyazaki
インフラエンジニアのお仕事 ~ daemontools から systemdに乗り換えた話 ~
インフラエンジニアのお仕事 ~ daemontools から systemdに乗り換えた話 ~
KLab Inc. / Tech
シェルスクリプトで作るコンフィグ管理サーバ
シェルスクリプトで作るコンフィグ管理サーバ
Masaru Ogura
JAWS-UG四国クラウドお遍路2014
JAWS-UG四国クラウドお遍路2014
Shiraishi Masayuki
EC2上でパケットをミラーリング
EC2上でパケットをミラーリング
Kenta Yasukawa
クラウドサービス活用事例
クラウドサービス活用事例
KLab Inc. / Tech
AWS Lambdaのテストで役立つ各種ツール
AWS Lambdaのテストで役立つ各種ツール
Masaki Suzuki
VPC Reachability Analyzer 使って人生が変わった話
VPC Reachability Analyzer 使って人生が変わった話
Noritaka Sekiyama
Single Command Deployのための gradle-aws-plugin講座
Single Command Deployのための gradle-aws-plugin講座
都元ダイスケ Miyamoto
前座Lambda
前座Lambda
Akio Katayama
青空文庫サーバの今と今後
青空文庫サーバの今と今後
Keisuke Katsuki
第9回Jawsug大阪 ServiceProviders 現場で使えるAWS付随サービス!!
第9回Jawsug大阪 ServiceProviders 現場で使えるAWS付随サービス!!
Takuro Sasaki
Lvsをvpc上に構築してみた話
Lvsをvpc上に構築してみた話
Yu Komiya
AWS Lambdaで作るクローラー/スクレイピング
AWS Lambdaで作るクローラー/スクレイピング
Takuro Sasaki
怒涛のAWS入門! クラウドプラクティショナー! 知ってました? あなた、クラウドプラクティショナーなんですよ。
怒涛のAWS入門! クラウドプラクティショナー! 知ってました? あなた、クラウドプラクティショナーなんですよ。
Mitsuhiro Yamashita
AWS Outpostsセミナー オンプレミスネットワークとの接続
AWS Outpostsセミナー オンプレミスネットワークとの接続
Shuji Kikuchi
さばわのわ#2 AWS SDK for PHP で学ぶAthena
さばわのわ#2 AWS SDK for PHP で学ぶAthena
Takaki Sugitani
JAWS-UG Osaka 2013.11.02 Feel the Elesticity v2.0
JAWS-UG Osaka 2013.11.02 Feel the Elesticity v2.0
Toshiyuki Konparu
[HIGOBASHI.AWS] AWS ネットワーク小ネタ祭り
[HIGOBASHI.AWS] AWS ネットワーク小ネタ祭り
Shuji Kikuchi
GAS + SaaS時々 AWSで自動化
GAS + SaaS時々 AWSで自動化
Mitsuhiro Yamashita
若手エンジニアとして今年頑張ったこと
若手エンジニアとして今年頑張ったこと
Tsukasa Omukai
JAWSUG札幌 AWS Storage Gateway事始め
JAWSUG札幌 AWS Storage Gateway事始め
Serverworks Co.,Ltd.
ICDP普及活動
ICDP普及活動
Katsuhiro Masaki
More Related Content
What's hot
インフラエンジニアのお仕事 ~ daemontools から systemdに乗り換えた話 ~
インフラエンジニアのお仕事 ~ daemontools から systemdに乗り換えた話 ~
KLab Inc. / Tech
シェルスクリプトで作るコンフィグ管理サーバ
シェルスクリプトで作るコンフィグ管理サーバ
Masaru Ogura
JAWS-UG四国クラウドお遍路2014
JAWS-UG四国クラウドお遍路2014
Shiraishi Masayuki
EC2上でパケットをミラーリング
EC2上でパケットをミラーリング
Kenta Yasukawa
クラウドサービス活用事例
クラウドサービス活用事例
KLab Inc. / Tech
AWS Lambdaのテストで役立つ各種ツール
AWS Lambdaのテストで役立つ各種ツール
Masaki Suzuki
VPC Reachability Analyzer 使って人生が変わった話
VPC Reachability Analyzer 使って人生が変わった話
Noritaka Sekiyama
Single Command Deployのための gradle-aws-plugin講座
Single Command Deployのための gradle-aws-plugin講座
都元ダイスケ Miyamoto
前座Lambda
前座Lambda
Akio Katayama
青空文庫サーバの今と今後
青空文庫サーバの今と今後
Keisuke Katsuki
第9回Jawsug大阪 ServiceProviders 現場で使えるAWS付随サービス!!
第9回Jawsug大阪 ServiceProviders 現場で使えるAWS付随サービス!!
Takuro Sasaki
Lvsをvpc上に構築してみた話
Lvsをvpc上に構築してみた話
Yu Komiya
AWS Lambdaで作るクローラー/スクレイピング
AWS Lambdaで作るクローラー/スクレイピング
Takuro Sasaki
怒涛のAWS入門! クラウドプラクティショナー! 知ってました? あなた、クラウドプラクティショナーなんですよ。
怒涛のAWS入門! クラウドプラクティショナー! 知ってました? あなた、クラウドプラクティショナーなんですよ。
Mitsuhiro Yamashita
AWS Outpostsセミナー オンプレミスネットワークとの接続
AWS Outpostsセミナー オンプレミスネットワークとの接続
Shuji Kikuchi
さばわのわ#2 AWS SDK for PHP で学ぶAthena
さばわのわ#2 AWS SDK for PHP で学ぶAthena
Takaki Sugitani
JAWS-UG Osaka 2013.11.02 Feel the Elesticity v2.0
JAWS-UG Osaka 2013.11.02 Feel the Elesticity v2.0
Toshiyuki Konparu
[HIGOBASHI.AWS] AWS ネットワーク小ネタ祭り
[HIGOBASHI.AWS] AWS ネットワーク小ネタ祭り
Shuji Kikuchi
GAS + SaaS時々 AWSで自動化
GAS + SaaS時々 AWSで自動化
Mitsuhiro Yamashita
What's hot
(19)
インフラエンジニアのお仕事 ~ daemontools から systemdに乗り換えた話 ~
インフラエンジニアのお仕事 ~ daemontools から systemdに乗り換えた話 ~
シェルスクリプトで作るコンフィグ管理サーバ
シェルスクリプトで作るコンフィグ管理サーバ
JAWS-UG四国クラウドお遍路2014
JAWS-UG四国クラウドお遍路2014
EC2上でパケットをミラーリング
EC2上でパケットをミラーリング
クラウドサービス活用事例
クラウドサービス活用事例
AWS Lambdaのテストで役立つ各種ツール
AWS Lambdaのテストで役立つ各種ツール
VPC Reachability Analyzer 使って人生が変わった話
VPC Reachability Analyzer 使って人生が変わった話
Single Command Deployのための gradle-aws-plugin講座
Single Command Deployのための gradle-aws-plugin講座
前座Lambda
前座Lambda
青空文庫サーバの今と今後
青空文庫サーバの今と今後
第9回Jawsug大阪 ServiceProviders 現場で使えるAWS付随サービス!!
第9回Jawsug大阪 ServiceProviders 現場で使えるAWS付随サービス!!
Lvsをvpc上に構築してみた話
Lvsをvpc上に構築してみた話
AWS Lambdaで作るクローラー/スクレイピング
AWS Lambdaで作るクローラー/スクレイピング
怒涛のAWS入門! クラウドプラクティショナー! 知ってました? あなた、クラウドプラクティショナーなんですよ。
怒涛のAWS入門! クラウドプラクティショナー! 知ってました? あなた、クラウドプラクティショナーなんですよ。
AWS Outpostsセミナー オンプレミスネットワークとの接続
AWS Outpostsセミナー オンプレミスネットワークとの接続
さばわのわ#2 AWS SDK for PHP で学ぶAthena
さばわのわ#2 AWS SDK for PHP で学ぶAthena
JAWS-UG Osaka 2013.11.02 Feel the Elesticity v2.0
JAWS-UG Osaka 2013.11.02 Feel the Elesticity v2.0
[HIGOBASHI.AWS] AWS ネットワーク小ネタ祭り
[HIGOBASHI.AWS] AWS ネットワーク小ネタ祭り
GAS + SaaS時々 AWSで自動化
GAS + SaaS時々 AWSで自動化
Similar to LTスライド(ksk_mats)[JAWS-UG 初心者支部#36 しくじりLT大会!!]
若手エンジニアとして今年頑張ったこと
若手エンジニアとして今年頑張ったこと
Tsukasa Omukai
JAWSUG札幌 AWS Storage Gateway事始め
JAWSUG札幌 AWS Storage Gateway事始め
Serverworks Co.,Ltd.
ICDP普及活動
ICDP普及活動
Katsuhiro Masaki
2013/08 JAWS_UG北九州 AWSを使った儲け方
2013/08 JAWS_UG北九州 AWSを使った儲け方
Serverworks Co.,Ltd.
これからのクラウドネイティブアプリケーションの話をしよう
これからのクラウドネイティブアプリケーションの話をしよう
真吾 吉田
AWSへのWindows Server 2003の移行 そして今後インフラとどう向き合うべきか
AWSへのWindows Server 2003の移行 そして今後インフラとどう向き合うべきか
真吾 吉田
Mroongaを選んだ理由と ちょっと嬉しかった話
Mroongaを選んだ理由と ちょっと嬉しかった話
Terui Masashi
20121221 AWS re:Invent 凱旋報告
20121221 AWS re:Invent 凱旋報告
真吾 吉田
AWS Startup Use Cases 2015
AWS Startup Use Cases 2015
Eiji Shinohara
AWSはMSSまで提供してくれるのか!?
AWSはMSSまで提供してくれるのか!?
Masaya Tahara
オープンなクラウドの世界でエンジニアが楽しいと思うことを仕事にする方法
オープンなクラウドの世界でエンジニアが楽しいと思うことを仕事にする方法
Tetsunori Nishizawa
私のEC2 2015振り返り
私のEC2 2015振り返り
Kunihiro Morita
インフラ系自主トレするならAWS
インフラ系自主トレするならAWS
Yasuhiro Araki, Ph.D
LocalStack
LocalStack
chibochibo
クラウド時代の人材育成
クラウド時代の人材育成
Trainocate Japan, Ltd.
JAWS DAYS 2015 OpsWorks Aceに聞け
JAWS DAYS 2015 OpsWorks Aceに聞け
晋也 古渡
Start serverless
Start serverless
Ryosuke Izumi
スカイアーチセミナー:[スカイアーチ AWS共催]AWS移行のプロが教える!導入への3ステップ(skyhopperのご紹介):150521
スカイアーチセミナー:[スカイアーチ AWS共催]AWS移行のプロが教える!導入への3ステップ(skyhopperのご紹介):150521
株式会社スカイアーチネットワークス
AWS Glueを使った Serverless ETL の実装パターン
AWS Glueを使った Serverless ETL の実装パターン
seiichi arai
実務で活かせる AWSアーキテクチャ設計 〜AWS re:Invent 2016アップデート最新版〜
実務で活かせる AWSアーキテクチャ設計 〜AWS re:Invent 2016アップデート最新版〜
真吾 吉田
Similar to LTスライド(ksk_mats)[JAWS-UG 初心者支部#36 しくじりLT大会!!]
(20)
若手エンジニアとして今年頑張ったこと
若手エンジニアとして今年頑張ったこと
JAWSUG札幌 AWS Storage Gateway事始め
JAWSUG札幌 AWS Storage Gateway事始め
ICDP普及活動
ICDP普及活動
2013/08 JAWS_UG北九州 AWSを使った儲け方
2013/08 JAWS_UG北九州 AWSを使った儲け方
これからのクラウドネイティブアプリケーションの話をしよう
これからのクラウドネイティブアプリケーションの話をしよう
AWSへのWindows Server 2003の移行 そして今後インフラとどう向き合うべきか
AWSへのWindows Server 2003の移行 そして今後インフラとどう向き合うべきか
Mroongaを選んだ理由と ちょっと嬉しかった話
Mroongaを選んだ理由と ちょっと嬉しかった話
20121221 AWS re:Invent 凱旋報告
20121221 AWS re:Invent 凱旋報告
AWS Startup Use Cases 2015
AWS Startup Use Cases 2015
AWSはMSSまで提供してくれるのか!?
AWSはMSSまで提供してくれるのか!?
オープンなクラウドの世界でエンジニアが楽しいと思うことを仕事にする方法
オープンなクラウドの世界でエンジニアが楽しいと思うことを仕事にする方法
私のEC2 2015振り返り
私のEC2 2015振り返り
インフラ系自主トレするならAWS
インフラ系自主トレするならAWS
LocalStack
LocalStack
クラウド時代の人材育成
クラウド時代の人材育成
JAWS DAYS 2015 OpsWorks Aceに聞け
JAWS DAYS 2015 OpsWorks Aceに聞け
Start serverless
Start serverless
スカイアーチセミナー:[スカイアーチ AWS共催]AWS移行のプロが教える!導入への3ステップ(skyhopperのご紹介):150521
スカイアーチセミナー:[スカイアーチ AWS共催]AWS移行のプロが教える!導入への3ステップ(skyhopperのご紹介):150521
AWS Glueを使った Serverless ETL の実装パターン
AWS Glueを使った Serverless ETL の実装パターン
実務で活かせる AWSアーキテクチャ設計 〜AWS re:Invent 2016アップデート最新版〜
実務で活かせる AWSアーキテクチャ設計 〜AWS re:Invent 2016アップデート最新版〜
LTスライド(ksk_mats)[JAWS-UG 初心者支部#36 しくじりLT大会!!]
1.
IAMとS3で 初⼼者が陥りがちなヤツ ksk_mats
2.
⾃⼰紹介 • 名前︓ksk_mats • ツイッター︓@KskMats(アカウントさっき作りましたww) •
会社︓ アイレット株式会社 クラウドインテグレーション事業部(CI事業部) • 趣味︓ サウナ(整うの気持ちよすぎるぅ) 軟式テニス(同志がいたらお声掛けください) ゴルフ(やったことないけど、そのうち趣味になる)
3.
• エンジニア歴 • オンプレインフラを5年ちょい •
RHELとかVMwareがメインだった • 現職(2021/1~)からAWSを触り始める • AWS • 実務歴︓3ヶ⽉ちょい(AWS全然わからん) • 最近はDatadogとかNewRelicも触ったり • 保有資格︓ SAA [2020/12] SOA [2021/1] AXS [2021/2] DVA [2021/3] CLF [2021/3] SCS [2021/3] 軽い燃え尽き症候群(早い)
4.
今⽇話す内容 [S3で初心者が陥りガチなやつ①] ゾンビバケット誕生 [S3で初心者が陥りガチなやつ②] セキュリティわからん [IAMで初心者が陥りガチなやつ]
容赦なきAccess Denied
5.
そんな⾯⽩いやらかしはしてないです 他の登壇者の⽅々のような⾯⽩そうなやらかしはしていません......... でもLTしたかったんです︕許してください︕
6.
[S3で初⼼者が陥りガチなやつ①] ゾンビバケット誕⽣ [ゾンビバケットとは] 誤ったバケットポリシーの適⽤により操作も削除もすることができなくなった悲しき産物じゃぞ バケットポリシーをきちんと理解していないアホなAWS初⼼者が⽣み出しがちじゃ 治すにはRoot権限を⼿に⼊れるしかないぞぃ Root権限ないから 無理ぽwww 助けて.. 元に戻して..
7.
何が起きた︖ • PutObjectとListBucketのみを許可したバケットを作成しようとした • 以下ポリシーをバケットに適⽤した なんか臭うわね このポリシー
8.
結果 バケットに対して何もできなくなったwww削除も無理www
9.
何が原因だった︖ • Denyの内容(⾚枠)がAllowの内容より(⻘枠)よりも優先されることを理 解していなかった • 雰囲気だけでバケットポリシーを設定していた
10.
どうやって解決した︖ • Root権限をもらって、バケットポリシーを修正した (弊社、Root権限をもらうには申請が必要なのです) • 修正後のポリシーは以下の通り 出番やな Root神
11.
初⼼者は覚えておきましょう • 明⽰的なDenyは、明⽰的なAllowより優先されて評価される • ゾンビバケットを作成して、Root権限がなかったら正直に謝ろう ゾンビバケット作っちゃいましたw Root権限ください!
12.
[S3で初⼼者が陥りガチなやつ②] セキュリティわからん ふむふむS3のセキュリティは ACL、バケットポリシー、IAM でやるのね もうよくわからん! おいらのバケットは アクセス全許可でいいや! 今⽇はもうあがりますzzz.. ん!? パブリックブロックアクセス!? てかバケットポリシーとIAMが併⽤ される場合はどうなるの!?!? ヘルプミー!!!
13.
何が起きた︖ • S3のセキュリティ周り⾊々ありすぎてわけわからなくなった • ACLやバケットポリシーなどそれぞれのセキュリティ機能に焦点を当てている 良いドキュメントはたくさんあるが、それら全てが体系的にまとまっているド キュメントがあんまりない…… バケットポリシー ACL IAM パブリック ブロックアクセス
複数併⽤した場合
14.
どうやって解決した︖ S3のセキュリティを理解するためのロードマップを作り、⼀つずつ着実に理解 していった(というより今理解している最中) ◆実際に考えたロードマップ 1. 全体像を掴む(関連する機能に何があるか把握する) 2. 各機能について理解する 3.
複数の機能が併⽤されたケースについて理解する 4. ポリシー(IAMポリシー/バケットポリシー)の書き⽅を深く理解する
15.
作ったロードマップをQittaにあげてみた https://qiita.com/K5K/items/ef6a02aee760b128a25b
16.
17.
18.
[IAMで初⼼者が陥りガチなやつ] 容赦なきAccess Denied EC2にS3へのフルアクセス権限を 付与したIAMロールを適⽤して、 AWS
CLIでS3バケットの中⾝を⾒るぜ Access Denied Access Denied Access Denied Access Denied # aws s3 ls s3://ossanbucket 何回やってもあかんわ
19.
何が起きた︖ • EC2にてAWS CLIを実⾏して、S3バケットの中⾝を確認しようとした •
事前にEC2にはS3バケットのフルアクセス権限を有したIAMロールを付与し ていた • EC2から”aws s3 ls <bucket名>”を実⾏したら、access denied で中⾝の確認ができない • IAMロールの内容に誤りはなさそう
20.
何が原因だった︖ • EC2に別途aws configureによりクレデンシャル情報が渡されていた(そし てそれを失念していた) •
そのクレデンシャル(IAMユーザ)にはS3へのアクセス権限が付与されていな かった • aws configureにより付与されたクレデンシャル情報がIAMロールよりも優 先されていたため、IAMロールのクレデンシャルがEC2に渡っていなかった お先に〜 aws configureで渡されたクレデンシャル IAMロールで渡されたクレデンシャル
21.
どうやって解決した︖ • EC2にて適⽤されている(有効になっている)クレデンシャルを確認して、 IAMロールではない別のクレデンシャルが適⽤されていることがわかった • 調べてみたらaws
conifugreによって付与したクレデンシャルが適⽤され ていることがわかった • クレデンシャルファイル(.aws/config)を削除して、aws configureに よって付与されたクレデンシャルを無効化にした
22.
適⽤されているクレデンシャル情報確かめるコマンド aws configure list IAMロールのクレデンシャルが適⽤されている場合 aws
configureで付与したクレデンシャルが適⽤されている場合
23.
適⽤されているクレデンシャル情報確かめるコマンド aws sts get-caller-identity IAMロールのクレデンシャルが適⽤されている場合 aws
configureで付与したクレデンシャルが適⽤されている場合
24.
初⼼者は覚えておきましょう AWS CLI実⾏時に適⽤されるクレデンシャルには優先順位がある 1. AWS
CLI実⾏時のコマンドラインオプション 2. 環境変数 3. CLI 認証情報ファイル(.aws/credentials) 4. CLI 設定ファイル(.aws/config) 5. コンテナ認証情報 6. インスタンスプロファイル認証情報 https://docs.aws.amazon.com/cli/latest/userguide/cli- configure-quickstart.html#cli-configure-quickstart- precedence
25.
まとめ S3 • 明⽰的なDenyは、明⽰的なAllowより優先されて評価される IAM • AWS
CLI実⾏時に適⽤されるクレデンシャルには優先順位がある
26.
それでは良いAWSライフを︕ ノシ
Download now