前回はこちら
聞いた日
2020/04/16
所要時間
メモしつつ、途中止めながら 45 分。
概要
[A-3] セッション 3:
AWS のセキュリティの基本
AWS を安心してご利用いただくための機能についてのセッションです。Amazon Virtual Private Cloud(VPC)により AWS リソースを起動するための仮想ネットワーク環境をどのようにコントロールするかを学び、AWS Identity and Access Management(IAM)によるユーザーアクセスコントロールについてご理解いただきます。
また、AWS が考えるセキュリティの基本および AWS で用意している各種セキュリティのための取り組みについて紹介します。
([A-3] AWSome Day セッション 3: AWS のセキュリティの基本
スピーカー
- 高橋 敏行
アマゾン ウェブ サービス ジャパン株式会社 / パートナーソリューションアーキテクト - 平賀 博司
アマゾン ウェブ サービス ジャパン株式会社 / テクニカルトレーナー
内容
セキュリティは AWS の最優先事項です。
責任共有モデル
VPC のネットワーク制御
VPC(Virtual Private Cloud)のおさらい。
- ファイアウォール
大きく分けると 2 つ。
- ACL(Access Control List):サブネット単位でアクセス制御する。
- セキュリティグループ:インスタンス単位でアクセス制御する。
セキュリティグループを使うメリットとしては、WEB3 層構造(WEB、アプリ、DB)の単位で切り分けた時、アプリ層は WEB 層のアクセスのみ許可。などが可能。
つまり、アプリ層はインターネットから直接アクセスされない。
(直接企業ネットワークを繋ぐことはできる)
認証とアクセス管理
IAM(AWS Identity and Access Management):アイアム
フェデレーティッドユーザーとは?
別のサービスで認証・認可を受けた状態でサービスを使うことができる仕組み。
- 認証
メールアドレスとパスワードでログインするのは Root ユーザー(いわゆるゴッドユーザー)GUI だとマネジメントコンソールからアクセス。
CLI だとアクセスキー ID とシークレットアクセスキー。ルートユーザーは基本的には使わない。
- 認可
ポリシーともいう。
JSON 形式でリソースアクセスの権限を付与。許可・不許可とも設定可能。
IAM ユーザー単位で設定、グループ単位で設定、ロールを設定ができる。
ユースケース)
EC2 に載った Python プログラムから S3 にアクセスする。
認証・認可にアクセスキー ID とシークレットアクセスキーが必要となる。
が、直接アプリに書くと非常に問題。
IAM ロールに S3 権限を付与して、EC2 に対象ロールを設定するとアプリに記載する必要がなくなる。
ロールを「引き受ける」と今使っている権限が上書きされるイメージ。
ログイン中でも動的に変更できる。
不要となったタイミングで削除する。- MFA(Multi Factor Authentication)
ワンタイムパスワード
- MFA(Multi Factor Authentication)
ベストプラクティス
- IAM
- ルートユーザーのアクセスキーを削除。
- IAM ユーザーを作成する
- 管理者アクセス権付与
- IAM 認証を使用して AWS 操作
- IAM ロール
感想
話には出てこなかったけど、クリデンシャルキーの公開を防ぐ(誤コミットしない)仕組みで git-secrets とかあったなー。
ガバガバなセキュリティ設定は当然 AWS のセキュリティ範囲ではないので、意識して設定する必要がある。
次回はこちら
