Upgrade to Pro — share decks privately, control downloads, hide ads and more …

minimum-guardrails-by-aws-iam

chadain
August 17, 2021
Technology
1
2.1k

 minimum-guardrails-by-aws-iam

Minimum Guardrails by AWS IAM

chadain

August 17, 2021
Tweet

More Decks by chadain

See All by chadain
AWS Control Towerと HashiCorp Terraformでいい感じにマルチアカウント管理をしよう
chazuke4649
1
1.8k
Account Factory for Terraform (AFT) 入門

chazuke4649
1
1.8k
"Are you Well-Architected?" Introducing about Cloud Optimization Aseesment
chazuke4649
0
1k
re:GrowthOSAKA2019-CoreServicesUpdate(IAM.S3.EC2)
chazuke4649
0
1.5k
How to think about Acsess controll of Amazon S3 simply
chazuke4649
1
1.9k

Other Decks in Technology

See All in Technology
AWS CDK コントリビュート はじめの一歩
yendoooo
1
120
モンテカルロ木探索のパフォーマンスを予測する Kaggleコンペ解説 〜生成AIによる未知のゲーム生成〜
rist
4
1k
Why Go?
xpmatteo
0
130
【5分でわかる】セーフィー エンジニア向け会社紹介
safie_recruit
0
20k
ペアプログラミングにQAが加わった!職能を超えたモブプログラミングの事例と学び
tonionagauzzi
1
130
Agile TPIを活用した品質改善事例
tomasagi
0
270
ソフトウェア開発におけるインターフェイスという考え方 / PHPerKaigi 2025
k1low
9
3.9k
Engineering Managementのグローバルトレンド #emoasis / Engineering Management Global Trend
kyonmm
PRO
6
970
一人QA時代が終わり、​ QAチームが立ち上がった話​
ma_cho29
0
280
20250326_管理ツールの権限管理で改善したこと
sasata299
1
300
Keynote - KCD Brazil - Platform Engineering on K8s (portuguese)
salaboy
0
120
Symfony in 2025: Scaling to 0
fabpot
2
150

Featured

See All Featured
Git: the NoSQL Database
bkeepers
PRO
429
65k
A Philosophy of Restraint
colly
203
16k
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
Automating Front-end Workflow
addyosmani
1369
200k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
233
17k
Music & Morning Musume
bryan
46
6.4k
The MySQL Ecosystem @ GitHub 2015
samlambert
251
12k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
176
52k
What's in a price? How to price your products and services
michaelherold
244
12k
The Power of CSS Pseudo Elements
geoffreycrofte
75
5.7k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
356
30k
Art, The Web, and Tiny UX
lynnandtonic
298
20k

Transcript

  1. AWS IAMだけでなんとかする、 最低限のガードレール クラスメソッド株式会社 コンサルティング部 ちゃだいん

  2. 目次 • そもそもガードレールとは • 最低限防ぎたいこと • 実装方法のフローチャート • 1. MFAの強制

    • 2. 特定のアクションを禁止する • 3. IAMロール作成はOK、IAMユーザー作成はNG

  3. 自己紹介 • 名前: ちゃだいん • 所属: AWS事業本部 コンサルティング部 • 役割:

    ソリューションアーキテクト • ジョイン: 2019.1~ • Fav: クラフトビール(IPA)、茶碗蒸し

  4. そもそもガードレールとは

  5. ガードレール? • セキュリティ・ガバナンスに関する新めの概念(守り→攻め) • ゲートからガードレールへ ◦ いままで:ゲート(都度関所のように止めていた) ◦ これから:ガードレール(基本自由、でも立ち入り禁止区域には入れない) •

    ビジネスや開発のスピードを止めず、必要十分なセキュリティ・ガバナンスを担保す る方法 • むしろ、ガードレールがない道路より、ガードレールがある道路の方がスピードを出 せるはず(崖から落ちる心配をしないでOK)

  6. • 予防的ガードレール ◦ 禁止事項を未然に防止する ◦ IAMポリシー ◦ SCP • 発見的ガードレール

    ◦ 禁止事項を事後検出する ◦ Security Hub ◦ Configルール 2つのガードレールの概念

  7. 最低限防ぎたいこと

  8. • アクセスキーの漏洩 • 基本設定の変更・削除 • クラウド破産 • 権限昇格 • ...

    ワークロード、ユースケース、組織文化によって様々 最低限防ぎたいことの例

  9. 実装方法のフローチャート

  10. 超カンタンなフローチャート マルチアカウント戦略 やりたい? or Organizations 使いたい? No Yes • IAMポリシー

    • パーミッションバウンダリー • スイッチロール • Organizations • SCP • AWS SSO マルチアカウントじゃない or マルチアカウントだけど、Organizations使わない(使えない) マルチアカウントで、 Organizations使いたい

  11. 今回紹介するのはこちら マルチアカウント戦略 やりたい? or Organizations 使いたい? No Yes • IAMポリシー

    • パーミッションバウンダリー • スイッチロール • Organizations • SCP • AWS SSO マルチアカウントじゃない or マルチアカウントだけど、Organizations使わない(使えない) マルチアカウントで、 Organizations使いたい

  12. ただし... マルチアカウント戦略 やりたい? or Organizations 使いたい? No Yes • IAMポリシー

    • パーミッションバウンダリー • スイッチロール • Organizations • SCP • AWS SSO マルチアカウントじゃない or マルチアカウントだけど、Organizations使わない(使えない) マルチアカウントで、 Organizations使いたい 正直、今回やる「最低限のガードレール」は、 Organizations/SCP/AWS SSOを使う方がカンタン&オススメ。 ただし、全ての利用者で Organizationsが利用できる訳ではない ので、今回のパターン( IAMだけでなんとかする パターン) をご 紹介します。

  13. Organizations使わないで IAMだけでなんとかするパターン

  14. 元ネタのブログ 「最低限のガードレールを考慮したシンプルな IAM 設計を CloudFormation でデプロイ する | DevelopersIO」より引用 https://dev.classmethod.jp/articles/build-simple-guardrail-iam-design-pattern-by-

    cfn/

  15. 構成図

  16. 構成図(シンプル版)

  17. 技術要素 • IAM ポリシー • パーミッションバウンダリー • スイッチロール

  18. 最低限防ぎたいこと 1. MFAの強制 2. 特定のアクションを禁止する(例:Config/CloudTrailの変更・削除) 3. IAMロール作成はOK、IAMユーザー作成はNG

  19. 1. MFAの強制

  20. 1. MFAの強制 IAMロールに付与する信頼ポリシーに条件を追加し、 MFA認証済みのIAMユーザーのみスイッチロールできるようにする 開発者には、ログイ ン時の仮想MFAを設 定をしてもらう

  21. 1. MFAの強制

  22. 1. MFAの強制

  23. 1. MFAの強制

  24. 2. 特定のアクションの禁止

  25. 2. 特定のアクションを禁止する(例:Config/CloudTrail) IAMロールに付与するユーザーポリシーにフルアクセス、 パーミッションバウンダリーに特定のアクション禁止を記述する

  26. パーミッションバウンダリー(Permissions Boundary) 引用元)IAM エンティティのアクセス許可の境界 - AWS https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/access_policies_boundaries.html

  27. Tips: IAMポリシーの基本(権限の勝ち負け)

  28. 2. 特定のアクションを禁止する(例:Config/CloudTrail) IAMロールに付与するユーザーポリシーにフルアクセス、 パーミッションバウンダリーに特定のアクション禁止を記述する

  29. 2.1 パーミッションバウンダリーで特定のアクションを禁止 パーミッションバウンダリー パーミッションバウンダリー

  30. 2.1 パーミッションバウンダリーで特定のアクションを禁止 パーミッションバウンダリー ①全て「許可」 ②一部のIAMアクションを 「禁止」 ③一部のIAM以外の アクションを「禁止」 ②一部のIAMアクションを「禁 止」

    パーミッションバウンダリー

  31. 2.1 パーミッションバウンダリーで特定のアクションを禁止 パーミッションバウンダリー ①全て「許可」 ③一部のIAM以外の アクションを「禁止」 パーミッションバウンダリー

  32. 2.1 パーミッションバウンダリーで特定のアクションを禁止 パーミッションバウンダリー ①全て「許可」 パーミッションバウンダリー

  33. 2.1 パーミッションバウンダリーで特定のアクションを禁止 パーミッションバウンダリー ③一部のIAM以外の アクションを「禁止」

  34. 2.2 IAMロールのユーザーポリシーにフルアクセスを許可 実行権限(管理ポリシー)

  35. 2.3 パーミッションバウンダリーをアタッチ 実行権限(管理ポリシー)

  36. 2. 特定のアクションを禁止する(例:Config/CloudTrail)

  37. 2. 特定のアクションを禁止する(例:Config/CloudTrail) • EC2の起動 → OK • Config/CloudTrailの設定変更 → NG

    • ...

  38. 3. IAMロール作成はOK、IAMユーザー作成はNG

  39. なぜ? • IAM系のリソース作成を全て禁止しちゃうと管理者大変・業務スピード低下 • IAMロールは自由に作れるようにしたい • IAMユーザーは禁止したい(作れると最低限のアクション制限が崩壊) • 権限昇格も防ぎたい →管理者が開発者などへ一部IAM権限を移譲することで業務効率化を図る

  40. 3. IAMロール作成はOK、IAMユーザー作成はNG パーミッションバウンダリーに 「IAMロール作成はOK・IAMユーザー作成はNG」をを記述する

  41. 3. IAMロール作成はOK、IAMユーザー作成はNG パーミッションバウンダリー ①全て「許可」 ②一部のIAMアクションを 「禁止」 ③一部のIAM以外の アクションを「禁止」 ②一部のIAMアクションを「禁 止」

    パーミッションバウンダリー

  42. 3. IAMロール作成はOK、IAMユーザー作成はNG パーミッションバウンダリー ②一部のIAMアクションを 「禁止」 ②一部のIAMアクションを「禁 止」 パーミッションバウンダリー

  43. 3. IAMロール作成はOK、IAMユーザー作成はNG パーミッションバウンダリー ②-1 ②-3 パーミッションバウンダリー ②-2 ②-4

  44. ②-1 IAMユーザーの作成、変更などを禁止

  45. ②-2 パーミッションバウンダリーのないIAMロール作成禁止 言い換えると、 パーミッションバウンダリーのある IAMロールは 作成OK

  46. ②-3 パーミッションバウンダリーの変更禁止

  47. ②-4 パーミッションバウンダリーの削除禁止

  48. 3. IAMロール作成はOK、IAMユーザー作成はNG • IAMユーザーの作成 → NG • パーミッションバウンダリーのない IAMロールの作成 →

    NG • パーミッションバウンダリーのある IAMロールの作成 → OK • パーミッションバウンダリーの変更・削除 → NG

  49. 最低限防ぎたいこと 1. MFAの強制 2. 特定のアクションを禁止する 3. IAMロール作成はOK、IAMユーザー作成はNG

  50. 注意事項 • 権限まわり、IAMまわりの変更は、十分検証する • Webコンソールのウィザードで作成しようとするIAMロールは作成失敗します ◦ (例)Lambdaファンクションをコンソールのウィザードで作成する際に、新たに IAMロールを作成す る場合ウィザードではパーミッションバウンダリーを指定できないため失敗します。 ←正直、ここが

    本構成の1番の難点です。ウィザードでカンタンにサービスのリソース一式を作成する際につまずく 可能性が高いです。

  51. 元ネタのブログ 「最低限のガードレールを考慮したシンプルな IAM 設計を CloudFormation でデプロイ する | DevelopersIO」より引用 https://dev.classmethod.jp/articles/build-simple-guardrail-iam-design-pattern-by-

    cfn/

  52. ありがとうございました