Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Fin-JAWS_Organizations_SCPを使ったマルチアカウント管理とPermis...

fumiakiueno
December 04, 2019
Technology
0
16k

 Fin-JAWS_Organizations_SCPを使ったマルチアカウント管理とPermissions_Boundaryの使いどころ

「Fin-JAWS勉強会 第7回 ~ re:Invent 2019 ラスベガス現地スペシャル 開催!!」
で発表した資料です。
https://fin-jaws.doorkeeper.jp/events/100710

fumiakiueno

December 04, 2019
Tweet

More Decks by fumiakiueno

See All by fumiakiueno
AWS re:Inforce 2023 re:Cap
fu3ak1
1
160
AWS Security Jamのすすめ
fu3ak1
1
310
Learning AWS Security Services
fu3ak1
0
210
AWSのセキュリティサービスを学ぶ
fu3ak1
6
1.2k
re:Invent 2022 re:Cap
fu3ak1
0
360
なぜ我々は現地ラスベガスでreInventに参加するのか
fu3ak1
0
1.9k
AWS Control TowerとAWS Organizationsを活用した組織におけるセキュリティ設定
fu3ak1
5
4.4k
reInventガイドを書いたのでセッションおススメ情報をお伝えしたい
fu3ak1
2
1.3k
Amazon Lookout for Metrics触ってみた
fu3ak1
0
640

Other Decks in Technology

See All in Technology
日経電子版のStoreKit2フルリニューアル
shimastripe
1
110
生成AIが変えるデータ分析の全体像
ishikawa_satoru
0
160
いざ、BSC討伐の旅
nikinusu
2
780
リンクアンドモチベーション ソフトウェアエンジニア向け紹介資料 / Introduction to Link and Motivation for Software Engineers
lmi
4
300k
IBC 2024 動画技術関連レポート / IBC 2024 Report
cyberagentdevelopers
PRO
1
110
iOS/Androidで同じUI体験をネ イティブで作成する際に気をつ けたい落とし穴
fumiyasac0921
1
110
Engineer Career Talk
lycorp_recruit_jp
0
180
インフラとバックエンドとフロントエンドをくまなく調べて遅いアプリを早くした件
tubone24
1
430
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
3.9k
TypeScript、上達の瞬間
sadnessojisan
46
13k
AGIについてChatGPTに聞いてみた
blueb
0
130
エンジニア人生の拡張性を高める 「探索型キャリア設計」の提案
tenshoku_draft
1
130

Featured

See All Featured
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
250
21k
Teambox: Starting and Learning
jrom
133
8.8k
The Language of Interfaces
destraynor
154
24k
We Have a Design System, Now What?
morganepeng
50
7.2k
The Pragmatic Product Professional
lauravandoore
31
6.3k
Designing for Performance
lara
604
68k
For a Future-Friendly Web
brad_frost
175
9.4k
Automating Front-end Workflow
addyosmani
1366
200k
The Art of Programming - Codeland 2020
erikaheidi
52
13k
The Cost Of JavaScript in 2023
addyosmani
45
6.8k
Done Done
chrislema
181
16k
How To Stay Up To Date on Web Technology
chriscoyier
788
250k

Transcript

  1. Organizations SCPを使ったマルチアカウント管理と Permissions Boundaryの使いどころ NRIネットコム株式会社 上野 史瑛 2019年12月4日

  2. Copyright© 2019 NRI Netcom, Ltd. All Rights Reserved. 1 自己紹介

    名前: 上野 史瑛(うえの ふみあき) 所属: NRIネットコム株式会社 経歴: ・各種Webシステムのインフラ構築・運用 - サーバ、ネットワーク管理や構築がメイン - PCIDSS取得対応等にも参画 - オンプレとAWSの両方を経験 ・AWS技術検証や構成レビュー

  3. Copyright© 2019 NRI Netcom, Ltd. All Rights Reserved. 2 マルチアカウント管理、やってますか?

  4. Copyright© 2019 NRI Netcom, Ltd. All Rights Reserved. 3 昔よくやっていた構成

    XXXシステムアカウント 本番サーバ 検証サーバ 本番サービスアカウント 本番サーバ 検証サービスアカウント 検証サーバ または YYYシステム

  5. Copyright© 2019 NRI Netcom, Ltd. All Rights Reserved. 4 最近の推奨構成

    マスターアカウント 監査アカウント ログアーカイブアカウント 本番サービス アカウント 開発サービス アカウント コアアカウント カスタムアカウント Organization OU GuardDuty SecurityHub Master Config SNS Topic S3 ・CloudTrailログ ・Configログ SSO OU

  6. Copyright© 2019 NRI Netcom, Ltd. All Rights Reserved. 5 マルチアカウントになると何が起きるか

    プロジェクトチームやメンバーにAWSアカウントを払い出す ・AWSの知識が少ないと危険な操作をする可能性がある ・アカウント発行の都度、IAMで権限設定をするのがつらい、煩雑 (特に同レベルのアカウントを複数作成するとき) アプリケーション 開発アカウント 本番サービス アカウント AWS検証 アカウント 本番サービス VPC IAM VPC IAM IAM VPC Lambda Lambda Code Pipeline RDS RDS RDS EC2 EC2 EC2 Systems Manager 利用者 利用者 利用者 管理者 管理者 管理者 利用者が触れる範囲 ※管理者は全て触れる ⇒ Organizationsの「SCP」を使って複数アカウントの制御を楽にする!

  7. Copyright© 2019 NRI Netcom, Ltd. All Rights Reserved. 6 SCP(Service

    Control Policy)

  8. Copyright© 2019 NRI Netcom, Ltd. All Rights Reserved. 7 SCP(Service

    Control Policy)とは Master Account Account Account Account OU OU SCP SCP SCPサンプル { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "iam:CreateAccessKey" ], "Resource": "*" } ・・・ ・複数アカウント(OrganizationalUnit)または アカウント単位でIAM Policyのように Allow/Deny,Action,Resource,Conditionを 使用してアクセス許可設定が可能 ・OUは階層構造で作成でき、設定した上位のSCPは 下位のOUやAccountに引き継がれる ・アカウント内のIAMユーザー・ロールだけでなく rootアカウントにも適用される ・Denyを書く(BlackList)かAllowを書く(WhiteList) SCP適用イメージ 拒否 拒否 許可 IAM SCP

  9. Copyright© 2019 NRI Netcom, Ltd. All Rights Reserved. 8 SCP適用例:アカウント構成およびSCP適用箇所

    マスターアカウント 監査アカウント ログアーカイブアカウント AWS検証 アカウント1 AWS検証 アカウント2 コアアカウント カスタムアカウント Organization OU GuardDuty SecurityHub Master Config SNS Topic S3 ・CloudTrailログ ・Configログ SSO OU ここのSCPを適用

  10. Copyright© 2019 NRI Netcom, Ltd. All Rights Reserved. 9 SCP適用例:アカウント内の利用イメージ

    全体管理者 利用者 全アクセス許可 初期ユーザ作成 Role 利用者と同権限以下 Role作成 Role作成 同権限 ユーザ作成 アクセスキー作成禁止 Cloudtrail Config GuardDuty SecurityHub セキュリティサービス 無効化禁止 同権限ユーザ作成

  11. Copyright© 2019 NRI Netcom, Ltd. All Rights Reserved. 10 SCP設定内容1

    { "Sid": "DenyAction", "Effect": "Deny", "Action": [ "iam:CreateAccessKey", "guardduty:Delete*", "cloudtrail:DeleteTrail", "cloudtrail:StopLogging" ], "Resource": [ "*" ], "Condition": { "StringNotLike": { "aws:PrincipalARN": [ "arn:aws:iam::*:role/SwitchAdminRole", ] } } }, DenyするActionを記載 管理者権限(Role)ではDenyしない

  12. Copyright© 2019 NRI Netcom, Ltd. All Rights Reserved. 11 SCP設定内容2

    { "Sid": "DenyAccessToAdminRole", "Effect": "Deny", "Action": [ "iam:AttachRolePolicy", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::*:role/SwitchAdminRole“ ], "Condition": { "StringNotLike": { "aws:PrincipalARN": [ "arn:aws:iam::*:role/SwitchAdminRole" ] } } } 管理者権限の設定変更は 管理者のみができるように

  13. Copyright© 2019 NRI Netcom, Ltd. All Rights Reserved. 12 Permissions

    Boundary

  14. Copyright© 2019 NRI Netcom, Ltd. All Rights Reserved. 13 Permissions

    Boudaryの使いどころ SCPだけではダメなのか・・? ・自アカウント内のみ設定が可能でSCPが使えない場合 ・アカウント内で権限を複数に分けたい場合(このあと説明) ⇒こういった場合はPermissions Boundaryも検討

  15. Copyright© 2019 NRI Netcom, Ltd. All Rights Reserved. 14 アカウント内で権限を複数に分けたい場合

    全体管理者 利用者 全アクセス許可 初期ユーザ作成 Role 利用者と基本的には同権限 ただし、ユーザー作成不可 Role作成 Role作成 同権限 ユーザ作成 アクセスキー作成禁止 Cloudtrail Config GuardDuty SecurityHub セキュリティサービス 無効化禁止 同権限ユーザ作成禁止 利用者の権限よりもRoleの権限を小さくしたい →Permissions Boundaryで実現 ※利用者側はSCPでもOK

  16. Copyright© 2019 NRI Netcom, Ltd. All Rights Reserved. 15 Permissions

    Boundaryの運用 利用者 Role Role作成可 「Condition:StringNotEquals:iam:PermissionsBoundary」条件により、 IAM Role作成時(IAMユーザーも設定可)にPermissions Boundaryの付与を強制させる。 IAM Policy Permissions Boundary 参考:PermissionBoundaryの仕組み 拒否 拒否 許可 IAM Permission Boundary IAM Policy Role

  17. Copyright© 2019 NRI Netcom, Ltd. All Rights Reserved. 16 Permissions

    Boundary用 IAMポリシー設定内容1 { "Effect": "Deny", "Action": [ "iam:CreateUser" ], "Resource": "*" }, { "Sid": "DenyCreateOrChangeRoleWithoutBoundary", "Effect": "Deny", "Action": [ "iam:CreateRole", "iam:PutRolePolicy", "iam:DeleteRolePolicy", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary" ], "Resource": "*", "Condition": { "StringNotEquals": { "iam:PermissionsBoundary": arn:aws:iam::[AccountID]:policy/RolePermissionsBoundary" } } }, DenyするActionを記載 ※SCPで記載済みであれば追加でDenyするAction Permissions Boundaryが付いてない場合は作成をDeny

  18. Copyright© 2019 NRI Netcom, Ltd. All Rights Reserved. 17 Permissions

    Boundary用 IAMポリシー設定内容2 { "Sid": "DenyBoundaryPolicyEdit", "Effect": "Deny", "Action": [ "iam:CreatePolicyVersion", "iam:DeletePolicy", "iam:DeletePolicyVersion", "iam:SetDefaultPolicyVersion" ], "Resource": "arn:aws:iam::[AccountID]:policy/RolePermissionsBoundary", } 自分自身のPermissions Boundaryを変更できないようにする

  19. Copyright© 2019 NRI Netcom, Ltd. All Rights Reserved. 18 Permissions

    Boundary利用イメージ ・PermissionBoundary無しの場合Role作成不可 ・PermissionBoundaryありの場合Role作成可

  20. Copyright© 2019 NRI Netcom, Ltd. All Rights Reserved. 19 まとめ

  21. Copyright© 2019 NRI Netcom, Ltd. All Rights Reserved. 20 SCP、Permissions

    Boundary まとめ ・SCP、Permissions Boundaryどちらも 「IAM権限を利用者側に作成させたい、でも作成させるIAMの権限は限定したい」 という場合に有効。一部操作できないActionを設定するのにも有効 ・利用者、管理者どちらも許可した操作ができるという意味ではどちらも同じ SCP Permissions Boundary ・複数アカウントに一括設定が可能 ・アカウント作成時に自動設定(OU配下) ・アカウント単位で設定(一括はCFnを検討) ・IAMユーザー/Role作成時に一操作追加 ・Organizationsの設定が必要 ・ユーザー側に拒否されている操作は見えない ・1アカウントでも対応可能 ・ユーザー側で拒否されている操作が見える 拒否 拒否 許可 利用者 全体管理者 ⇒基本的にはSCPを使えばOK、必要に応じてPermissions Boundaryを使用する