挨拶
こんにちは,先日久しぶりの登壇でめちゃくちゃ早口になった白"雪姫"です。
皆様,セキュリティのこと二の次にしてませんか?
今日は,この登壇したときのお話しをしようと思います。
登壇資料
その時の登壇資料はこちら
登壇資料内で出てくる,実際にやってみた記事は、これ
本日の本題
IAM Roles Anywareについて語る 記事です。
IAM Roles Anywareとは?
AWSプリンシパルをAWS以外でも使用可能にするサービス
AWS IAMはグローバルサービスなのに対して、IAM Roles Anywareは、リージョナルサービス。
他のIAMと比較をしてみる
- ユーザは永続的かつ平文なので基本的に簡単にできるが、現在のAWSでは非推奨
- IICは、保守や開発でアクセスするときに利用するのに向いてるが、セッション時間がIICの設定に依存してしまう
- IAM Roles Anywareで行えば必要な分だけで済む
つまり、プリンシパルを外部から引き受けるのに、認証(最小権限のAssumeRole)すら不要になる!!
・・・・・のか・・・・?
では,権限について見てみましょう
権限設定について
- AssumeRole(アクセスキーIDとシークレットアクセス)で有れば,許可されたものと同義となる
- IICに設定されているSCPと許可セットで許可されたもののみが許可される
- IAMRolesAnywareでは,IICに設定の上に,IAMRolesAnywhareで付与したアクセスが付与される
つまり,本当に最小権限に限ったプリンシパルを設定できると理解してもらえればと思います。
登壇資料を交えてのお話し
ここまでの記載は,登壇の際に5分だったので語れなかったものの補足でした。
ここからは,先に紹介させて頂いた登壇資料と実施した内容なども交えて語らせて頂ければと思います。
実際にやってみて
これを5分でぎゅぎゅっと詰め込んで登壇をする・・・は私にはまだ無理だったorz
最低10分有れば説明できたなぁと思う反面やはり早口(もとい運営者様に巻きすぎと突っ込みを頂くくらいには)になってましたね。
まだまだ努力は必要ですね・・・!!
と思ってます。
それでは。