$30 off During Our Annual Pro Sale. View Details »

AWS のポリシー言語 “Cedar” で実現するアクセス制御

Avatar for Kento Suzuki Kento Suzuki
August 26, 2023
Technology
0
440

AWS のポリシー言語 “Cedar” で実現するアクセス制御

2023/8/26 (土)
JAWS-UG 名古屋 AVAハンズオン+re:Inforceの復習
https://jawsug-nagoya.doorkeeper.jp/events/160064

Avatar for Kento Suzuki

Kento Suzuki

August 26, 2023
Tweet

More Decks by Kento Suzuki

See All by Kento Suzuki
バッドプラクティスから学ぶ ハワイアン航空で行く re:Invent
Avatar for Kento Suzuki kentosuzuki
0
430
上流工程に挑戦!「俺の考えた最強サーバレス構成」が一瞬で敗北した件
Avatar for Kento Suzuki kentosuzuki
2
340
S3から始めるAWS 〜S3の簡単なユースケースの紹介〜
Avatar for Kento Suzuki kentosuzuki
1
710
探せぇ! お薦めAWSセキュリティワークショップ!!〜 怒涛のワークショップ 48 連戦 〜
Avatar for Kento Suzuki kentosuzuki
1
750
SIEM って何? 〜 Amazon OpenSearch で始める SIEM 〜
Avatar for Kento Suzuki kentosuzuki
0
980
Verified Accessから始めるゼロトラストセキュリティ
Avatar for Kento Suzuki kentosuzuki
1
750
復活のAWS DeepComposer 〜 古代兵器から始める生成系AI 〜
Avatar for Kento Suzuki kentosuzuki
0
420
新卒入社が考える 『AWSではじめるクラウドセキュリティ』を読むタイミング
Avatar for Kento Suzuki kentosuzuki
0
770
Cloudflare Pages使ってみた - ついでにAWS Amplifyもワカル -
Avatar for Kento Suzuki kentosuzuki
3
1.3k

Other Decks in Technology

See All in Technology
直接メモリアクセス
Avatar for KOBA789 koba789
0
230
Docker, Infraestructuras seguras y Hardening
Avatar for José Juan Sánchez Hernández josejuansanchez
0
150
Ryzen NPUにおけるAI Engineプログラミング
Avatar for Jun Ando anjn
0
240
【AWS re:Invent 2025速報】AIビルダー向けアップデートをまとめて解説!
Avatar for みのるん minorun365
4
390
エンジニアリングマネージャー はじめての目標設定と評価
Avatar for d-haru halkt
0
190
A Compass of Thought: Guiding the Future of Test Automation ( #jassttokai25 , #jassttokai )
Avatar for teyamagu teyamagu
PRO
1
220
AWS Bedrock AgentCoreで作る 1on1支援AIエージェント 〜Memory × Evaluationsによる実践開発〜
Avatar for Yusuke Shimizu yusukeshimizu
2
190
Bakuraku Engineering Team Deck
Avatar for LayerX layerx
PRO
12
6.3k
技術以外の世界に『越境』しエンジニアとして進化を遂げる 〜Kotlinへの愛とDevHRとしての挑戦を添えて〜
Avatar for subroh_0508 subroh0508
1
290
Product Engineer
Avatar for Resilire resilire
0
150
世界最速級 memcached 互換サーバー作った
Avatar for yasukata yasukata
0
250
【CEDEC+KYUSHU2025】学生・若手必見!テクニカルアーティスト 大全 ~仕事・スキル・キャリアパス、TAの「わからない」を徹底解剖~
Avatar for Cygames cygames
PRO
0
100

Featured

See All Featured
JavaScript: Past, Present, and Future - NDC Porto 2020
Avatar for David Neal reverentgeek
52
5.7k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
Avatar for Morgane Peng morganepeng
132
19k
Agile that works and the tools we love
Avatar for Rasmus Luckow-Nielsen rasmusluckow
331
21k
The Art of Programming - Codeland 2020
Avatar for Erika Heidi erikaheidi
56
14k
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
50
14k
Code Reviewing Like a Champion
Avatar for maltzj maltzj
527
40k
Building Applications with DynamoDB
Avatar for Matt Wood mza
96
6.8k
Producing Creativity
Avatar for Steve Smith orderedlist
PRO
348
40k
Embracing the Ebb and Flow
Avatar for Simon Collison colly
88
4.9k
Java REST API Framework Comparison - PWX 2021
Avatar for Matt Raible mraible
34
9k
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.5k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
Avatar for Addy Osmani addyosmani
9
1k

Transcript

  1. AWS のポリシー⾔語 “Cedar” で実現するアクセス制御 8/5(⼟) JAWS-UG 名古屋 AVAハンズオン+re:Inforceの復習

  2. 2 鈴⽊健⽃ 所属 アイレット株式会社(東京) 業務 AWSのインフラ構築・運⽤ → 提案 ・Japan AWS

    Top Engineer (2022, 2023) ・Japan AWS All Certifications Engineer (2022, 2023) ・ AWS Community Builder(Cloud Operations) ・iret テクニカルアンバサダー (2023) 自己紹介 自費で re:Invent へ行きます!!!!!!!

  3. アジェンダ ❧ 本 LT の経緯 ❧ Cedar とは︖ ❧ ワークショップを通して

    Cedar を触ってみた 3

  4. 1. 本 LT の経緯 Background of this Lightning Talk

  5. Security-JAWS DAYS の登壇が決まる タイトル 探せぇ︕お薦めAWSセキュリティワークショップ︕︕ 〜 怒涛のワークショップ45連戦 〜 “「AWS のセキュリティサービスに興味があるけど、どこから

    始めれば良いか分からない」という⽅に向けて、全AWS公式セ キュリティワークショップの中から、個⼈的にお薦めのワークシ ョップを紹介(CfP 応募時点では全45種類)” 参考︓AWS Security Workshop https://workshops.aws/categories/Security 5 ※注意 本日確認したところ 48 種類に増えている模様 https://jaws-tohoku.doorkeeper.jp/events/156109

  6. 全 AWS 公式ワークショップをやる 6 以下のワークショップを⾒つける 「Cedar policy language in action」

    概要 Cedarは、誰が何にアクセスすべきかを記述するポリシーとしてパーミッションを定義するための⾔語です。 Amazon Verified PermissionsとAWS Verified Accessは、アプリケーションとエンドユーザーに対して きめ細かいパーミッションを定義するためにCedarを使⽤します。 このワークショップでは、アクセス制御のためのCedarポリシーを構築することで学びます。 re:Inforce でワークショップが公開された??

  7. 2. Cedar とは︖ What is “Cedar”

  8. Cedar とは? ❧ AWS Verified AccessやAWS Verified Permission で利⽤できるAWSのポリシー⾔語 ❧

    昨年の re:Invent 2022 にて発表 ❧ オープンソースのポリシー⾔語 ❧ 以下の特徴をもつ ・表現の幅広さ ← 今回紹介するワークショップではこれが体験できる ・⾼性能 ・分析がしやすい 8

  9. 表現の幅広さ スキーマと呼ばれるものを活⽤することで表現の幅広さを実現します。 スキーマとは “アプリケーションでサポートし、Cedar に認可サービスを提供させたいエンティティタイプの構造を 宣⾔したものです。Cedar は JSON を使ってスキーマを定義します。これは JSON

    スキーマに似ていま すが、エンティティタイプの使⽤など、Cedar の設計のユニークな⾯では若⼲の違いが求められます” 9 IAM でいうポリシーの構造(書き⽅)を⾃分で定義できる 触ってみた結果

  10. スキーマの例 10 ポリシー スキーマ

  11. スキーマの例 11 ポリシー スキーマ

  12. 3. ワークショップを通して Cedar を触ってみた Experiencing “Cedar” through workshops

  13. ワークショップの前提 13 Cedar Playground という Cedar を体験できるサイトを使うため AWS アカウントにログインする必要がない (8/5

    時点では⽇本語⾮対応) https://www.cedarpolicy.com/en

  14. Cedar Playground でできること ① 14 ポリシーとスキーマの定義の作成

  15. Cedar Playground でできること ② 15 作成したポリシーに対して実際にリクエストを送る

  16. Cedar Playground でできること ③ 16 許可/禁⽌を確認

  17. ワークショップの概要 ❧ Policy playground を使って Cedarについて⼀通りの概要を体験 ❧ 基本的にポリシーやリクエストを書いて「これは通る」「これは通らない」を確認 ❧ ワークショップの最後には「実際にスキーマとポリシーを⾃分で書いてみよう」的な

    応⽤問題もある → 答えもあるので、「似たようなアクセス制御を実現したい」となった際の サンプルとしても使える 17

  18. ワークショップに出てくる例題① 18 ・⾃分がアップロードした写真は⾒れるがそれ以外は⾒れない ・⾃分の家族があげた写真は⾒ることができるがそれ以外は⾒れない ・特定のタグがついている写真だけを閲覧することができる

  19. ワークショップに出てくる例題② 19 ・Git アプリケーションもあるよ

  20. 感想 ❧ IAMやS3のバケットポリシーやKMSのキーポリシーを書いたことがあれば ⽐較的理解できる ❧ AWS Verified AccessやAWS Verified Permissionといったサービスを検証する際に

    実際にリソースを作成してしまうと費⽤が発⽣してしまうが、 Cedar Playground を使えば、無料で Cedar のポリシーやスキーマの検証ができる ❧ AWS Verified AccessやAWS Verified Permissionといったサービスを 実際に触るわけではないので、「AWSのサービスでどう使うのか」という 応⽤場⾯のイメージは付きづらい 20

  21. Big concept Bring the attention of your audience over a

    key concept using icons or illustrations 21 参加登録はこちら 懇親会登録はこちら #jawsfesta #jawsfesta2023 #実行委員長発見 ←この人 (@east_takumi) が実行委員長です! もし現地で⾒かけたら 上のハッシュタグを付けて 通報 Tweet しよう︕︕