Embed Size (px)
Citation preview
S U M M I TT O K Y O
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS アイデンティティサービス : クラウドジャーニーをセキュアに進めるために
Quint Van DemanBusiness Development Manager, AWS Identity (@AWSIdentity)Amazon Web Services
H 3 - 0 1
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
アイデンティティ – 本セッションでの定義
ID管理 アクセス管理 リソース管理
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
具体的には…
アマゾン ウェブ サービス(AWS)
インフラストラクチャ
アプリケーション
開発者
オペレータ
ユーザー
AWSコマンドラインインターフェイス(AWS CLI)
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
おそらく最初にでてくる質問
• いくつの AWS アカウントが必要か?
• 自分の AWS アカウントをどのように統制するか?
• これらのアカウントへどのようにアクセスを与えるか?
• ユーザーがこれらのアカウントでどのような権限を持つのか?
• どのようにして自分の AWS リソースを整理し、使いわけしつづけるのか?
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS アイデンティティサービス
AWS Organizations
アプリケーション
インフラストラクチャ
AWSプラットフォーム
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS Organizations
AWS サービス/リソース/リージョンへのアクセスの
統制
複数の AWS アカウントに対する一元管理サービス
AWSアカウントを横断するサービスの構成
AWS アカウントの作成と管理の自動化
複数のAWSアカウントの請求を統合
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
基本的なこと: AWS アカウント
AWS アカウントとは一体何か?
• AWS リソースをまとめる一つの容器
• 以下のための明確な 分離境界 :• 管理
• ネットワークアクセス
• 権限管理/リソース共有
必要とするAWS アカウントをいくつも所持可能(制限の範囲内で)
1つのアカウントをマスターアカウントとして指定し、その他を メンバーアカウント とすることが可能
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
複数のAWSアカウントには何が必要か?
AWSによる提言、解決策、およびサービス
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS Organizations: 複数のAWSアカウントの統制
AWS Organizationsサービスコントロールポリシー
サービスコントロールポリシー
us-east-1us-west-2
ap-south-1
AWS Account
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS Organizations: 複数のAWSアカウントの管理
AWS Artifact AWS CloudTrail Amazon CloudWatch AWS Config AWS Directory Service
AWS Firewall Manager AWS License Manager AWS Resource Access Manager
AWS Service Catalog AWS Single Sign-On
AWS サービス群はAWS Organizationsにネィティブに統合されている
More coming!
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Next: アカウントアクセス
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS Identity Services
AWS Organizations AWS Single Sign-On
アプリケーション
インフラストラクチャ
AWSプラットフォーム
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Introducing AWS Single Sign-On (SSO)
複数のAWSアカウントやビジネスアプリケーションへのシングルサインオン(SSO)アクセスを一元管理
複数のAWSアカウントへのアクセスを一元
管理
簡単に始められる既存またはクラウドネイティブのIDの選択し
て利用
ビジネスアプリケーションへのSSOを提供
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS SSO: アクセス権限セットの定義
Master account
Member acct 1 Member acct N
AWS Organizations からアカウントのリストと構造を取得
AWSの標準的な構文やツールを用いてアクセス権限セットを定義
定義とポリシーはメンバーアカウントに自動的に展開され、維持されます
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS SSO: アクセス権限セットのアサイン
Master account
ユーザ or グループ
の選択
必要なアクセス権限セットを選択
単一のAWSアカウント、OU、または組織全体へアクセス権を付与
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS SSO: ユーザーエクスペリエンス
エンドユーザー認証
付与されたアクセス権限セット の指定
AWSコンソールおよびCLI/APIの選択
他のビジネスアプリケーションのアクセス
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
ユーザーにどのような権限を与えますか?
最小権限の実現は旅路、
出発点にしない
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS Identity Services
AWS Organizations AWS Identity and Access Management (IAM)
AWS Single Sign-On
アプリケーション
インフラストラクチャ
AWSプラットフォーム
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS Identity and Access Management(IAM)の紹介
AWSのサービスとリソースへのアクセスを安全に管理する
AWS APIへの認証認可
ポリシーベースの権限を指定
アクションとリソースに対するきめ細やかなアクセス制御を提供
人間や機械、アプリケーションに一時的なクレデンシャルを提供
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
IAMポリシーの基本
PARC model:
• Principal –誰が?
• Action – どのようなことを?
• Resource –何に?
• Condition – どのような条件で
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:AttachVolume", "ec2:DetachVolume" ], "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": {
"StringEquals": {"ec2:ResourceTag/Department": "Development“
} }
} ]}
P
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
属性ベースのアクセス制御 (ABAC)
“Principalのタグが条件にマッチした場合は、リソースへのアクセスを許可、それ以外は拒否”
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:AttachVolume", "ec2:DetachVolume" ], "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": {
"StringEquals": {"ec2:ResourceTag/Department": "Development“
} }
} ]}
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:AttachVolume", "ec2:DetachVolume" ], "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": {
"StringEquals": {"ec2:ResourceTag/Department": “${aws:PrincipalTag/Department}“
} }
} ]}
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
参考情報
IAM 基本の理解: IAMポリシーの理解:
AWS re:Invent 2018: A Practitioner's Guide to Securing Your Cloud (Like an
Expert) (SEC203-R1)
AWS re:Invent 2018: Become an IAM Policy Master in 60 Minutes
or Less (SEC316-R1)
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS Account
AWS Account
AWS IAM への SAML フェデレーション
AWS Account
SAMLフェデレーションを使ったAWS マネジメントコンソール,
API, CLIアクセス
セルフペースワークショップのコンテンツ
SSOと同じ目的で利用でき、より細かい単位で制御が可能
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
どの方法を選択するか?
たくさんのAWSアカウントにある大量のユーザを、大量のロールでアクセス管理したいですか?
注:2019/06現在の機能をもとにしたフロー
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
クラウドビルダー:いつでも開発できます!
AWS Account
VPC
Amazon RDS
Amazon EC2
Application
“コントロールプレーン” – AWS API
(作成, 終了など)
BuilderOperator
DBA
“データプレーン” – VPC コネクション(SSH, RDP, Database クライアントなど)
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
おそらく最初にでてくる質問
• OSに接続をするユーザをどのように集中的に認証するか?
• どのユーザをどのインスタンスへ正しく接続させるか
• リレーショナルデータベースへのアクセス制御をどう管理するか
• サービスアカウント(非インタラクティブなユーザ)をどう管理していくか
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS アイデンティティサービス
AWS Organizations AWS Directory ServiceAWS Identity and Access Management (IAM)
AWS Single Sign-On
アプリケーション
インフラストラクチャ
AWSプラットフォーム
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS Directory Services
AWS クラウド内のマネージド型 Microsoft Active Directory
ディレクトリサービスに依存するワークロードをマネージドサービスを活用して容易
に移行
ID情報を同期することなく基盤管理アクセスを
提供
他のAWSサービスやアプリケーションと統合された Microsoft Active Directory を利用
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWSでの Active Directory 利用方法
AWS CloudCorporate data center
Active Directory AWS Managed AD
Users & Groups
LDAP,Kerberos,Referrals
Trust
Option 1:信頼関係を構成されたAWS Managed AD
Option 2: AD Connector による接続
AWS CloudCorporate data center
Active Directory AD Connector
Users & Groups
LDAP,Kerberos
Service Princ
Option 3: AWS Managed ADスタンドアロン利用
AWS Cloud
AWS Managed ADUsers & Groups
Option X:上記の組み合わせ
Option 4:レプリケーションされたEC2上のAD
AWS CloudCorporate data center
Active Directory
Self managed ADUsers & Groups
Replication
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS上の Active Directory を活用
AWS CloudCorporate data center
Active Directory AWS Managed AD
Users & Groups
LDAP,Kerberos,Referrals
Trust
Amazon EC2(Windows/Linux)
Amazon RDS for SQL Server
Amazon WorkSpaces
Amazon Chime Amazon WorkDocs Amazon WorkMail
Amazon QuickSight Amazon Connect
Amazon FSx
VPC AWS Managed Applications
Windows
アプリケーション
管理用アクセス
エンドユーザアクセス
ドメイン参加
プロビジョニング
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
どの方法を選択するか?
EC2への管理者アクセス
RDS SQL Serverへの管理者アクセス
AWSマネージドサービスへのユーザアクセス
Amazon FSx
EC2上のアプリケーションへのユーザアクセス
Managed AD : 双方向の信頼
Managed AD : 一方向の信頼
AD Connector
AWS Managed AD (スタンドアロン)
EC2上のAD (自己管理)
AWSにADを拡張させる方法を正しく選択する
2019/06現在:選択の際はドキュメントで最新情報の確認を
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
参考情報
AWS Managed AD deep dive:
AWS re:Invent 2018: Microsoft Active Directory Deep Dive (WIN303-R1)
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
おそらく最初にでてくる質問
• 自分のマシンやサービスに認証を提供するには?
• AWS APIへの接続を安全にするには?
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWSコンピュートサービスのための IAMロール
AWS認証情報の自動配信とローテート
一時的な認証情報を自動取得し利用
ロールに紐づいたポリシーでアクセス制御
コード
OS
EC2 インスタンス
AWS resources
AWS Lambda や Amazon Elastic Container Service (Amazon ECS)でも同様に動作
Permissions
Role
一時的なセキュリティクレデンシャル
AWS SDKs
Amazon DynamoDB
Amazon Kinesis
Amazon Simple Storage Service (S3)
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
アプリケーション:準備完了!
AWS Account
VPC
Amazon RDS
Amazon EC2
Application リソースアクセス:リレーショナルデータベース
Builder
Operator
DBA
API アクセス:AWSサービス
Amazon Simple Storage Service (S3)
AWS Secrets Manager
End user
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
おそらく最初にでてくる質問
• アプリケーションにサインアップ機能、サインイン機能をどのように追加できますか?
• OIDCやSAMLのような標準方式への対応はどのように追加できますか?
• ビジネスアプリケーションへのアクセスを制御するために、どうしたらいいですか?
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS アイデンティティサービス
AWS Organizations AWS Directory ServiceAWS Identity and Access Management (IAM)
Amazon CognitoAWS Single Sign-On
アプリケーション
インフラストラクチャ
AWSプラットフォーム
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Amazon Cognito
Webアプリ、モバイルアプリのためのシンプルでセキュアな、サインナップ、サインイン、およびアクセスコントロール
識別されていない
ID情報の負担を軽減
高度なセキュリティを
アプリケーションとユーザに提供
標準化された認証方法の使用
既存、またはクラウドネイティブのIDを選択して利用
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Amazon Cognito: フレキシブルでフルマネージドな認証
拡張性のある認証&認可
AWS Lambda
Amazon ALB
Amazon API Gateway
アプリケーションのためのビルトイン UI
SPAWebAndroidiOS
オープンスタンダートへの対応
SAML OAuth2 OIDC
フレキシブルでスケーラブルなAPI & SDK サポート
AWS SDKs
IonicVue
AngularNode JS React
iOS Android
MFA漏洩したパスワードのデータベース
セキュア & 可用性
Adaptive Auth
99.9% SLA
Google Facebook Amazon
ソーシャルフェデレーションへの対応
Amazon Cognito
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Amazon Cognito
AWS認証情報の取得
AWSサービスへのアクセス
認証 1リダイレクト/ ポストバック
サーバレスバックエンドへ接続
Federating
IdP
IdP Token
CUP TokenCUP Token
CUP Token
AWS STS
AWS STS
ユーザプールトークンを利用してバックエンドのリソースへアクセス
IDプールはAWSサービスにアクセスするためのAWS認証情報を提供
ユーザプールはユーザを認証してトークンを返す
2
3
4
56
Amazon Cognito
Amazon API Gateway AWS Lambda
Amazon Cognito
Amazon DynamoDB Amazon Simple Storage Service (S3)
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
参考情報
サーバレスな認証と認可セッション
サーバレスな認証と認可ワークショップ
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
先走りせずに再検討する パート1
AWS CloudCorporate data center
Active Directory AWS Managed AD
LDAP,Kerberos,Referrals
TrustVPC
SAML対応アプリケーション
エンドユーザアクセス
AWS Single Sign-On
SAML対応アプリケーション
Internet
SaaS
アプリケーション
AWS SSO
ユーザポータル
AWS SSO: ビジネスアプリケーションへのエンドユーザアクセス
Users & Groups
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
先走りせずに再検討する パート2
AWS CloudCorporate data center
Active Directory AWS Managed AD
Users & Groups
LDAP,Kerberos,Referrals
Trust
Amazon EC2(Windows/Linux)
Amazon WorkSpaces
Amazon Chime Amazon WorkDocs Amazon WorkMail
Amazon QuickSight Amazon Connect
VPC AWS Managed Applications
WindowsApplication
エンドユーザアクセス
AWS Directory Services: Windowsアプリケーション、AWSマネージドアプリケーションへのエンドユーザアクセス
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS アイデンティティサービス
AWS Organizations AWS Directory ServiceAWS Identity and Access Management (IAM)
Amazon CognitoAWS Single Sign-On
アプリケーションやAPIのためのID、アクセス管理
AWS クラウド内のマネージド型Microsoft
Active Directory
AWSリソースへのきめ細かいアク
セス制御
シングルサインオン(SSO)によるAWSマルチアカウント環境、ビジネスアプリケーションへの接続管理
AWSマルチアカウント環境への統制と管理
アプリケーション
インフラストラクチャ
AWSプラットフォーム
Thank you!
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Quint Van Deman@AWSIdentity on TwitterFind me on LinkedIn
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
お手元のサミットガイドブックの表紙、受講票にも記載している『QRコード』 からご回答ください。
もれなく素敵なAWSオリジナルグッズ&アイスをプレゼントします。
本セッションのFeedbackをお願いします
プレゼントの引き換えは、EXPOエリア内アンケートコーナー・出口付近のいずれかにお越しください。
涼感マフラータオル(巾着入り)
![[2017 AWS Startup Day] AWS 비용 최대 90% 절감하기: 스팟 인스턴스 Deep-Dive](https://img.pdfslide.tips/doc/110x75/5a661a097f8b9a214f8b54dd/2017-aws-startup-day-aws-90-.jpg)
