Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS アカウントへのログインを一時的に許可する簡易承認ワークフローを作ってみた
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
Tsukasa_Ishimaru
June 30, 2023
Technology
270
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
AWS アカウントへのログインを一時的に許可する簡易承認ワークフローを作ってみた
Tsukasa_Ishimaru
June 30, 2023
More Decks by Tsukasa_Ishimaru
See All by Tsukasa_Ishimaru
Aurora_BlueGreenDeploymentsやってみた
tsukasa_ishimaru
1
260
WafCharm使ってみた
tsukasa_ishimaru
0
320
IaCジェネレーターとBedrockで詳細設計書を生成してみた
tsukasa_ishimaru
5
2.6k
AWS Application Composer使ってみた
tsukasa_ishimaru
0
310
AWSコスト削減~EC2・RDS自動起動・停止~
tsukasa_ishimaru
0
380
Other Decks in Technology
See All in Technology
2026TECHFRESH畢業分享會 - 原生還是跨平台? App 開發踩坑實錄
line_developers_tw
PRO
0
1.2k
AIネイティブな開発のサプライチェーンリスク対策 〜激動の開発現場でリスクに立ち向かう〜【ZennFes】
cscengineer
PRO
2
130
Kiro CLIで始めるECS構築
rikukobayashi
1
100
ルールやカスタム機能、どう活かす?ハンズオンで体感するIBM Bobの出力コントロール
muehara
1
170
LLMにもCAP定理があるという話
harukasakihara
0
400
2026TECHFRESH畢業分享會 - AI 時代的人生存檔點
line_developers_tw
PRO
0
1.2k
AIはどのように 組織のアジリティを変えるのか?
junki
4
990
なぜ Platform Engineering の土台に Kubernetes を選ぶのか
r4ynode
2
650
2026年6月23日 Syncable Tech + Start Python Club にて
hamukazu
0
120
AIAU_UMEMOGU_ninomiya_slide
ninomiya_ii
0
110
Oracle AI Database@AWS:サービス概要のご紹介
oracle4engineer
PRO
4
3k
アンオフィシャルな、オフィシャルからのお願い
wyamazak_devrel
0
120
Featured
See All Featured
Fashionably flexible responsive web design (full day workshop)
malarkey
408
66k
Docker and Python
trallard
47
3.9k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
333
22k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
123
22k
Why Our Code Smells
bkeepers
PRO
340
58k
Rails Girls Zürich Keynote
gr2m
96
14k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
31
10k
WENDY [Excerpt]
tessaabrams
11
38k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
659
62k
Reflections from 52 weeks, 52 projects
jeffersonlam
356
21k
Abbi's Birthday
coloredviolet
2
8.1k
jQuery: Nuts, Bolts and Bling
dougneiner
66
8.5k
Transcript
AWSアカウントへのログインを一時的に 許可する簡易承認ワークフローを作ってみた 2023年6月29日 【AWS×BTC】AWS LT大会 株式会社セゾン情報システムズ 石丸 司 #aws_lt_saison_btc
目次 1.自己紹介 2.はじめに 3.システム構成図 4.運用イメージ 5.改善点 6.おわりに #aws_lt_saison_btc
1. 自己紹介 ▪氏名:石丸司(いしまるつかさ) ▪所属:セゾン情報システムズ ▪経歴 2017/4/1 : 新卒入社 2017/7/1~2022/3/31 :
基幹システムのアプリ開発・維持保守 2022/4/1~ : AWSインフラの構築・維持保守 ▪最近の活動 JAPAN AWS Top Engineers選出を目指し、資格取得、Qiita投稿・LT登壇などを実施中 Twitter:@tsukasa_aws #aws_lt_saison_btc
2. はじめに マルチアカウント環境にて、本番作業で使用する作業用ロール(管理者権限ロール)への アクセス(スイッチロール)管理を手作業で行っているケースが多いのではないでしょうか。 この運用を自動化できないか検討・試作してみましたので、 今回はその内容をご紹介したいと思います。 踏み台アカウント 作業対象アカウント IAMユーザー (作業用IAMロールへ
のスイッチロール用) Excelにて 踏み台アカウント IAMユーザーの パスワードを管理 作業用IAMロール (管理者権限) スイッチロール #aws_lt_saison_btc ・・・
3. システム構成図 踏み台アカウント 作業対象アカウント 作業用IAMロール (管理者権限ロール) SystemsManager Automation ※ 承認者
開始用Eventbridge Schedule作成 承認ステップ 終了用Eventbridge Schedule作成 Scheduler Scheduler AWS Lambda 踏み台アカウントの Lambdaアクセス用 IAMロール 作業者 ③承認 ②通知 ①実行 ④スケジュール作成 ⑤実行 ⑥スイッチロール ⑦信頼ポリシーを変更 カスタムランブック #aws_lt_saison_btc ※SystemsManager Automationとは AWS リソースのメンテナンス作業を自動化するためのSystems Manager内の機能 Chatbot SNS ※参考にさせて頂いた記事 https://dev.classmethod.jp/articles/workflow-to- add-temporary-privilege-by-ssm-automation/
4. 運用イメージ ①(作業者)SlackからSystemsManagerのカスタムランブックを実行 実行コマンドを送信 #aws_lt_saison_btc パラメータ設定 実行済メッセージ
4. 運用イメージ ②(承認者)Slackで承認依頼メッセージ確認&承認 承認 #aws_lt_saison_btc 承認画面遷移
4. 運用イメージ ③(AWS内部処理)作業用IAMロールの信頼ポリシーを変更 #aws_lt_saison_btc 踏み台アカウント 作業対象アカウント 作業用IAMロール (管理者権限ロール) SystemsManager Automation
※ 承認者 開始用Eventbridge Schedule作成 承認ステップ 終了用Eventbridge Schedule作成 Scheduler Scheduler AWS Lambda 踏み台アカウントの Lambdaアクセス用 IAMロール 作業者 ③承認 ②通知 ①実行 ④スケジュール作成 ⑤実行 ⑥スイッチロール ⑦信頼ポリシーを変更 カスタムランブック Chatbot SNS
4. 運用イメージ ④(作業者)踏み台アカウントのIAMユーザーにログイン&スイッチロール ログイン #aws_lt_saison_btc スイッチロール
4. 運用イメージ ⑤(作業者)作業完了後に作業対象アカウントからログアウト 入力した終了時刻に自動で 作業用IAMロールの信頼ポリシーを初期化 ⇒スイッチロール不可の状態になる #aws_lt_saison_btc
5. 改善点 • 承認者への承認依頼通知をSlackに飛ばす (Chatbotが非対応なので、Lambda or EventBridge + SNS) •
複数の作業者の作業時間が被る場合の考慮 • AWS IAM Identity Center対応(SSOユーザー対応) • CloudFormationテンプレート作成 #aws_lt_saison_btc
6. おわりに • 今回ご紹介した事例が少しでもお役にたてれば幸いです。 • SystemsManagerを使用した、様々な運用作業自動化の事例が増 えていくことを願っています。 #aws_lt_saison_btc
ご清聴ありがとうございました #aws_lt_saison_btc
SiteGround - Reliable hosting with speed, security, and support you can count on.
tsukasa_ishimaru
line_developers_tw
cscengineer
.jpeg){kind=avatar}
rikukobayashi
muehara
harukasakihara
junki
r4ynode
hamukazu
ninomiya_ii
oracle4engineer
wyamazak_devrel
malarkey
trallard
caitiem20
panda_program
bkeepers
gr2m
eileencodes
tessaabrams
lemiorhan
jeffersonlam
coloredviolet
dougneiner
