Submit Search
Upload
Security-JAWS #21 Well-ArchitectedなIAMポリシーに挑戦する(改) 〜最小権限の原則を実装ってどゆこと?〜
•
0 likes
•
400 views
T
Takamasa Ohtake
Follow
Security-JAWS #21 Well-ArchitectedなIAMポリシーに挑戦する(改) 〜最小権限の原則を実装ってどゆこと?〜
Read less
Read more
Technology
Report
Share
Report
Share
1 of 40
Download now
Download to read offline
Recommended
AWSの課金体系
AWSの課金体系
Amazon Web Services Japan
20190522 AWS Black Belt Online Seminar AWS Step Functions
20190522 AWS Black Belt Online Seminar AWS Step Functions
Amazon Web Services Japan
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
Amazon Web Services Japan
AWS Black Belt Online Seminar 2017 AWS Elastic Beanstalk
AWS Black Belt Online Seminar 2017 AWS Elastic Beanstalk
Amazon Web Services Japan
AWS Black Belt Techシリーズ Amazon WorkDocs / Amazon WorkMail
AWS Black Belt Techシリーズ Amazon WorkDocs / Amazon WorkMail
Amazon Web Services Japan
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
Amazon Web Services Japan
20190911 AWS Black Belt Online Seminar AWS Batch
20190911 AWS Black Belt Online Seminar AWS Batch
Amazon Web Services Japan
20190806 AWS Black Belt Online Seminar AWS Glue
20190806 AWS Black Belt Online Seminar AWS Glue
Amazon Web Services Japan
Recommended
AWSの課金体系
AWSの課金体系
Amazon Web Services Japan
20190522 AWS Black Belt Online Seminar AWS Step Functions
20190522 AWS Black Belt Online Seminar AWS Step Functions
Amazon Web Services Japan
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
Amazon Web Services Japan
AWS Black Belt Online Seminar 2017 AWS Elastic Beanstalk
AWS Black Belt Online Seminar 2017 AWS Elastic Beanstalk
Amazon Web Services Japan
AWS Black Belt Techシリーズ Amazon WorkDocs / Amazon WorkMail
AWS Black Belt Techシリーズ Amazon WorkDocs / Amazon WorkMail
Amazon Web Services Japan
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
Amazon Web Services Japan
20190911 AWS Black Belt Online Seminar AWS Batch
20190911 AWS Black Belt Online Seminar AWS Batch
Amazon Web Services Japan
20190806 AWS Black Belt Online Seminar AWS Glue
20190806 AWS Black Belt Online Seminar AWS Glue
Amazon Web Services Japan
20200826 AWS Black Belt Online Seminar AWS CloudFormation
20200826 AWS Black Belt Online Seminar AWS CloudFormation
Amazon Web Services Japan
AWS Black Belt Online Seminar 2017 AWS OpsWorks
AWS Black Belt Online Seminar 2017 AWS OpsWorks
Amazon Web Services Japan
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
Amazon Web Services Japan
20190723 AWS Black Belt Online Seminar AWS CloudHSM
20190723 AWS Black Belt Online Seminar AWS CloudHSM
Amazon Web Services Japan
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)
Amazon Web Services Japan
20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...
20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...
Amazon Web Services Japan
20200617 AWS Black Belt Online Seminar Amazon Athena
20200617 AWS Black Belt Online Seminar Amazon Athena
Amazon Web Services Japan
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
Amazon Web Services Japan
20190320 AWS Black Belt Online Seminar Amazon EBS
20190320 AWS Black Belt Online Seminar Amazon EBS
Amazon Web Services Japan
AWS Black Belt Online Seminar 2016 AWS Key Management Service
AWS Black Belt Online Seminar 2016 AWS Key Management Service
Amazon Web Services Japan
AWS Black Belt Techシリーズ AWS Management Console
AWS Black Belt Techシリーズ AWS Management Console
Amazon Web Services Japan
AWS EC2 Eメール制限解除 - 逆引き(rDNS)設定 申請手順
AWS EC2 Eメール制限解除 - 逆引き(rDNS)設定 申請手順
Amazon Web Services Japan
AWSのEC2の複数インスタンスからファイルを共有する方法
AWSのEC2の複数インスタンスからファイルを共有する方法
聡 大久保
Amazon VPC VPN接続設定 参考資料
Amazon VPC VPN接続設定 参考資料
Amazon Web Services Japan
20180704 AWS Black Belt Online Seminar Amazon Elastic File System (Amazon EFS...
20180704 AWS Black Belt Online Seminar Amazon Elastic File System (Amazon EFS...
Amazon Web Services Japan
20190604 AWS Black Belt Online Seminar Amazon Simple Notification Service (SNS)
20190604 AWS Black Belt Online Seminar Amazon Simple Notification Service (SNS)
Amazon Web Services Japan
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
Amazon Web Services Japan
AWS Black Belt Online Seminar 2017 AWS Storage Gateway
AWS Black Belt Online Seminar 2017 AWS Storage Gateway
Amazon Web Services Japan
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
Amazon Web Services Japan
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
Trainocate Japan, Ltd.
JAWS DAYS 2021 Hands-on Well-ArchitectedなIAMポリシーに挑戦する 〜最小権限の原則を実装ってどゆこと?〜
JAWS DAYS 2021 Hands-on Well-ArchitectedなIAMポリシーに挑戦する 〜最小権限の原則を実装ってどゆこと?〜
Takamasa Ohtake
地方のユーザとクラウド
地方のユーザとクラウド
Taku Harako
More Related Content
What's hot
20200826 AWS Black Belt Online Seminar AWS CloudFormation
20200826 AWS Black Belt Online Seminar AWS CloudFormation
Amazon Web Services Japan
AWS Black Belt Online Seminar 2017 AWS OpsWorks
AWS Black Belt Online Seminar 2017 AWS OpsWorks
Amazon Web Services Japan
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
Amazon Web Services Japan
20190723 AWS Black Belt Online Seminar AWS CloudHSM
20190723 AWS Black Belt Online Seminar AWS CloudHSM
Amazon Web Services Japan
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)
Amazon Web Services Japan
20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...
20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...
Amazon Web Services Japan
20200617 AWS Black Belt Online Seminar Amazon Athena
20200617 AWS Black Belt Online Seminar Amazon Athena
Amazon Web Services Japan
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
Amazon Web Services Japan
20190320 AWS Black Belt Online Seminar Amazon EBS
20190320 AWS Black Belt Online Seminar Amazon EBS
Amazon Web Services Japan
AWS Black Belt Online Seminar 2016 AWS Key Management Service
AWS Black Belt Online Seminar 2016 AWS Key Management Service
Amazon Web Services Japan
AWS Black Belt Techシリーズ AWS Management Console
AWS Black Belt Techシリーズ AWS Management Console
Amazon Web Services Japan
AWS EC2 Eメール制限解除 - 逆引き(rDNS)設定 申請手順
AWS EC2 Eメール制限解除 - 逆引き(rDNS)設定 申請手順
Amazon Web Services Japan
AWSのEC2の複数インスタンスからファイルを共有する方法
AWSのEC2の複数インスタンスからファイルを共有する方法
聡 大久保
Amazon VPC VPN接続設定 参考資料
Amazon VPC VPN接続設定 参考資料
Amazon Web Services Japan
20180704 AWS Black Belt Online Seminar Amazon Elastic File System (Amazon EFS...
20180704 AWS Black Belt Online Seminar Amazon Elastic File System (Amazon EFS...
Amazon Web Services Japan
20190604 AWS Black Belt Online Seminar Amazon Simple Notification Service (SNS)
20190604 AWS Black Belt Online Seminar Amazon Simple Notification Service (SNS)
Amazon Web Services Japan
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
Amazon Web Services Japan
AWS Black Belt Online Seminar 2017 AWS Storage Gateway
AWS Black Belt Online Seminar 2017 AWS Storage Gateway
Amazon Web Services Japan
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
Amazon Web Services Japan
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
Trainocate Japan, Ltd.
What's hot
(20)
20200826 AWS Black Belt Online Seminar AWS CloudFormation
20200826 AWS Black Belt Online Seminar AWS CloudFormation
AWS Black Belt Online Seminar 2017 AWS OpsWorks
AWS Black Belt Online Seminar 2017 AWS OpsWorks
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
20190723 AWS Black Belt Online Seminar AWS CloudHSM
20190723 AWS Black Belt Online Seminar AWS CloudHSM
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)
20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...
20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...
20200617 AWS Black Belt Online Seminar Amazon Athena
20200617 AWS Black Belt Online Seminar Amazon Athena
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20190320 AWS Black Belt Online Seminar Amazon EBS
20190320 AWS Black Belt Online Seminar Amazon EBS
AWS Black Belt Online Seminar 2016 AWS Key Management Service
AWS Black Belt Online Seminar 2016 AWS Key Management Service
AWS Black Belt Techシリーズ AWS Management Console
AWS Black Belt Techシリーズ AWS Management Console
AWS EC2 Eメール制限解除 - 逆引き(rDNS)設定 申請手順
AWS EC2 Eメール制限解除 - 逆引き(rDNS)設定 申請手順
AWSのEC2の複数インスタンスからファイルを共有する方法
AWSのEC2の複数インスタンスからファイルを共有する方法
Amazon VPC VPN接続設定 参考資料
Amazon VPC VPN接続設定 参考資料
20180704 AWS Black Belt Online Seminar Amazon Elastic File System (Amazon EFS...
20180704 AWS Black Belt Online Seminar Amazon Elastic File System (Amazon EFS...
20190604 AWS Black Belt Online Seminar Amazon Simple Notification Service (SNS)
20190604 AWS Black Belt Online Seminar Amazon Simple Notification Service (SNS)
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
AWS Black Belt Online Seminar 2017 AWS Storage Gateway
AWS Black Belt Online Seminar 2017 AWS Storage Gateway
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
Similar to Security-JAWS #21 Well-ArchitectedなIAMポリシーに挑戦する(改) 〜最小権限の原則を実装ってどゆこと?〜
JAWS DAYS 2021 Hands-on Well-ArchitectedなIAMポリシーに挑戦する 〜最小権限の原則を実装ってどゆこと?〜
JAWS DAYS 2021 Hands-on Well-ArchitectedなIAMポリシーに挑戦する 〜最小権限の原則を実装ってどゆこと?〜
Takamasa Ohtake
地方のユーザとクラウド
地方のユーザとクラウド
Taku Harako
20130719 CDP Night LightningTalk "Internal Port Concentrator"
20130719 CDP Night LightningTalk "Internal Port Concentrator"
Kazuki Ueki
20130831 JAWS Chiba
20130831 JAWS Chiba
Kazuki Ueki
Introduction_of_CNSec_three_dogs _AWS_Dev_Day_LT
Introduction_of_CNSec_three_dogs _AWS_Dev_Day_LT
Typhon 666
逆襲の Well-Architected Framework (Alternative Architecture DOJO #5) 20201118
逆襲の Well-Architected Framework (Alternative Architecture DOJO #5) 20201118
Masanori KAMAYAMA
AWSウルトラクイズ第1回全国統一模擬試験_20121124
AWSウルトラクイズ第1回全国統一模擬試験_20121124
真吾 吉田
Aws cloud roadshow 2015 Nagoya - Taku Harako
Aws cloud roadshow 2015 Nagoya - Taku Harako
Taku Harako
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
cyberagent
JAWS DAYS 2016 Mafia Talk
JAWS DAYS 2016 Mafia Talk
真吾 吉田
JAWS-UG 大阪 第22回 LT
JAWS-UG 大阪 第22回 LT
Mitsuhiro Yamashita
20140726 jaws-ug chiba AWS operation best practice
20140726 jaws-ug chiba AWS operation best practice
Kazuki Ueki
20130907 JAWS-UG saitama#2 case_study
20130907 JAWS-UG saitama#2 case_study
Kazuki Ueki
40まで開発のリーダーだった男がインフラの運用のリーダー(見習い)になってみて
40まで開発のリーダーだった男がインフラの運用のリーダー(見習い)になってみて
Hiroyuki Hiki
SORACOM UG Yamagata #1 | IoTに必要な通信「SORACOM」入門セミナー
SORACOM UG Yamagata #1 | IoTに必要な通信「SORACOM」入門セミナー
SORACOM,INC
[JISA][変革リーダー養成部会]組織の中で自分を活かす生き方
[JISA][変革リーダー養成部会]組織の中で自分を活かす生き方
Shigeki Morizane
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
Amazon Web Services Japan
IoTに必要な通信「SORACOM」入門セミナー 20160616
IoTに必要な通信「SORACOM」入門セミナー 20160616
SORACOM,INC
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
株式会社スカイアーチネットワークス
SeleniumとPhantomJSで自動化サーバーレス(RPALT vol.1 LT)
SeleniumとPhantomJSで自動化サーバーレス(RPALT vol.1 LT)
Mitsuhiro Yamashita
Similar to Security-JAWS #21 Well-ArchitectedなIAMポリシーに挑戦する(改) 〜最小権限の原則を実装ってどゆこと?〜
(20)
JAWS DAYS 2021 Hands-on Well-ArchitectedなIAMポリシーに挑戦する 〜最小権限の原則を実装ってどゆこと?〜
JAWS DAYS 2021 Hands-on Well-ArchitectedなIAMポリシーに挑戦する 〜最小権限の原則を実装ってどゆこと?〜
地方のユーザとクラウド
地方のユーザとクラウド
20130719 CDP Night LightningTalk "Internal Port Concentrator"
20130719 CDP Night LightningTalk "Internal Port Concentrator"
20130831 JAWS Chiba
20130831 JAWS Chiba
Introduction_of_CNSec_three_dogs _AWS_Dev_Day_LT
Introduction_of_CNSec_three_dogs _AWS_Dev_Day_LT
逆襲の Well-Architected Framework (Alternative Architecture DOJO #5) 20201118
逆襲の Well-Architected Framework (Alternative Architecture DOJO #5) 20201118
AWSウルトラクイズ第1回全国統一模擬試験_20121124
AWSウルトラクイズ第1回全国統一模擬試験_20121124
Aws cloud roadshow 2015 Nagoya - Taku Harako
Aws cloud roadshow 2015 Nagoya - Taku Harako
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
JAWS DAYS 2016 Mafia Talk
JAWS DAYS 2016 Mafia Talk
JAWS-UG 大阪 第22回 LT
JAWS-UG 大阪 第22回 LT
20140726 jaws-ug chiba AWS operation best practice
20140726 jaws-ug chiba AWS operation best practice
20130907 JAWS-UG saitama#2 case_study
20130907 JAWS-UG saitama#2 case_study
40まで開発のリーダーだった男がインフラの運用のリーダー(見習い)になってみて
40まで開発のリーダーだった男がインフラの運用のリーダー(見習い)になってみて
SORACOM UG Yamagata #1 | IoTに必要な通信「SORACOM」入門セミナー
SORACOM UG Yamagata #1 | IoTに必要な通信「SORACOM」入門セミナー
[JISA][変革リーダー養成部会]組織の中で自分を活かす生き方
[JISA][変革リーダー養成部会]組織の中で自分を活かす生き方
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
IoTに必要な通信「SORACOM」入門セミナー 20160616
IoTに必要な通信「SORACOM」入門セミナー 20160616
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
SeleniumとPhantomJSで自動化サーバーレス(RPALT vol.1 LT)
SeleniumとPhantomJSで自動化サーバーレス(RPALT vol.1 LT)
Recently uploaded
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
CRI Japan, Inc.
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
sn679259
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
atsushi061452
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
Toru Tamaki
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
CRI Japan, Inc.
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
Toru Tamaki
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
WSO2
Recently uploaded
(10)
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
Security-JAWS #21 Well-ArchitectedなIAMポリシーに挑戦する(改) 〜最小権限の原則を実装ってどゆこと?〜
1.
Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~ おおたけ
2.
Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~ 自己紹介 名前:大竹孝昌 職歴:とある電気メーカー 業務歴:社製ft
ServerとかHAクラスタリングSWとか開発 ⇒ なんやかんやあってAWSJとのアライアンス業務 JAWS-UG歴:初心者支部の勉強会に3回くらい参加 ⇒ ご縁があって(?) Security-JAWS のコアメンバ 好きなAWSサービス:Amazon S3 SORACOM UG Tokyo https://www.facebook.com/soracomug/ Security-JAWS https://s-jaws.doorkeeper.jp/ コミュニティ放送部 https://community-bc.connpass.com/ 個人活動
3.
今日のお話 JAWS DAYS 2021
のハンズオン資料がベース ※ハンズオン資料:https://www.slideshare.net/TakamasaOhtake/jaws-days-2021-handson-wellarchitectediam セッション内容は下記の観点で再編集 ・最小権限の原則 って何? ・具体的な権限の絞り込み方 Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
4.
それでは『原理原則の理解』から。
5.
原理原則の理解 『最小権限の原則』を理解する https://aws.amazon.com/jp/architecture/well-architected/ Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
6.
原理原則の理解 『最小権限の原則』を理解する https://wa.aws.amazon.com/index.ja.html クリックすると、、、 Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改)
~最小権限の原則を実装ってどゆこと?~
7.
原理原則の理解 『最小権限の原則』を理解する ベストプラクティス 最小権限のアクセスを付与する: 特定の条件下で特定の AWS リソースに対する特定のアクションを行えるよ うにして、ID
に必要なアクセスのみを付与します。グループと ID 属性を利用 して、個々のユーザーのアクセス許可を定義するのではなく、規模に応じて アクセス許可を動的に設定します。たとえば、開発者のグループに、扱うプ ロジェクトのリソースのみを管理することを許可できます。これにより、開発 者がグループから削除されると、アクセスポリシーに変更を加えることなく、 そのグループがどこでアクセスコントロールに使用されたかを問わず、開発 者のアクセスが取り消されます。 Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
8.
原理原則の理解 『最小権限の原則』を理解する ベストプラクティス 最小権限のアクセスを付与する: 特定の条件下で特定の AWS リソースに対する特定のアクションを行えるようにして、ID
に必要なアクセスのみを付与します。グループ と ID 属性を利用して、個々のユーザーのアクセス許可を定義するのではなく、規模に応じてアクセス許可を動的に設定します。たとえ ば、開発者のグループに、扱うプロジェクトのリソースのみを管理することを許可できます。これにより、開発者がグループから削除さ れると、アクセスポリシーに変更を加えることなく、そのグループがどこでアクセスコントロールに使用されたかを問わず、開発者のアク セスが取り消されます。 改善計画 ・最小権限ポリシーを実装する: IAM グループおよびロールに最小権限のアクセスポリシーを割り当てて、定義したユーザーのロール または機能を反映します。 ・必要でないアクセス許可を削除する: 不要なアクセス許可を削除して、最小権限を実装します。 ・アクセス許可の境界を考慮する: アクセス許可の境界は、アイデンティティベースのポリシーが IAM エンティティに付与できるアクセス 許可の上限を設定する管理ポリシーを使用するための高度な機能です。エンティティのアクセス許可の境界では、アイデンティティベー スのポリシーとそのアクセス許可の境界の両方で許可されているアクションのみを実行できます。 ・アクセス許可のリソースタグを検討する: タグを使用して、タグ付けをサポートする AWS リソースへのアクセスを制御できます。また、 IAM ユーザーとロールにタグ付けして、ユーザーがアクセスできる内容を制御することもできます。 ベストプラクティスの具体的な解釈(考え方) ベストプラクティスを実現するための具体的な対応策 Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
9.
原理原則の理解 『最小権限の原則』を実装する 下記の3点を定義する必要あり 1) アクセス権限が必要となる条件 ⇒
役割(ロール) 2) 実行する具体的なアクション ⇒ API 3) 操作対象のAWSリソース ⇒ ARN(AWS Resource Name) あの 権限 その 権限 この 権限 『この人に与える権限は何?』 特定ユーザーに様々な権限が集まる ま ぜ る な 危 険 『この人が担う役割は何?』 ⇒ 『その役割に必要な権限は何?』 あの 権限 その 権限 この 権限 『役割』 状況で切り替え あの 役割 その 役割 この 役割 ロールごとに必要な権限を割り当てる まずはココの定義から ば ら し て 安 心 Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
10.
どうやって権限を絞り込むの?
11.
絞り込み例 その1 まずは役割(ロール)を定義 役割:EC2インスタンスの運用 1) AWS
Management Console にて、EC2やVPCなどサービスの状態や設定値を確認(目視) API:閲覧に関係するもの全般 ARN:特に制限なし Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
12.
絞り込み例 その1 役割:EC2インスタンスの運用 1) AWS
Management Console にて、EC2やVPCなどサービスの状態や設定値を確認(目視) API:閲覧に関係するもの全般 ⇒ ReadOnlyAccess ARN:特に制限なし IAM Policyの中身 { "Version": "2012-10-17", "Statement": [ { "Action": [ (略) "ec2:Describe*", "ec2:Get*", "ec2:SearchTransitGatewayRoutes", "ec2messages:Get*", (略) ], "Effect": "Allow", "Resource": "*" } ] } EC2の閲覧系全般 すべてのAWSリソース Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
13.
絞り込み例 その1 役割:EC2インスタンスの運用 1) AWS
Management Console にて、EC2やVPCなどサービスの状態や設定値を確認(目視) 2) EC2インスタンスの起動と停止(手動実行) API:閲覧に関係するもの全般 + EC2インスタンスの起動と停止 ⇒ ReadOnlyAccess + カスタムポリシー ARN:特に制限なし New 要追加 Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
14.
絞り込み例 その1 カスタムポリシーを作成する EC2インスタンスの起動と停止に 必要なアクションのみを指定する 最小権限の実装を阻む壁 (ぶっちゃけ面倒) Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改)
~最小権限の原則を実装ってどゆこと?~
15.
【朗報】 AWS CloudShell +
AWS CLI ↑ この組み合わせが超便利
16.
絞り込み例 その1 AWS CLI
を活用する 画面操作の洗い出し ・EC2インスタンスの起動 ・EC2インスタンスの停止 ↓ AWS CLI で再現 ・aws ec2 start-instances ・aws ec2 stop-instances ↓ IAMポリシーに反映 ・EC2 : StartInstances ・EC2 : StopInstances 命名規則は比較的シンプル (眺めて傾向をつかもう) https://awscli.amazonaws.com/v2/documentation/api/latest/index.html インスタンスの起動と停止 ・start-instances ・stop-instances 似てるので類推可能 Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
17.
絞り込み例 その1 AWS CLI
を活用する $ aws ec2 start-instances --instance-ids <インスタンスID> $ echo $? $ aws ec2 stop-instances --instance-ids <インスタンスID> $ echo $? EC2インスタンスの起動 EC2インスタンスの停止 Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
18.
絞り込み例 その1 カスタムポリシーを作成する(再挑戦) 2つだけ許可 Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改)
~最小権限の原則を実装ってどゆこと?~
19.
閑話休題
20.
ちょっと補足 AWS管理ポリシー ReadOnlyAccess は安全? IAM
Policyの中身 { "Version": "2012-10-17", "Statement": [ { "Action": [ (略) "ec2:Describe*", "ec2:Get*", "ec2:SearchTransitGatewayRoutes", "ec2messages:Get*", (略) ], "Effect": "Allow", "Resource": "*" } ] } 閲覧系全般 すべてのAWSリソース 必要が無いデータにもアクセス可能! ⇒ 情報漏洩のリスクと考えることができる AWS Well-Architected フレームワーク SEC 8: 保管時のデータをどのように保護していますか? ベストプラクティス 人をデータから遠ざけるメカニズムを使用する: 通常の運用状況で、すべてのユーザーが機密データおよびシス テムに直接アクセスできないようにします。たとえば、クエリを実 行するデータストアに直接アクセスする代わりにダッシュボードを 提供します。CI/CD パイプラインを使用しない場合は、通常無効 になっている特権アクセスメカニズムを適切に提供するために必 要な制御とプロセスを決定します。 Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
21.
ちょっと補足 厳密には最小権限のIAMポリシーとは『最も絞り込んだ権限』 例)許可:特定のEC2インスタンスの起動/停止のみ { "Version": "2012-10-17", "Statement": [ { "Sid":
"VisualEditor0", "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances" ], "Resource": "*" } ] } 【 改善ポイント】 AWSリソースはARNで明示すべし ピンポイントな操作は AWS CLI が捗るやつ! 【注意】 CloudWatch での監視やパフォーマンス分析など AWS ManagementConsole を利用した方が捗る ケースもあるので、使い方はよく吟味しよう。 ワイルドカードは要注意! Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
22.
それはそうと
23.
都度AWS CLIで再現するの面倒じゃね? (CloudFormationが絡むと心が折れそう)
24.
どうやって権限を絞り込むの? (特にCloudFormationを使うとき)
25.
とにかく楽なやり方がいい! ※必要は発明の母
26.
絞り込み例 その2 AWS CloudTrail
を活用する 画面操作=APIの実行 (画面の操作履歴=APIの実行履歴) ↓ 『どんなAPIを実行されたのか?』は イベント履歴から判明するのでは!? Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
27.
絞り込み例 その2 AWS CloudTrail
を活用する ■ AWS CLI を活用 画面操作の洗い出し ↓ AWS CLI で再現 ↓ IAMポリシーに反映 ■ AWS CloudTrail を活用 画面操作の洗い出し&実行 ↓ AWS CloudTrail から発掘 ↓ IAMポリシーに反映 Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
28.
絞り込み例 その2 AWS CloudTrail
を活用する お題:CloudFormationでEC2インスタンスをデプロイするのに必要な権限は何? Launch Stack Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
29.
【ご提案】 目印になりそうなもの※を仕込んでみては? ※便宜上『マーカーイベント』と呼びます
30.
絞り込み例 その2 抽出したいイベント(操作)の前後でマーカーイベントを仕込む! 何も考えず下記コマンドを3回連続で実行 $ aws
accessanalyzer list-analyzers このアイコンをクリック! AWS CloudShellを起動 (初回実行は起動完了まで少々待つ) 別に他のコマンドでも OKなんですけどね。 Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~ 気分は sync sync sync
31.
絞り込み例 その2 AWS CloudTrail
を活用する 何も考えず3回連続で実行したコマンド イベント名=ListAnalyzers $ aws accessanalyzer list-analyzers マーカーイベント 発掘したいイベント(API)はこの隙間に眠っている! Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
32.
絞り込み例 その2 AWS CloudTrail
を活用する Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
33.
絞り込み例 その2 AWS CloudTrail
を活用する マーカーイベント ユーザー名とイベントソースを眺めて 関連しそうなイベント(API)を発掘する Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
34.
絞り込み例 その2 AWS CloudTrail
を活用する イベントソースより AWS CloudShell のものと判断 → スタック作成とは無関係なので無視でOKなハズ(仮説) イベントソースよりEC2のものと判断 → IAMポリシーのビジュアルエディタで発見できず → 一旦無視していいんじゃね?(仮説) 仮説が正しいかどうかは 実際に試して確認すること! Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
35.
CloudTrailからイベント(API)を ちまちまピックアップすると?
36.
絞り込み例 その2 イベントソース イベント名 ec2.amazonaws.com AuthorizeSecurityGroupIngress CreateSecurityGroup CreateTags RunInstances cloudformation.amazonaws.com DescribeStackEvents DescribeStacks ListStacks CreateStack EC2-Management-Policy_CreateSecurityGroupSample { "Version":
"2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupIngress", "cloudformation:ListStacks", "cloudformation:DescribeStackEvents", "cloudformation:CreateStack", "ec2:CreateSecurityGroup", "ec2:CreateTags", "ec2:RunInstances", "cloudformation:DescribeStacks" ], "Resource": "*" } ] } ※AWS IAMのビジュアルエディタで作成した結果 Security-JAWS 21th Well-ArchitectedなIAMポリシーに挑戦する(改) ~最小権限の原則を実装ってどゆこと?~
37.
めでたし、めでたし。
38.
衝撃ニュースが!
39.
40.
次のセッションへ続く!
Download now