s u m m i t · 2020-08-03 · aws managed ad deep dive: aws re:invent 2018: microsoft active...

S U M M I TT O K Y O

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

AWS アイデンティティサービス : クラウドジャーニーをセキュアに進めるために

Quint Van DemanBusiness Development Manager, AWS Identity (@AWSIdentity)Amazon Web Services

H 3 - 0 1

S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

アイデンティティ – 本セッションでの定義

ID管理 アクセス管理 リソース管理

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

具体的には…

アマゾン ウェブ サービス(AWS)

インフラストラクチャ

アプリケーション

開発者

オペレータ

ユーザー

AWSコマンドラインインターフェイス(AWS CLI)

S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

おそらく最初にでてくる質問

• いくつの AWS アカウントが必要か?

• 自分の AWS アカウントをどのように統制するか?

• これらのアカウントへどのようにアクセスを与えるか?

• ユーザーがこれらのアカウントでどのような権限を持つのか?

• どのようにして自分の AWS リソースを整理し、使いわけしつづけるのか?

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

AWS アイデンティティサービス

AWS Organizations

アプリケーション

インフラストラクチャ

AWSプラットフォーム

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

AWS Organizations

AWS サービス/リソース/リージョンへのアクセスの

統制

複数の AWS アカウントに対する一元管理サービス

AWSアカウントを横断するサービスの構成

AWS アカウントの作成と管理の自動化

複数のAWSアカウントの請求を統合

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

基本的なこと: AWS アカウント

AWS アカウントとは一体何か?

• AWS リソースをまとめる一つの容器

• 以下のための明確な 分離境界 :• 管理

• ネットワークアクセス

• 権限管理/リソース共有

必要とするAWS アカウントをいくつも所持可能（制限の範囲内で）

1つのアカウントをマスターアカウントとして指定し、その他を メンバーアカウント とすることが可能

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

複数のAWSアカウントには何が必要か？

AWSによる提言、解決策、およびサービス

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

AWS Organizations: 複数のAWSアカウントの統制

AWS Organizationsサービスコントロールポリシー

サービスコントロールポリシー

us-east-1us-west-2

ap-south-1

AWS Account

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

AWS Organizations: 複数のAWSアカウントの管理

AWS Artifact AWS CloudTrail Amazon CloudWatch AWS Config AWS Directory Service

AWS Firewall Manager AWS License Manager AWS Resource Access Manager

AWS Service Catalog AWS Single Sign-On

AWS サービス群はAWS Organizationsにネィティブに統合されている

More coming!

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

Next: アカウントアクセス

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

AWS Identity Services

AWS Organizations AWS Single Sign-On

アプリケーション

インフラストラクチャ

AWSプラットフォーム

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

Introducing AWS Single Sign-On (SSO)

複数のAWSアカウントやビジネスアプリケーションへのシングルサインオン（SSO)アクセスを一元管理

複数のAWSアカウントへのアクセスを一元

管理

簡単に始められる既存またはクラウドネイティブのIDの選択し

て利用

ビジネスアプリケーションへのSSOを提供

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

AWS SSO: アクセス権限セットの定義

Master account

Member acct 1 Member acct N

AWS Organizations からアカウントのリストと構造を取得

AWSの標準的な構文やツールを用いてアクセス権限セットを定義

定義とポリシーはメンバーアカウントに自動的に展開され、維持されます

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

AWS SSO: アクセス権限セットのアサイン

Master account

ユーザ or グループ

の選択

必要なアクセス権限セットを選択

単一のAWSアカウント、OU、または組織全体へアクセス権を付与

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

AWS SSO: ユーザーエクスペリエンス

エンドユーザー認証

付与されたアクセス権限セット の指定

AWSコンソールおよびCLI/APIの選択

他のビジネスアプリケーションのアクセス

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

ユーザーにどのような権限を与えますか？

最小権限の実現は旅路、

出発点にしない

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

AWS Identity Services

AWS Organizations AWS Identity and Access Management (IAM)

AWS Single Sign-On

アプリケーション

インフラストラクチャ

AWSプラットフォーム

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

AWS Identity and Access Management（IAM)の紹介

AWSのサービスとリソースへのアクセスを安全に管理する

AWS APIへの認証認可

ポリシーベースの権限を指定

アクションとリソースに対するきめ細やかなアクセス制御を提供

人間や機械、アプリケーションに一時的なクレデンシャルを提供

S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

IAMポリシーの基本

PARC model:

• Principal –誰が？

• Action – どのようなことを？

• Resource –何に？

• Condition – どのような条件で

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:AttachVolume", "ec2:DetachVolume" ], "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": {

"StringEquals": {"ec2:ResourceTag/Department": "Development“

} }

} ]}

P

S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

属性ベースのアクセス制御 (ABAC)

“Principalのタグが条件にマッチした場合は、リソースへのアクセスを許可、それ以外は拒否”

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:AttachVolume", "ec2:DetachVolume" ], "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": {

"StringEquals": {"ec2:ResourceTag/Department": "Development“

} }

} ]}

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:AttachVolume", "ec2:DetachVolume" ], "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": {

"StringEquals": {"ec2:ResourceTag/Department": “${aws:PrincipalTag/Department}“

} }

} ]}

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

参考情報

IAM 基本の理解: IAMポリシーの理解:

AWS re:Invent 2018: A Practitioner's Guide to Securing Your Cloud (Like an

Expert) (SEC203-R1)

AWS re:Invent 2018: Become an IAM Policy Master in 60 Minutes

or Less (SEC316-R1)

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

AWS Account

AWS Account

AWS IAM への SAML フェデレーション

AWS Account

SAMLフェデレーションを使ったAWS マネジメントコンソール,

API, CLIアクセス

セルフペースワークショップのコンテンツ

SSOと同じ目的で利用でき、より細かい単位で制御が可能

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

どの方法を選択するか？

たくさんのAWSアカウントにある大量のユーザを、大量のロールでアクセス管理したいですか？

注：2019/06現在の機能をもとにしたフロー

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

クラウドビルダー：いつでも開発できます！

AWS Account

VPC

Amazon RDS

Amazon EC2

Application

“コントロールプレーン” – AWS API

(作成, 終了など)

BuilderOperator

DBA

“データプレーン” – VPC コネクション(SSH, RDP, Database クライアントなど)

S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

おそらく最初にでてくる質問

• OSに接続をするユーザをどのように集中的に認証するか？

• どのユーザをどのインスタンスへ正しく接続させるか

• リレーショナルデータベースへのアクセス制御をどう管理するか

• サービスアカウント(非インタラクティブなユーザ)をどう管理していくか

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

AWS アイデンティティサービス

AWS Organizations AWS Directory ServiceAWS Identity and Access Management (IAM)

AWS Single Sign-On

アプリケーション

インフラストラクチャ

AWSプラットフォーム

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

AWS Directory Services

AWS クラウド内のマネージド型 Microsoft Active Directory

ディレクトリサービスに依存するワークロードをマネージドサービスを活用して容易

に移行

ID情報を同期することなく基盤管理アクセスを

提供

他のAWSサービスやアプリケーションと統合された Microsoft Active Directory を利用

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

AWSでの Active Directory 利用方法

AWS CloudCorporate data center

Active Directory AWS Managed AD

Users & Groups

LDAP,Kerberos,Referrals

Trust

Option 1:信頼関係を構成されたAWS Managed AD

Option 2: AD Connector による接続

AWS CloudCorporate data center

Active Directory AD Connector

Users & Groups

LDAP,Kerberos

Service Princ

Option 3: AWS Managed ADスタンドアロン利用

AWS Cloud

AWS Managed ADUsers & Groups

Option X:上記の組み合わせ

Option 4:レプリケーションされたEC2上のAD

AWS CloudCorporate data center

Active Directory

Self managed ADUsers & Groups

Replication

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

AWS上の Active Directory を活用

AWS CloudCorporate data center

Active Directory AWS Managed AD

Users & Groups

LDAP,Kerberos,Referrals

Trust

Amazon EC2(Windows/Linux)

Amazon RDS for SQL Server

Amazon WorkSpaces

Amazon Chime Amazon WorkDocs Amazon WorkMail

Amazon QuickSight Amazon Connect

Amazon FSx

VPC AWS Managed Applications

Windows

アプリケーション

管理用アクセス

エンドユーザアクセス

ドメイン参加

プロビジョニング

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

どの方法を選択するか？

EC2への管理者アクセス

RDS SQL Serverへの管理者アクセス

AWSマネージドサービスへのユーザアクセス

Amazon FSx

EC2上のアプリケーションへのユーザアクセス

Managed AD : 双方向の信頼

Managed AD : 一方向の信頼

AD Connector

AWS Managed AD (スタンドアロン)

EC2上のAD (自己管理）

AWSにADを拡張させる方法を正しく選択する

2019/06現在：選択の際はドキュメントで最新情報の確認を

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

参考情報

AWS Managed AD deep dive:

AWS re:Invent 2018: Microsoft Active Directory Deep Dive (WIN303-R1)

S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

おそらく最初にでてくる質問

• 自分のマシンやサービスに認証を提供するには？

• AWS APIへの接続を安全にするには？

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

AWSコンピュートサービスのための IAMロール

AWS認証情報の自動配信とローテート

一時的な認証情報を自動取得し利用

ロールに紐づいたポリシーでアクセス制御

コード

OS

EC2 インスタンス

AWS resources

AWS Lambda や Amazon Elastic Container Service (Amazon ECS)でも同様に動作

Permissions

Role

一時的なセキュリティクレデンシャル

AWS SDKs

Amazon DynamoDB

Amazon Kinesis

Amazon Simple Storage Service (S3)

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

アプリケーション：準備完了！

AWS Account

VPC

Amazon RDS

Amazon EC2

Application リソースアクセス:リレーショナルデータベース

Builder

Operator

DBA

API アクセス:AWSサービス

Amazon Simple Storage Service (S3)

AWS Secrets Manager

End user

S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

おそらく最初にでてくる質問

• アプリケーションにサインアップ機能、サインイン機能をどのように追加できますか？

• OIDCやSAMLのような標準方式への対応はどのように追加できますか？

• ビジネスアプリケーションへのアクセスを制御するために、どうしたらいいですか？

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

AWS アイデンティティサービス

AWS Organizations AWS Directory ServiceAWS Identity and Access Management (IAM)

Amazon CognitoAWS Single Sign-On

アプリケーション

インフラストラクチャ

AWSプラットフォーム

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

Amazon Cognito

Webアプリ、モバイルアプリのためのシンプルでセキュアな、サインナップ、サインイン、およびアクセスコントロール

識別されていない

ID情報の負担を軽減

高度なセキュリティを

アプリケーションとユーザに提供

標準化された認証方法の使用

既存、またはクラウドネイティブのIDを選択して利用

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

Amazon Cognito: フレキシブルでフルマネージドな認証

拡張性のある認証&認可

AWS Lambda

Amazon ALB

Amazon API Gateway

アプリケーションのためのビルトイン UI

SPAWebAndroidiOS

オープンスタンダートへの対応

SAML OAuth2 OIDC

フレキシブルでスケーラブルなAPI & SDK サポート

AWS SDKs

IonicVue

AngularNode JS React

iOS Android

MFA漏洩したパスワードのデータベース

セキュア & 可用性

Adaptive Auth

99.9% SLA

Google Facebook Amazon

ソーシャルフェデレーションへの対応

Amazon Cognito

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

Amazon Cognito

AWS認証情報の取得

AWSサービスへのアクセス

認証 1リダイレクト/ ポストバック

サーバレスバックエンドへ接続

Federating

IdP

IdP Token

CUP TokenCUP Token

CUP Token

AWS STS

AWS STS

ユーザプールトークンを利用してバックエンドのリソースへアクセス

IDプールはAWSサービスにアクセスするためのAWS認証情報を提供

ユーザプールはユーザを認証してトークンを返す

2

3

4

56

Amazon Cognito

Amazon API Gateway AWS Lambda

Amazon Cognito

Amazon DynamoDB Amazon Simple Storage Service (S3)

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

参考情報

サーバレスな認証と認可セッション

サーバレスな認証と認可ワークショップ

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

先走りせずに再検討する パート1

AWS CloudCorporate data center

Active Directory AWS Managed AD

LDAP,Kerberos,Referrals

TrustVPC

SAML対応アプリケーション

エンドユーザアクセス

AWS Single Sign-On

SAML対応アプリケーション

Internet

SaaS

アプリケーション

AWS SSO

ユーザポータル

AWS SSO: ビジネスアプリケーションへのエンドユーザアクセス

Users & Groups

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

先走りせずに再検討する パート２

AWS CloudCorporate data center

Active Directory AWS Managed AD

Users & Groups

LDAP,Kerberos,Referrals

Trust

Amazon EC2(Windows/Linux)

Amazon WorkSpaces

Amazon Chime Amazon WorkDocs Amazon WorkMail

Amazon QuickSight Amazon Connect

VPC AWS Managed Applications

WindowsApplication

エンドユーザアクセス

AWS Directory Services: Windowsアプリケーション、AWSマネージドアプリケーションへのエンドユーザアクセス

S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

AWS アイデンティティサービス

AWS Organizations AWS Directory ServiceAWS Identity and Access Management (IAM)

Amazon CognitoAWS Single Sign-On

アプリケーションやAPIのためのID、アクセス管理

AWS クラウド内のマネージド型Microsoft

Active Directory

AWSリソースへのきめ細かいアク

セス制御

シングルサインオン(SSO)によるAWSマルチアカウント環境、ビジネスアプリケーションへの接続管理

AWSマルチアカウント環境への統制と管理

アプリケーション

インフラストラクチャ

AWSプラットフォーム

Thank you!

S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

Quint Van Deman@AWSIdentity on TwitterFind me on LinkedIn

S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

お手元のサミットガイドブックの表紙、受講票にも記載している『QRコード』 からご回答ください。

もれなく素敵なAWSオリジナルグッズ＆アイスをプレゼントします。

本セッションのFeedbackをお願いします

プレゼントの引き換えは、EXPOエリア内アンケートコーナー・出口付近のいずれかにお越しください。

涼感マフラータオル（巾着入り）