Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS Change ManagerでPIMライクな権限昇格の仕組みを構築した話

Soichiro Korenaga
April 04, 2025
2
520

AWS Change ManagerでPIMライクな権限昇格の仕組みを構築した話

Soichiro Korenaga

April 04, 2025
Tweet

More Decks by Soichiro Korenaga

See All by Soichiro Korenaga
Re:Invent RDS関係のアップデートまとめ
koresou
0
380
WAFでどのリクエストがBlockされたのか、 ログを集計してSlackで簡単に見れるようにした
koresou
0
1.4k
システムの各種ログを確認する Dashboardの開発
koresou
0
500
オブザーバビリティ・エンジニアリング本を輪読して取り組んだo11yのはじめの一歩
koresou
3
1.8k

Featured

See All Featured
Agile that works and the tools we love
rasmusluckow
328
21k
Why You Should Never Use an ORM
jnunemaker
PRO
55
9.3k
Measuring & Analyzing Core Web Vitals
bluesmoon
7
390
Embracing the Ebb and Flow
colly
85
4.6k
Raft: Consensus for Rubyists
vanstee
137
6.9k
Rails Girls Zürich Keynote
gr2m
94
13k
Designing Experiences People Love
moore
141
24k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
251
21k
Git: the NoSQL Database
bkeepers
PRO
430
65k
Large-scale JavaScript Application Architecture
addyosmani
512
110k
Imperfection Machines: The Place of Print at Facebook
scottboms
267
13k
Fantastic passwords and where to find them - at NoRuKo
philnash
51
3.1k

Transcript

  1. ©2024 Metaps Holdings, Inc. AWS Change Managerで PIMライクな権限昇格の仕組みを構築した話 株式会社メタップスホールディングス SREエンジニア

    是永 総⼀郎

  2. ©2024 Metaps Holdings, Inc. ⾃⼰紹介 是永 総⼀郎 株式会社メタップスホールディングス SREエンジニア Soichiro

    Korenaga 機械設計エンジニア→インフラエンジニア →SRE JAWS-UG SRE⽀部 運営 趣味:折り紙 @s_korenaga

  3. ©2024 Metaps Holdings, Inc. 折り紙

  4. ©2024 Metaps Holdings, Inc. 社名
 株式会社メタップスホールディングス 
 (Metaps Holdings, Inc.)

    
 設立
 2023年1月26日 
 資本金
 100百万円(資本準備金を含む)
 ※2023年12月末時点
 所在地
 東京都渋谷区渋谷二丁目24番12号 
 渋谷スクランブルスクエア 
 従業員数
 72名 ※2023年12月末時点
 経営陣
 代表取締役 山﨑 祐一郎 取締役   原 大輔
 取締役   青沼 克典 
 社外取締役 大谷 仁人 
 監査役   萩野矢 宏樹 事業内容
 クラウドとAIを中心にしたインキュベーション 
 テクノロジー企業への投資 
 
 MISSION テクノロジーでお金と経済のあり方を変える 
 
 世界を解き放つ 
 
 
 VISION 会社概要

  5. ©2024 Metaps Holdings, Inc. srestはAWSファンデーショナルテクニカルレビュー (FTR)認証を取得しています

  6. ©2024 Metaps Holdings, Inc. ©2024 Metaps Holdings, Inc. 無料トライアル実施中!詳しくはお声がけください。 AWSコスト管理ツール

  7. ©2024 Metaps Holdings, Inc. 時限的な権限昇格を⾏いたい! できれば承認制…

  8. ©2024 Metaps Holdings, Inc. 困りごと AWSリソースの作成‧変更で強い権限を常に使いがち 不⽤意‧不本意なAWSリソースの変更は避けたい   普段は低い権限で操作して、必要な時のみ権限を強くしたい 大いなる力には大いなる責任が伴うぞ

  9. ©2024 Metaps Holdings, Inc. PIMについて PIM(Privileged Identity Management)とは  アクセス権限を制御、管理、監視するもの 最⼤の特徴:権限を時限的に付与できる

    導⼊にはユーザー管理⽅法⾃体を変えなければならない ハードル⾼い…

  10. ©2024 Metaps Holdings, Inc. 諦めかけていたその時 今のユーザー管理(IIC)のままで承認制で時限的に権限昇格 そんな上⼿い話… AWS Systems Manager

    Change Managerでできそう やってみた

  11. ©2024 Metaps Holdings, Inc. Change Managerについて AWS Systems Manager Change

    Manager:  アプリケーションの設定とインフラストラクチャに対する運⽤上の変更をリクエスト、承認、 実装、および報告するためのエンタープライズ変更管理フレームワーク つまり… 設定した操作を承認制で実⾏できる 権限昇格を設定すればPIMライクなフローが作成できる! ⼒ が ほ し い の な ら ば く れ て や る ! !

  12. ©2024 Metaps Holdings, Inc. 実際にやってみた

  13. ©2024 Metaps Holdings, Inc. Step 1 AWS Systems Manager Documentで実⾏フローを作成

    今回は時限的な権限昇格なので IICのグループにユーザーを追加 指定の時間待機 IICのグループからユーザーを削除

  14. ©2024 Metaps Holdings, Inc. Step 2 AWS Systems Manager Change

    Managerでテンプレートを作成 テンプレートでは… ‧実⾏するDocument ‧承認者 ‧実⾏スケジュール ‧申請時の通知先 等を設定

  15. ©2024 Metaps Holdings, Inc. Step 3 申請! どのテンプレートを使うか 承認者を誰にするか 開始時刻の指定

    パラメータ 等を⼊⼒

  16. ©2024 Metaps Holdings, Inc. Step 4 承認! コメントを添えて申請を承認

  17. ©2024 Metaps Holdings, Inc. 権限昇格できた 申請が承認されるとアクセスポータルで権限付与されていることを確認 ⼀定時間後、権限がなくなっていることを確認 再ログインが必要なの⾯倒…

  18. ©2024 Metaps Holdings, Inc. 成果 AWS Systems Manager Change Managerで承認時のみ権限昇格できた!

    課題もいくつか ‧他のアカウントでも承認できるようにしたい ‧緊急時のフローを整備したい ‧他の⾃動化にも使えそう