Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Change Managerを活用して本番環境へのセキュアなGUIアクセスを統制する / Co...

Avatar for Yuji Oshima Yuji Oshima
February 25, 2025
Technology
2
220

Change Managerを活用して本番環境へのセキュアなGUIアクセスを統制する / Control Secure GUI Access to the Production Environment with Change Manager

「JAWS-UG 名古屋 2月会「アクセス権限管理の解体新書」」で発表した資料
https://jawsug-nagoya.connpass.com/event/342964/

Avatar for Yuji Oshima

Yuji Oshima

February 25, 2025
Tweet

More Decks by Yuji Oshima

See All by Yuji Oshima
"TEAM"を導入したら最高のエンジニア"Team"を実現できた / Deploying "TEAM" and Building the Best Engineering "Team"
Avatar for Yuji Oshima yuj1osm
2
590
re:Invent 2024のアップデート予測の答え合わせとCloudWatchのアップデート振り返り / Check the Answers to re:Invent 2024 Update Predictions and Review CloudWatch Updates
Avatar for Yuji Oshima yuj1osm
0
120
スタートアップで取り組んでいるAzureとMicrosoft 365のセキュリティ対策/How to Improve Azure and Microsoft 365 Security at Startup
Avatar for Yuji Oshima yuj1osm
0
450
re:Invent をおうちで楽しんでみた ~CloudWatch のオブザーバビリティ機能がスゴい!/ Enjoyed AWS re:Invent from Home and CloudWatch Observability Feature is Amazing!
Avatar for Yuji Oshima yuj1osm
0
210
Microsoft Azure全冠になってみた ~アレを使い倒した者が試験を制す!?~/Obtained all Microsoft Azure certifications Those who use "that" to the full will win the exam! ?
Avatar for Yuji Oshima yuj1osm
2
420
Google Cloud 全冠になってみた ~AI時代を生き残るための自己研鑽 ~/Obtained all Google Cloud Certifications Self-Improvement to Survive in the AI ​​Era
Avatar for Yuji Oshima yuj1osm
1
200
生成AI時代のセキュリティはAWSでどう進化する? ~AWSセキュリティの3つのポイントからアップデートを予測する~ / How will Security Evolve on AWS in the Era of Generative AI and Predicting Updates from 3 Points of AWS Security
Avatar for Yuji Oshima yuj1osm
0
190
AWS re:Inventを徹底的に楽しむためのTips / Tips for thoroughly enjoying AWS re:Invent
Avatar for Yuji Oshima yuj1osm
1
1.3k
AWS re:Inforce 2024をおうちで楽しんでみた / Enjoyed AWS re:Inforce 2024 from home
Avatar for Yuji Oshima yuj1osm
1
320

Other Decks in Technology

See All in Technology
Google Agentspaceを実際に導入した効果と今後の展望
Avatar for MIXI ENGINEERS mixi_engineers
PRO
3
380
専門分化が進む分業下でもユーザーが本当に欲しかったものを追求するプロダクトマネジメント/Focus on real user needs despite deep specialization and division of labor
Avatar for moriyuya moriyuya
1
1.2k
20250807_Kiroと私の反省会
Avatar for Rika.I riz3f7
0
200
人に寄り添うAIエージェントとアーキテクチャ #BetAIDay
Avatar for LayerX layerx
PRO
9
2.1k
アカデミーキャンプ 2025 SuuuuuuMMeR「燃えろ!!ロボコン」 / Academy Camp 2025 SuuuuuuMMeR "Burn the Spirit, Robocon!!" DAY 1
Avatar for Kenji Saito ks91
PRO
0
130
みんなのSRE 〜チーム全員でのSRE活動にするための4つの取り組み〜
Avatar for KAKEHASHI kakehashi
PRO
2
140
ビジネス文書に特化した基盤モデル開発 / SaaSxML_Session_2
Avatar for Sansan R&D sansan_randd
0
280
開発 × 生成AI × コミュニケーション:GENDAの開発現場で感じたコミュニケーションの変化 / GENDA Tech Talk #1
Avatar for GENDA genda
0
110
いかにして命令の入れ替わりについて心配するのをやめ、メモリモデルを 愛するようになったか(改)
Avatar for Takaya Saeki nullpo_head
7
2.5k
Kiroから考える AIコーディングツールの潮流
Avatar for Oikon oikon48
4
680
Serverless Meetup #21
Avatar for 吉田真吾 yoshidashingo
1
110
Segment Anything Modelの最新動向:SAM2とその発展系
Avatar for TakatoYoshikawa tenten0727
0
600

Featured

See All Featured
YesSQL, Process and Tooling at Scale
Avatar for Rocio Delgado rocio
173
14k
Bootstrapping a Software Product
Avatar for Garrett Dimon garrettdimon
PRO
307
110k
Practical Orchestrator
Avatar for Shlomi Noach shlominoach
190
11k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
Avatar for Michelle Schulp Hunt marktimemedia
31
2.5k
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
37
2.8k
Product Roadmaps are Hard
Avatar for C. Todd Lombardo iamctodd
PRO
54
11k
GitHub's CSS Performance
Avatar for Jon Rohan jonrohan
1031
460k
What's in a price? How to price your products and services
Avatar for Michael Herold michaelherold
246
12k
Unsuck your backbone
Avatar for Amy Palamountain ammeep
671
58k
The Cult of Friendly URLs
Avatar for Andy Hume andyhume
79
6.5k
Code Review Best Practice
Avatar for Trisha Gee trishagee
69
19k
Designing Experiences People Love
Avatar for Jonathan Moore moore
142
24k

Transcript

  1. Change Managerを活用して本番環境への セキュアなGUIアクセスを統制する 大島 悠司 JAWS-UG 名古屋 2月会「アクセス権限管理の解体新書」

  2. 自己紹介 ◼ 大島 悠司 (Yuji Oshima) • NRI / NRIセキュア

    • AWS Community Builders (Security & Identity) • 2023-2024 Japan AWS Top Engineers (Security) • 2022-2024 Japan AWS All Certifications Engineers • JAWS-UG横浜支部 運営メンバー • 10大脅威選考会 • 情報処理技術者試験委員会・情報処理安全確保支援士試験委員会 ◼ 経歴 • デジタルフォレンジック、マルウェア解析、スレットインテリジェンス • SOC、基盤運用、インシデントレスポンス • サービス開発、基盤構築運用、研究開発 yuj1osm 2

  3. 3 以前、「Change Managerで始める本番アクセス統制」 というタイトルでお話ししました 本手法のベースになるので、内容を簡単に振り返ります

  4. Jumpアカウント方式によるIAM設計 ◼ 役割ごとにグループを分ける ◼ グループに対して、スイッチできるアカウントとロールを固定 • リーダーグループは高権限のロール、メンバーグループは低権限のロールにスイッチ • 読み取り専用権限のロールもあると安心 4

    復習

  5. 本番環境へのアクセス統制どうする? ◼ 変更管理 • 誰が、いつ、変更作業のために本番環境にログインしたか追える? ◼ 本番アクセス統制 • 本番環境にいつでもログインできるようになっていないか? 5

    ここをどうやって 管理・統制する? 復習

  6. Change Managerでアクセス管理 ◼ Change Managerとは? • AWS Systems Managerの1機能であり、アプリやインフラの変更管理を提供 •

    承認フローを組める ◼ どのように変更管理と本番アクセス統制をするか • 本番アクセス用グループを新たに作成 • このグループからのみ本番環境の作業ロールにスイッチ可能 • Change Managerの承認でこのグループに追加 • グループ追加とともにTTLタグをつける ※グループの参加期限を示したタグ 6 復習

  7. 全体図 ◼ Change Managerでユーザ「menber01」をグループ「ProdMemberWorkGroup」に追加 7 復習

  8. 事前アクセス確認 ◼ グループ「ProdMemberWorkGroup」に所属していないのでスイッチ不可 8 復習

  9. リクエスト作成 ◼ 本番作業をするユーザがリクエストを作成する 9 リクエストを作成する パラメータを入力 ・IAMユーザ名 ・グループ名(本番作業グループ) ・TTL(作業終了日時) 承認依頼

    復習

  10. リクエスト承認 ◼ 承認者が承認する 10 タスクが実行される 承認者がコメント付きで承認 タイムラインでタスクのステータスや 承認者が見れる 復習

  11. 本番環境へスイッチロール ◼ 再度、本番環境へスイッチロールしてみる 11 リクエスト作成で入力した グループへの追加と、 TTLタグが付いている 今度は本番環境へスイッチロールできた 復習

  12. 12 新たな課題とアプローチ

  13. 課題:本番環境で稼働するサーバにGUIアクセスしたい ◼ GUIの管理画面が用意されているアプリケーションも多い 13 これらもアクセス統制できるのか?

  14. 解決案:フリートマネージャーを使う ◼ Change Managerで本番環境にスイッチしてからフリートマネージャーでアクセスすればよい 14 ここでフリートマネージャー

  15. フリートマネージャーの欠点 ◼ フリートマネージャーは画面が小さく操作しづらい 15

  16. 解決案:Session Managerのポートフォワーディング機能を使う ◼ ローカル端末の指定ポートで受けた通信をリモート端末のポートに転送 16 これらもアクセス統制できるのか?

  17. ここまでの課題を整理 17 (課題)本番環境で稼働するサーバにGUIログインしたい (解決案) Change Managerで本番環境にスイッチしてからフリートマネージャー (課題)フリートマネージャーは画面が小さく操作しづらい (解決案) Session Managerのポートフォワーディング機能を使う

    現行の Change Managerの スキームに乗っている 現行の Change Managerの スキームに乗ってない Change Managerのスキームに載せれるのか?

  18. いきなり結論:以下の構成で可能 18 踏み台サーバを用意 Session Managerの 権限付与をChange Manager のスキームに乗せる 踏み台サーバから プライベートリンク

    でGUIアクセス

  19. プライベートリンクへのルーティング設定 19 エンドポイントのDNS名を Route 53のプライベート ホストゾーンへ登録

  20. NLBのルーティング設定 20 エンドポイントの終端としてNLBを設置し、ALBへルーティングする ※サービス稼働インスタンス上のサービスはHTTPSで受信する仕組みのため

  21. ALBのルーティング設定 21 ALBからサービス稼働インスタンス へルーティング リスナーにACM証明書を紐づけて HTTPSで暗号化している

  22. 本番アクセス用のIAMグループに権限を追加 22 本番アクセス用のIAMグループに スイッチロール権限のほかに Session Managerの実行権限 も付与する

  23. 全体像(再掲) 23

  24. 24 挙動の確認

  25. CLIで認証情報を取得 25 MFA認証 一時的な認証情報を取得 環境変数にセット

  26. Change Manager承認前 26 セッション開始 権限がないので失敗

  27. Change Manager承認後 27 セッション開始 権限があるので成功

  28. 本番環境サーバへのGUIアクセス 28 踏み台サーバを介した本番環境サーバへのGUIアクセス

  29. まとめ ◼ Change Managerで本番環境へのスイッチロールの統制が可能 ◼ 踏み台サーバからプライベートリンクを構築すればGUIアクセスも可能 ◼ 踏み台サーバへはフリートマネージャーでのアクセスを利用し、 セッション開始の権限付与をChange Managerのスキームに組み込むことで統制が可能

    ◼ これを応用すれば、あらゆる権限付与を承認フローに組み込むことが可能 29

  30. (参考)詳細解説ブログと関連ハンズオンコンテンツ ◼ 詳細な解説を書いたブログ • Change Managerで踏み台サーバへのアクセスを統制し、さらに本番環境のサーバへのセキュアなGUIアク セスを実現する https://yuj1osm.hatenablog.com/entry/2025/01/14/203013 ◼ 関連のハンズオンコンテンツ

    • AWSマルチアカウントにおけるJumpアカウントを用いたIMA設計 https://github.com/yuj1osm/aws-multi-account-iam-design-with-jump-account • AWS Systems Manager Change Managerによる変更管理と本番アクセス統制 https://github.com/yuj1osm/access-controle-with-aws-systems-manager-change- manager 30

  31. 31 実は、のちに登場したTEAMを使えば もっといい感じにアクセス管理ができます! こちらでお話しするので お楽しみに!