• Home

  • Internet

  • 03 責任分担セキュリティモデルとawsにおける認証(iam)
18
AWSセミナー AWSセキュリティ2017/06/22

03 責任分担セキュリティモデルとawsにおける認証(iam)

Embed Size (px)

Citation preview

Page 1: 03 責任分担セキュリティモデルとawsにおける認証(iam)

AWSセミナー(AWSセキュリティ)

2017/06/22

Page 2: 03 責任分担セキュリティモデルとawsにおける認証(iam)

自己紹介

名前:安仲専攻:基盘担当。网络、服务器、OS及中间件的运行维护、系统升级等工作。

AWS経歴最近1年开始进行AWS相关工作。

Page 3: 03 責任分担セキュリティモデルとawsにおける認証(iam)

セミナ説明

■授業目的

一起学习AWS、提高学习速度及质量。

■授業形式

基本理論説明+実戦

讲解20分钟然后又10分钟交流,1小时休息10分钟。

■授業日程 毎週土曜日の午後(17時30分から)

■入退会

免费

第二次参加开始入会

退会自由

Page 4: 03 責任分担セキュリティモデルとawsにおける認証(iam)

本章の目的

● AWSセキュリティの責任共有モデルを理解する

● AWSにおける認証(IAM)を理解する● 実戦:

IAM的用户、用户组、规则的做成和简单的策略设定

Page 5: 03 責任分担セキュリティモデルとawsにおける認証(iam)

目录

● 責任共有モデル

● IAM

● 実戦

Page 6: 03 責任分担セキュリティモデルとawsにおける認証(iam)

责任共担模式

云服务提供商 (AWS) 实施和操作的安全措施 –“云本身的安全”

客户实施和操作的安全措施,涉及客户内容及使用 AWS 服务的应用程序的安全 –“云内部的安全”

https://aws.amazon.com/cn/compliance/shared-responsibility-model/?nc1=h_ls

AWS 负责管理云本身的安全。云内部的安全则由客户负责。客户可以控制选择实施哪种安全措施来保护自己的内容、平台、应用程序、系统和网络,这与他们对现场数据中心内的应用程序所做的操作并无不同。

Page 7: 03 責任分担セキュリティモデルとawsにおける認証(iam)

责任共担模式

• Onpremise:オンプレミスとは、企業などが情報システムを自社で保有し、自社の設備において運用することである。• IaaSは「Infrastructure as a Service」の頭文字を取った略語で「イァース」と読みます。• PaaSは「Platform as a Service」の頭文字を取った略語で「パース」と読みます。• SaaSとは、「Software as a Service」の頭文字を取った略語で「サース」と読みます。

Page 8: 03 責任分担セキュリティモデルとawsにおける認証(iam)

サービス種類と責任範囲

AWSのサービスは、 いる

大きく3種類のサービス種別に分けられており、その種別に応じて責任範囲が異なって 。

● Infrastructure services(インフラ・サービス):EC2、EBS、Auto Scaling、VPCなど

● Container services(コンテナ・サービス):RDS、EMR、Elastic Beanstalkなど

● Abstracted services(抽象化されたサービス):S3、Glacier、DynamoDB、SQS、

SESなど

Page 9: 03 責任分担セキュリティモデルとawsにおける認証(iam)

Infrastructure servicesにおける共有責任モデル

● AWS管理

○ ファシリティ

○ ハードウェアの物理セキュリティ

○ ネットワークインフラ

○ 仮想化基盤

● EC2を例にした場合のカスタマー責任範囲

○ AMI

○ OS

○ アプリケーション

○ 送受信されるデータ

○ 保存データ

○ データストア

○ 認証情報

○ ポリシーや設定

Page 10: 03 責任分担セキュリティモデルとawsにおける認証(iam)

Container servicesにおける共有責任モデル

AWS管理

● OS

● ネットワーク設定

● アプリケーション管理

利用者の責任範囲

● ファイアウォール設定

● データや通信の暗号化

● 顧客のデータの管理

Page 11: 03 責任分担セキュリティモデルとawsにおける認証(iam)

Abstracted servicesにおける共有責任モデル

● AWS管理

○ ファシリティ

○ ハードウェアの物理セキュリティ

○ ネットワークインフラ

○ 仮想化基盤

○ 通信やサーバーサイド暗号化の機能的な責任担保

● 利用者の責任範囲

○ クライアントサイド暗号化

○ 顧客のデータの管理

Page 12: 03 責任分担セキュリティモデルとawsにおける認証(iam)

IAM

AWS Identity and Access Management (IAM) 使您能够安全地控制用户对 Amazon AWS 服务和资源的访问权限。您可以使用 IAM 创建和管理 AWS 用户和群组,并使用各种权限来允许或拒绝他们对 AWS 资源的访问。

日常操作尽量不要使用root用户,使用普通用户。

分配各IAM组或用户最小权限。

最严格的IAM策略优先使用,与顺序无关。

Page 13: 03 責任分担セキュリティモデルとawsにおける認証(iam)

IAM-使用方法

AWS服务访问方法及认证情报

操作方法 认证情报

控制台(浏览器) 用户名/密码

AWS CLI(命令行) 访问密钥(访问密钥 ID 和秘密访问密钥)

AWS SDK(程序) 访问密钥(访问密钥 ID 和秘密访问密钥)

Page 14: 03 責任分担セキュリティモデルとawsにおける認証(iam)

IAM-联合身份验证

经过外部身份验证的用户(联合身份验证)提供访问权限适用于使用频度低的用户

Page 15: 03 責任分担セキュリティモデルとawsにおける認証(iam)

実戦

● IAM组作成

● IAM用户作成

● Role作成

● 策略設定

Page 16: 03 責任分担セキュリティモデルとawsにおける認証(iam)

セキュリティ関連資料

AWS セキュリティのベストプラクティス

https://d0.awsstatic.com/International/ja_JP/Whitepapers/AWS_Security_Best_Pra

ctices.pdf

AWSのセキュリティが気になるなら読んでおくべきAWSセキュリティのベストプラクティ

http://yoshidashingo.hatenablog.com/entry/2014/08/24/211825

http://www.slideshare.net/c95029/awsshared-responsibility-model-16612378

https://d0.awsstatic.com/International/ja_JP/Whitepapers/AWS_Security_Best_Practices.pdf
https://d0.awsstatic.com/International/ja_JP/Whitepapers/AWS_Security_Best_Practices.pdf
http://yoshidashingo.hatenablog.com/entry/2014/08/24/211825
http://yoshidashingo.hatenablog.com/entry/2014/08/24/211825
http://yoshidashingo.hatenablog.com/entry/2014/08/24/211825
http://www.slideshare.net/c95029/awsshared-responsibility-model-16612378
Page 17: 03 責任分担セキュリティモデルとawsにおける認証(iam)

IAM(詳細)

http://www.slideshare.net/AmazonWebServicesJapa

n/20150617-aws-blackbeltiam?qid=869cd087-795c-

47d3-8c78-1b1a822bfc00&v=&b=&from_search=1

http://www.slideshare.net/AmazonWebServicesJapan/20150617-aws-blackbeltiam?qid=869cd087-795c-47d3-8c78-1b1a822bfc00&v&b&from_search=1
http://www.slideshare.net/AmazonWebServicesJapan/20150617-aws-blackbeltiam?qid=869cd087-795c-47d3-8c78-1b1a822bfc00&v&b&from_search=1
http://www.slideshare.net/AmazonWebServicesJapan/20150617-aws-blackbeltiam?qid=869cd087-795c-47d3-8c78-1b1a822bfc00&v&b&from_search=1
Page 18: 03 責任分担セキュリティモデルとawsにおける認証(iam)

谢谢大家!ご清聴ありがとうございました!


AWS CloudHSM Classic...AWS Identity and Access Management (IAM). Nous recommandons que tout le monde travaille en tant qu'utilisateur IAM, même le propriétaire du compte. Vous devez

AWS CloudHSM Classic...AWS Identity and Access Management (IAM). Nous recommandons que tout le monde travaille en tant qu'utilisateur IAM, même le propriétaire du compte. Vous devez

Documents
AWS for Windows - media.amazonwebservices.com · Amazon AppStream, AWS Marketplace, Mobile Services, SaaS AWS Identity and Access Management (IAM), AWS CloudHSM, AWS Key Management

AWS for Windows - media.amazonwebservices.com · Amazon AppStream, AWS Marketplace, Mobile Services, SaaS AWS Identity and Access Management (IAM), AWS CloudHSM, AWS Key Management

Documents
Introduzione ai servizi Amazon AWS: IAM, EC2 ed S3

Introduzione ai servizi Amazon AWS: IAM, EC2 ed S3

Documents
AWS SDK for SDK for .NET 開発者ガイド AWS Identity and Access Management (IAM) の例 91 IAM アカウントエイリアスの管理 92 IAM ユーザーの管理

AWS SDK for SDK for .NET 開発者ガイド AWS Identity and Access Management (IAM) の例 91 IAM アカウントエイリアスの管理 92 IAM ユーザーの管理

Documents
IAMでまもれ僕らのAWS(JAWS-UG 初心者支部)

IAMでまもれ僕らのAWS(JAWS-UG 初心者支部)

Technology
Aula10 Iam

Aula10 Iam

Documents
Prospetto IAM

Prospetto IAM

Documents
AWS Black Belt Techシリーズ AWS IAM

AWS Black Belt Techシリーズ AWS IAM

Technology
20120201 aws meister-reloaded-iam-and-billing-public

20120201 aws meister-reloaded-iam-and-billing-public

Documents
AWS Black Belt Online Seminar AWS Identity and Access Management (AWS IAM)

AWS Black Belt Online Seminar AWS Identity and Access Management (AWS IAM)

Technology
Authentification et autorisation d'accès avec AWS IAM

Authentification et autorisation d'accès avec AWS IAM

Technology
AWS ParallelCluster - AWS ParallelCluster User Guide · 2020-06-12 · AWS ParallelCluster AWS ParallelCluster User Guide What Is AWS ParallelCluster AWS ParallelCluster is an AWS-supported

AWS ParallelCluster - AWS ParallelCluster User Guide · 2020-06-12 · AWS ParallelCluster AWS ParallelCluster User Guide What Is AWS ParallelCluster AWS ParallelCluster is an AWS-supported

Documents
2016 AWS Summit TPE - Hiiir 如何透過 AWS IAM 做好雲端權限控管

2016 AWS Summit TPE - Hiiir 如何透過 AWS IAM 做好雲端權限控管

Technology
Prácticas recomendadas de AWS Key Management Service€¦ · La segunda declaración en esta política le proporciona a la entidad principal de IAM específica la posibilidad de

Prácticas recomendadas de AWS Key Management Service€¦ · La segunda declaración en esta política le proporciona a la entidad principal de IAM específica la posibilidad de

Documents
ASUR AV2 DIPARTIMENTO DI PREVENZIONE PAP… · 1960 Nicotera, IAM = 7,2 1965 Montegiorgio, IAM = 5,6 1991 Nicotera, IAM = 2,2, Montegiorgio, IAM = 3,9 2009 Italia, IAM 1,44 Dieta

ASUR AV2 DIPARTIMENTO DI PREVENZIONE PAP… · 1960 Nicotera, IAM = 7,2 1965 Montegiorgio, IAM = 5,6 1991 Nicotera, IAM = 2,2, Montegiorgio, IAM = 3,9 2009 Italia, IAM 1,44 Dieta

Documents
AWS IAM: Mejores prácticas - 2016 AWS Summit Buenos Aires

AWS IAM: Mejores prácticas - 2016 AWS Summit Buenos Aires

Technology
Amazon Web Services · AWS IAM モニタリング Amazon CloudWatch Web管理画面 Management Console デプロイと自動化 AWS Elastic Beanstalk AWS Cloud Formation AWS OpsWorks

Amazon Web Services · AWS IAM モニタリング Amazon CloudWatch Web管理画面 Management Console デプロイと自動化 AWS Elastic Beanstalk AWS Cloud Formation AWS OpsWorks

Documents
Approach to Establish Hybrid Cloud Services - · PDF fileAmazon RDS DynamoDB Amazon IAM CloudWatch AWS CloudFormation Amazon SQS Amazon SES Amazon CloudFront Amazon EC2 Geographical

Approach to Establish Hybrid Cloud Services - · PDF fileAmazon RDS DynamoDB Amazon IAM CloudWatch AWS CloudFormation Amazon SQS Amazon SES Amazon CloudFront Amazon EC2 Geographical

Documents
Introduzione ai servizi Amazon AWS: IAM, EC2ed S3wpage.unina.it/rcanonic/didattica/dcn/lucidi/DCN-L10-c-Cloud-AWS-EC2.pdf · AWS will use commercially reasonable efforts to make Amazon

Introduzione ai servizi Amazon AWS: IAM, EC2ed S3wpage.unina.it/rcanonic/didattica/dcn/lucidi/DCN-L10-c-Cloud-AWS-EC2.pdf · AWS will use commercially reasonable efforts to make Amazon

Documents
IAM Broschüre

IAM Broschüre

Documents
AWS IAM -- Notes of 20130403 Doc Version

AWS IAM -- Notes of 20130403 Doc Version

Technology
IAM PERIOPERATORIO

IAM PERIOPERATORIO

Health & Medicine
Java용 AWS SDK 버전 2 - 개발자 안내서 · Java용 AWS SDK 버전 2 개발자 안내서 AWS에 가입 및 IAM 사용자 생성 AWS SDK for Java 2.0 시작하기 이 단원에서는

Java용 AWS SDK 버전 2 - 개발자 안내서 · Java용 AWS SDK 버전 2 개발자 안내서 AWS에 가입 및 IAM 사용자 생성 AWS SDK for Java 2.0 시작하기 이 단원에서는

Documents
Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service, AWS Secrets Manager, Amazon Cognito, AWS Single Sign- On (SSO), AWS Organizations,

Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service, AWS Secrets Manager, Amazon Cognito, AWS Single Sign- On (SSO), AWS Organizations,

Documents
Security on AWS - resources.trendmicro.com IAM Amazon CloudWatch AWS CloudTrail AWS Config AWS CloudFormation AWS Trusted Advisor

Security on AWS - resources.trendmicro.com IAM Amazon CloudWatch AWS CloudTrail AWS Config AWS CloudFormation AWS Trusted Advisor

Documents
Blockchain on AWS · 2017-10-11 · 2017.6.1, AWS Dev Day Tokyo 2017 Blockchain on AWS ... AWS CloudHSM AWS IAM CloudFormation AWS WAF Amazon Redshift Amazon EMR Amazon Athena Amazon

Blockchain on AWS · 2017-10-11 · 2017.6.1, AWS Dev Day Tokyo 2017 Blockchain on AWS ... AWS CloudHSM AWS IAM CloudFormation AWS WAF Amazon Redshift Amazon EMR Amazon Athena Amazon

Documents
Notification Service Amazon Simple · 2020-04-17 · Amazon Simple Notification Service 개발자 안내서 1단계: AWS 계정 및 IAM 관리자 사용자 생성 Amazon SNS용 액세스

Notification Service Amazon Simple · 2020-04-17 · Amazon Simple Notification Service 개발자 안내서 1단계: AWS 계정 및 IAM 관리자 사용자 생성 Amazon SNS용 액세스

Documents
IAM & Consolidated Billing -ほぼ週刊AWSマイスターシリーズ第4回

IAM & Consolidated Billing -ほぼ週刊AWSマイスターシリーズ第4回

Technology
Introduzione ai servizi Amazon AWS: IAM, EC2ed S3wpage.unina.it/.../lucidi/DCN-L07-a-Cloud-AWS-EC2.pdf · Cloud e Datacenter Networking Università degli Studi di Napoli Federico

Introduzione ai servizi Amazon AWS: IAM, EC2ed S3wpage.unina.it/.../lucidi/DCN-L07-a-Cloud-AWS-EC2.pdf · Cloud e Datacenter Networking Università degli Studi di Napoli Federico

Documents
AWS Summit Bogotá Track Avanzado: Mejores Prácticas de Seguridad para IAM (Identity and Access Management)

AWS Summit Bogotá Track Avanzado: Mejores Prácticas de Seguridad para IAM (Identity and Access Management)

Technology