AWS Change ManagerでPIMライクな権限昇格の仕組みを構築した話

©2024 Metaps Holdings, Inc. AWS Change Managerで PIMライクな権限昇格の仕組みを構築した話株式会社メタップスホールディングス SREエンジニア
是永総⼀郎

©2024 Metaps Holdings, Inc. ⾃⼰紹介是永総⼀郎株式会社メタップスホールディングス SREエンジニア Soichiro
Korenaga 機械設計エンジニア→インフラエンジニア →SRE JAWS-UG SRE⽀部運営趣味：折り紙＠s_korenaga

©2024 Metaps Holdings, Inc. 社名  株式会社メタップスホールディングス   (Metaps Holdings, Inc.)
  設立  2023年1月26日　  資本金  100百万円（資本準備金を含む）  ※2023年12月末時点  所在地  東京都渋谷区渋谷二丁目24番12号   渋谷スクランブルスクエア   従業員数  72名 ※2023年12月末時点  経営陣  代表取締役　山﨑祐一郎取締役　　　原大輔  取締役　　　青沼克典   社外取締役　大谷仁人   監査役　　　萩野矢宏樹事業内容  クラウドとAIを中心にしたインキュベーション   テクノロジー企業への投資     MISSION テクノロジーでお金と経済のあり方を変える     世界を解き放つ       VISION 会社概要

©2024 Metaps Holdings, Inc. PIMについて PIM(Privileged Identity Management)とはアクセス権限を制御、管理、監視するもの最⼤の特徴：権限を時限的に付与できる
導⼊にはユーザー管理⽅法⾃体を変えなければならないハードル⾼い…

©2024 Metaps Holdings, Inc. 諦めかけていたその時今のユーザー管理(IIC)のままで承認制で時限的に権限昇格そんな上⼿い話… AWS Systems Manager
Change Managerでできそうやってみた

©2024 Metaps Holdings, Inc. Change Managerについて AWS Systems Manager Change
Manager：アプリケーションの設定とインフラストラクチャに対する運⽤上の変更をリクエスト、承認、実装、および報告するためのエンタープライズ変更管理フレームワークつまり… 設定した操作を承認制で実⾏できる権限昇格を設定すればPIMライクなフローが作成できる！⼒がほしいのならばくれてやる！！

©2024 Metaps Holdings, Inc. Step 1 AWS Systems Manager Documentで実⾏フローを作成
今回は時限的な権限昇格なので IICのグループにユーザーを追加指定の時間待機 IICのグループからユーザーを削除

©2024 Metaps Holdings, Inc. Step 2 AWS Systems Manager Change
Managerでテンプレートを作成テンプレートでは… ‧実⾏するDocument ‧承認者 ‧実⾏スケジュール ‧申請時の通知先等を設定

©2024 Metaps Holdings, Inc. 成果 AWS Systems Manager Change Managerで承認時のみ権限昇格できた！
課題もいくつか ‧他のアカウントでも承認できるようにしたい ‧緊急時のフローを整備したい ‧他の⾃動化にも使えそう

AWS Change ManagerでPIMライクな権限昇格の仕組みを構築した話

AWS Change ManagerでPIMライクな権限昇格の仕組みを構築した話

Soichiro Korenaga

More Decks by Soichiro Korenaga

Featured

Transcript

©2024 Metaps Holdings, Inc. AWS Change Managerで PIMライクな権限昇格の仕組みを構築した話株式会社メタップスホールディングス SREエンジニア

©2024 Metaps Holdings, Inc. ⾃⼰紹介是永総⼀郎株式会社メタップスホールディングス SREエンジニア Soichiro

©2024 Metaps Holdings, Inc. 折り紙

©2024 Metaps Holdings, Inc. 社名  株式会社メタップスホールディングス   (Metaps Holdings, Inc.)

©2024 Metaps Holdings, Inc. srestはAWSファンデーショナルテクニカルレビュー（FTR）認証を取得しています

©2024 Metaps Holdings, Inc. ©2024 Metaps Holdings, Inc. 無料トライアル実施中！詳しくはお声がけください。 AWSコスト管理ツール

©2024 Metaps Holdings, Inc. 時限的な権限昇格を⾏いたい！できれば承認制…

©2024 Metaps Holdings, Inc. PIMについて PIM(Privileged Identity Management)とはアクセス権限を制御、管理、監視するもの最⼤の特徴：権限を時限的に付与できる

©2024 Metaps Holdings, Inc. 諦めかけていたその時今のユーザー管理(IIC)のままで承認制で時限的に権限昇格そんな上⼿い話… AWS Systems Manager

©2024 Metaps Holdings, Inc. Change Managerについて AWS Systems Manager Change

©2024 Metaps Holdings, Inc. 実際にやってみた

©2024 Metaps Holdings, Inc. Step 1 AWS Systems Manager Documentで実⾏フローを作成

©2024 Metaps Holdings, Inc. Step 2 AWS Systems Manager Change

©2024 Metaps Holdings, Inc. Step 3 申請！どのテンプレートを使うか承認者を誰にするか開始時刻の指定

©2024 Metaps Holdings, Inc. Step 4 承認！コメントを添えて申請を承認

©2024 Metaps Holdings, Inc. 権限昇格できた申請が承認されるとアクセスポータルで権限付与されていることを確認⼀定時間後、権限がなくなっていることを確認再ログインが必要なの⾯倒…

©2024 Metaps Holdings, Inc. 成果 AWS Systems Manager Change Managerで承認時のみ権限昇格できた！