Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Change Managerを活用して本番環境へのセキュアなGUIアクセスを統制する / Co...
Search
Yuji Oshima
February 25, 2025
Technology
2
230
Change Managerを活用して本番環境へのセキュアなGUIアクセスを統制する / Control Secure GUI Access to the Production Environment with Change Manager
「JAWS-UG 名古屋 2月会「アクセス権限管理の解体新書」」で発表した資料
https://jawsug-nagoya.connpass.com/event/342964/
Yuji Oshima
February 25, 2025
Tweet
Share
More Decks by Yuji Oshima
See All by Yuji Oshima
AWS UG Grantでグローバル20名に選出されてre:Inventに行く話と、マルチクラウドセキュリティの教科書を執筆した話 / The Story of Being Selected for the AWS UG Grant to Attending re:Invent, and Writing a Multi-Cloud Security Textbook
yuj1osm
1
130
AWS Top Engineer、浮いてませんか? / As an AWS Top Engineer, Are You Out of Place?
yuj1osm
2
220
クラウドセキュリティを支える技術と運用の最前線 / Cutting-edge Technologies and Operations Supporting Cloud Security
yuj1osm
2
450
Google Cloud Next Tokyo 2025から見るAIとの協働とセキュリティ運用の未来 / The Future of AI Collaboration and Security Operations as Seen from Google Cloud Next Tokyo 2025
yuj1osm
0
54
「守る」から「進化させる」セキュリティへ ~AWS re:Inforce 2025参加報告~ / AWS re:Inforce 2025 Participation Report
yuj1osm
1
240
"TEAM"を導入したら最高のエンジニア"Team"を実現できた / Deploying "TEAM" and Building the Best Engineering "Team"
yuj1osm
2
640
re:Invent 2024のアップデート予測の答え合わせとCloudWatchのアップデート振り返り / Check the Answers to re:Invent 2024 Update Predictions and Review CloudWatch Updates
yuj1osm
0
160
スタートアップで取り組んでいるAzureとMicrosoft 365のセキュリティ対策/How to Improve Azure and Microsoft 365 Security at Startup
yuj1osm
0
470
re:Invent をおうちで楽しんでみた ~CloudWatch のオブザーバビリティ機能がスゴい!/ Enjoyed AWS re:Invent from Home and CloudWatch Observability Feature is Amazing!
yuj1osm
0
230
Other Decks in Technology
See All in Technology
初めてのDatabricks Apps開発
taka_aki
1
240
旅で応援する✈️ NEWTが目指すコミュニティ支援とあたらしい旅行 / New Travel: Supporting by NEWT on Your Journey
mii3king
0
140
Implementing and Evaluating a High-Level Language with WasmGC and the Wasm Component Model: Scala’s Case
tanishiking
0
170
OCIjp_Oracle AI World_Recap
shinpy
1
160
AWS DMS で SQL Server を移行してみた/aws-dms-sql-server-migration
emiki
0
120
会社を支える Pythonという言語戦略 ~なぜPythonを主要言語にしているのか?~
curekoshimizu
3
570
クラウドとリアルの融合により、製造業はどう変わるのか?〜クラスメソッドの製造業への取組と共に〜
hamadakoji
0
360
Claude Codeを駆使した初めてのiOSアプリ開発 ~ゼロから3週間でグローバルハッカソンで入賞するまで~
oikon48
10
5.4k
今この時代に技術とどう向き合うべきか
gree_tech
PRO
2
2.1k
AI時代の開発を加速する組織づくり - ブログでは書けなかったリアル
hiro8ma
1
270
もう外には出ない。より快適なフルリモート環境を目指して
mottyzzz
13
9.1k
ローカルLLMとLINE Botの組み合わせ その2(EVO-X2でgpt-oss-120bを利用) / LINE DC Generative AI Meetup #7
you
PRO
0
150
Featured
See All Featured
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
16k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
31
9.7k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
48
9.7k
VelocityConf: Rendering Performance Case Studies
addyosmani
332
24k
Making the Leap to Tech Lead
cromwellryan
135
9.6k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
359
30k
What's in a price? How to price your products and services
michaelherold
246
12k
Done Done
chrislema
185
16k
Thoughts on Productivity
jonyablonski
70
4.9k
Leading Effective Engineering Teams in the AI Era
addyosmani
7
580
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
36
6.1k
Typedesign – Prime Four
hannesfritz
42
2.8k
Transcript
Change Managerを活用して本番環境への セキュアなGUIアクセスを統制する 大島 悠司 JAWS-UG 名古屋 2月会「アクセス権限管理の解体新書」
自己紹介 ◼ 大島 悠司 (Yuji Oshima) • NRI / NRIセキュア
• AWS Community Builders (Security & Identity) • 2023-2024 Japan AWS Top Engineers (Security) • 2022-2024 Japan AWS All Certifications Engineers • JAWS-UG横浜支部 運営メンバー • 10大脅威選考会 • 情報処理技術者試験委員会・情報処理安全確保支援士試験委員会 ◼ 経歴 • デジタルフォレンジック、マルウェア解析、スレットインテリジェンス • SOC、基盤運用、インシデントレスポンス • サービス開発、基盤構築運用、研究開発 yuj1osm 2
3 以前、「Change Managerで始める本番アクセス統制」 というタイトルでお話ししました 本手法のベースになるので、内容を簡単に振り返ります
Jumpアカウント方式によるIAM設計 ◼ 役割ごとにグループを分ける ◼ グループに対して、スイッチできるアカウントとロールを固定 • リーダーグループは高権限のロール、メンバーグループは低権限のロールにスイッチ • 読み取り専用権限のロールもあると安心 4
復習
本番環境へのアクセス統制どうする? ◼ 変更管理 • 誰が、いつ、変更作業のために本番環境にログインしたか追える? ◼ 本番アクセス統制 • 本番環境にいつでもログインできるようになっていないか? 5
ここをどうやって 管理・統制する? 復習
Change Managerでアクセス管理 ◼ Change Managerとは? • AWS Systems Managerの1機能であり、アプリやインフラの変更管理を提供 •
承認フローを組める ◼ どのように変更管理と本番アクセス統制をするか • 本番アクセス用グループを新たに作成 • このグループからのみ本番環境の作業ロールにスイッチ可能 • Change Managerの承認でこのグループに追加 • グループ追加とともにTTLタグをつける ※グループの参加期限を示したタグ 6 復習
全体図 ◼ Change Managerでユーザ「menber01」をグループ「ProdMemberWorkGroup」に追加 7 復習
事前アクセス確認 ◼ グループ「ProdMemberWorkGroup」に所属していないのでスイッチ不可 8 復習
リクエスト作成 ◼ 本番作業をするユーザがリクエストを作成する 9 リクエストを作成する パラメータを入力 ・IAMユーザ名 ・グループ名(本番作業グループ) ・TTL(作業終了日時) 承認依頼
復習
リクエスト承認 ◼ 承認者が承認する 10 タスクが実行される 承認者がコメント付きで承認 タイムラインでタスクのステータスや 承認者が見れる 復習
本番環境へスイッチロール ◼ 再度、本番環境へスイッチロールしてみる 11 リクエスト作成で入力した グループへの追加と、 TTLタグが付いている 今度は本番環境へスイッチロールできた 復習
12 新たな課題とアプローチ
課題:本番環境で稼働するサーバにGUIアクセスしたい ◼ GUIの管理画面が用意されているアプリケーションも多い 13 これらもアクセス統制できるのか?
解決案:フリートマネージャーを使う ◼ Change Managerで本番環境にスイッチしてからフリートマネージャーでアクセスすればよい 14 ここでフリートマネージャー
フリートマネージャーの欠点 ◼ フリートマネージャーは画面が小さく操作しづらい 15
解決案:Session Managerのポートフォワーディング機能を使う ◼ ローカル端末の指定ポートで受けた通信をリモート端末のポートに転送 16 これらもアクセス統制できるのか?
ここまでの課題を整理 17 (課題)本番環境で稼働するサーバにGUIログインしたい (解決案) Change Managerで本番環境にスイッチしてからフリートマネージャー (課題)フリートマネージャーは画面が小さく操作しづらい (解決案) Session Managerのポートフォワーディング機能を使う
現行の Change Managerの スキームに乗っている 現行の Change Managerの スキームに乗ってない Change Managerのスキームに載せれるのか?
いきなり結論:以下の構成で可能 18 踏み台サーバを用意 Session Managerの 権限付与をChange Manager のスキームに乗せる 踏み台サーバから プライベートリンク
でGUIアクセス
プライベートリンクへのルーティング設定 19 エンドポイントのDNS名を Route 53のプライベート ホストゾーンへ登録
NLBのルーティング設定 20 エンドポイントの終端としてNLBを設置し、ALBへルーティングする ※サービス稼働インスタンス上のサービスはHTTPSで受信する仕組みのため
ALBのルーティング設定 21 ALBからサービス稼働インスタンス へルーティング リスナーにACM証明書を紐づけて HTTPSで暗号化している
本番アクセス用のIAMグループに権限を追加 22 本番アクセス用のIAMグループに スイッチロール権限のほかに Session Managerの実行権限 も付与する
全体像(再掲) 23
24 挙動の確認
CLIで認証情報を取得 25 MFA認証 一時的な認証情報を取得 環境変数にセット
Change Manager承認前 26 セッション開始 権限がないので失敗
Change Manager承認後 27 セッション開始 権限があるので成功
本番環境サーバへのGUIアクセス 28 踏み台サーバを介した本番環境サーバへのGUIアクセス
まとめ ◼ Change Managerで本番環境へのスイッチロールの統制が可能 ◼ 踏み台サーバからプライベートリンクを構築すればGUIアクセスも可能 ◼ 踏み台サーバへはフリートマネージャーでのアクセスを利用し、 セッション開始の権限付与をChange Managerのスキームに組み込むことで統制が可能
◼ これを応用すれば、あらゆる権限付与を承認フローに組み込むことが可能 29
(参考)詳細解説ブログと関連ハンズオンコンテンツ ◼ 詳細な解説を書いたブログ • Change Managerで踏み台サーバへのアクセスを統制し、さらに本番環境のサーバへのセキュアなGUIアク セスを実現する https://yuj1osm.hatenablog.com/entry/2025/01/14/203013 ◼ 関連のハンズオンコンテンツ
• AWSマルチアカウントにおけるJumpアカウントを用いたIMA設計 https://github.com/yuj1osm/aws-multi-account-iam-design-with-jump-account • AWS Systems Manager Change Managerによる変更管理と本番アクセス統制 https://github.com/yuj1osm/access-controle-with-aws-systems-manager-change- manager 30
31 実は、のちに登場したTEAMを使えば もっといい感じにアクセス管理ができます! こちらでお話しするので お楽しみに!
yuj1osm
taka_aki
mii3king
tanishiking
shinpy
emiki
curekoshimizu
hamadakoji
oikon48
gree_tech
hiro8ma
mottyzzz
you
afnizarnur
eileencodes
mongodb
addyosmani
cromwellryan
bermonpainter
michaelherold
chrislema
jonyablonski
kevinliebholz
hannesfritz
