$30 off During Our Annual Pro Sale. View Details »
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS のポリシー言語 “Cedar” で実現するアクセス制御
Search
Kento Suzuki
August 26, 2023
Technology
0
450
AWS のポリシー言語 “Cedar” で実現するアクセス制御
2023/8/26 (土)
JAWS-UG 名古屋 AVAハンズオン+re:Inforceの復習
https://jawsug-nagoya.doorkeeper.jp/events/160064
Kento Suzuki
August 26, 2023
Tweet
Share
More Decks by Kento Suzuki
See All by Kento Suzuki
バッドプラクティスから学ぶ ハワイアン航空で行く re:Invent
kentosuzuki
0
450
上流工程に挑戦!「俺の考えた最強サーバレス構成」が一瞬で敗北した件
kentosuzuki
2
350
S3から始めるAWS 〜S3の簡単なユースケースの紹介〜
kentosuzuki
1
720
探せぇ! お薦めAWSセキュリティワークショップ!!〜 怒涛のワークショップ 48 連戦 〜
kentosuzuki
1
770
SIEM って何? 〜 Amazon OpenSearch で始める SIEM 〜
kentosuzuki
0
1k
Verified Accessから始めるゼロトラストセキュリティ
kentosuzuki
1
760
復活のAWS DeepComposer 〜 古代兵器から始める生成系AI 〜
kentosuzuki
0
420
新卒入社が考える 『AWSではじめるクラウドセキュリティ』を読むタイミング
kentosuzuki
0
790
Cloudflare Pages使ってみた - ついでにAWS Amplifyもワカル -
kentosuzuki
3
1.3k
Other Decks in Technology
See All in Technology
Snowflake導入から1年、LayerXのデータ活用の現在 / One Year into Snowflake: How LayerX Uses Data Today
civitaspo
0
2.4k
AWSインフルエンサーへの道 / load of AWS Influencer
whisaiyo
0
220
Strands Agents × インタリーブ思考 で変わるAIエージェント設計 / Strands Agents x Interleaved Thinking AI Agents
takanorig
5
2.1k
Bedrock AgentCore Memoryの新機能 (Episode) を試してみた / try Bedrock AgentCore Memory Episodic functionarity
hoshi7_n
2
1.9k
[Neurogica] 採用ポジション/ Recruitment Position
neurogica
1
120
Building Serverless AI Memory with Mastra × AWS
vvatanabe
0
560
Agent Skillsがハーネスの垣根を超える日
gotalab555
6
4.3k
MariaDB Connector/C のcaching_sha2_passwordプラグインの仕様について
boro1234
0
1k
20251222_サンフランシスコサバイバル術
ponponmikankan
2
140
20251218_AIを活用した開発生産性向上の全社的な取り組みの進め方について / How to proceed with company-wide initiatives to improve development productivity using AI
yayoi_dd
0
660
ESXi のAIOps だ!2025冬
unnowataru
0
350
まだ間に合う! Agentic AI on AWSの現在地をやさしく一挙おさらい
minorun365
17
2.7k
Featured
See All Featured
Navigating the Design Leadership Dip - Product Design Week Design Leaders+ Conference 2024
apolaine
0
120
Marketing to machines
jonoalderson
1
4.3k
How To Stay Up To Date on Web Technology
chriscoyier
791
250k
So, you think you're a good person
axbom
PRO
0
1.8k
Evolving SEO for Evolving Search Engines
ryanjones
0
73
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
tammyeverts
10
750
Fireside Chat
paigeccino
41
3.8k
The Organizational Zoo: Understanding Human Behavior Agility Through Metaphoric Constructive Conversations (based on the works of Arthur Shelley, Ph.D)
kimpetersen
PRO
0
200
Beyond borders and beyond the search box: How to win the global "messy middle" with AI-driven SEO
davidcarrasco
0
22
Reflections from 52 weeks, 52 projects
jeffersonlam
355
21k
Efficient Content Optimization with Google Search Console & Apps Script
katarinadahlin
PRO
0
250
HU Berlin: Industrial-Strength Natural Language Processing with spaCy and Prodigy
inesmontani
PRO
0
100
Transcript
AWS のポリシー⾔語 “Cedar” で実現するアクセス制御 8/5(⼟) JAWS-UG 名古屋 AVAハンズオン+re:Inforceの復習
2 鈴⽊健⽃ 所属 アイレット株式会社(東京) 業務 AWSのインフラ構築・運⽤ → 提案 ・Japan AWS
Top Engineer (2022, 2023) ・Japan AWS All Certifications Engineer (2022, 2023) ・ AWS Community Builder(Cloud Operations) ・iret テクニカルアンバサダー (2023) 自己紹介 自費で re:Invent へ行きます!!!!!!!
アジェンダ ❧ 本 LT の経緯 ❧ Cedar とは︖ ❧ ワークショップを通して
Cedar を触ってみた 3
1. 本 LT の経緯 Background of this Lightning Talk
Security-JAWS DAYS の登壇が決まる タイトル 探せぇ︕お薦めAWSセキュリティワークショップ︕︕ 〜 怒涛のワークショップ45連戦 〜 “「AWS のセキュリティサービスに興味があるけど、どこから
始めれば良いか分からない」という⽅に向けて、全AWS公式セ キュリティワークショップの中から、個⼈的にお薦めのワークシ ョップを紹介(CfP 応募時点では全45種類)” 参考︓AWS Security Workshop https://workshops.aws/categories/Security 5 ※注意 本日確認したところ 48 種類に増えている模様 https://jaws-tohoku.doorkeeper.jp/events/156109
全 AWS 公式ワークショップをやる 6 以下のワークショップを⾒つける 「Cedar policy language in action」
概要 Cedarは、誰が何にアクセスすべきかを記述するポリシーとしてパーミッションを定義するための⾔語です。 Amazon Verified PermissionsとAWS Verified Accessは、アプリケーションとエンドユーザーに対して きめ細かいパーミッションを定義するためにCedarを使⽤します。 このワークショップでは、アクセス制御のためのCedarポリシーを構築することで学びます。 re:Inforce でワークショップが公開された??
2. Cedar とは︖ What is “Cedar”
Cedar とは? ❧ AWS Verified AccessやAWS Verified Permission で利⽤できるAWSのポリシー⾔語 ❧
昨年の re:Invent 2022 にて発表 ❧ オープンソースのポリシー⾔語 ❧ 以下の特徴をもつ ・表現の幅広さ ← 今回紹介するワークショップではこれが体験できる ・⾼性能 ・分析がしやすい 8
表現の幅広さ スキーマと呼ばれるものを活⽤することで表現の幅広さを実現します。 スキーマとは “アプリケーションでサポートし、Cedar に認可サービスを提供させたいエンティティタイプの構造を 宣⾔したものです。Cedar は JSON を使ってスキーマを定義します。これは JSON
スキーマに似ていま すが、エンティティタイプの使⽤など、Cedar の設計のユニークな⾯では若⼲の違いが求められます” 9 IAM でいうポリシーの構造(書き⽅)を⾃分で定義できる 触ってみた結果
スキーマの例 10 ポリシー スキーマ
スキーマの例 11 ポリシー スキーマ
3. ワークショップを通して Cedar を触ってみた Experiencing “Cedar” through workshops
ワークショップの前提 13 Cedar Playground という Cedar を体験できるサイトを使うため AWS アカウントにログインする必要がない (8/5
時点では⽇本語⾮対応) https://www.cedarpolicy.com/en
Cedar Playground でできること ① 14 ポリシーとスキーマの定義の作成
Cedar Playground でできること ② 15 作成したポリシーに対して実際にリクエストを送る
Cedar Playground でできること ③ 16 許可/禁⽌を確認
ワークショップの概要 ❧ Policy playground を使って Cedarについて⼀通りの概要を体験 ❧ 基本的にポリシーやリクエストを書いて「これは通る」「これは通らない」を確認 ❧ ワークショップの最後には「実際にスキーマとポリシーを⾃分で書いてみよう」的な
応⽤問題もある → 答えもあるので、「似たようなアクセス制御を実現したい」となった際の サンプルとしても使える 17
ワークショップに出てくる例題① 18 ・⾃分がアップロードした写真は⾒れるがそれ以外は⾒れない ・⾃分の家族があげた写真は⾒ることができるがそれ以外は⾒れない ・特定のタグがついている写真だけを閲覧することができる
ワークショップに出てくる例題② 19 ・Git アプリケーションもあるよ
感想 ❧ IAMやS3のバケットポリシーやKMSのキーポリシーを書いたことがあれば ⽐較的理解できる ❧ AWS Verified AccessやAWS Verified Permissionといったサービスを検証する際に
実際にリソースを作成してしまうと費⽤が発⽣してしまうが、 Cedar Playground を使えば、無料で Cedar のポリシーやスキーマの検証ができる ❧ AWS Verified AccessやAWS Verified Permissionといったサービスを 実際に触るわけではないので、「AWSのサービスでどう使うのか」という 応⽤場⾯のイメージは付きづらい 20
Big concept Bring the attention of your audience over a
key concept using icons or illustrations 21 参加登録はこちら 懇親会登録はこちら #jawsfesta #jawsfesta2023 #実行委員長発見 ←この人 (@east_takumi) が実行委員長です! もし現地で⾒かけたら 上のハッシュタグを付けて 通報 Tweet しよう︕︕
kentosuzuki
civitaspo
whisaiyo
takanorig
hoshi7_n
neurogica
vvatanabe
gotalab555
boro1234
ponponmikankan
yayoi_dd
unnowataru
minorun365
apolaine
jonoalderson
chriscoyier
axbom
ryanjones
tammyeverts
paigeccino
kimpetersen
davidcarrasco
jeffersonlam
katarinadahlin
inesmontani
