jaws-ug北陸 #2 aws identity and access management
DESCRIPTION
JAWS-UG北陸 勉強会 #2で発表。TRANSCRIPT
AWS Identity and Access
Management
AWS Identity and Access
ManagementISOBE Kazuhiko
(cloudpack)JAWS-UG北陸 2012-01-20
Powered by Rabbit 1.0.4 and COZMIXNG
提供
このLTはcloudpackの提供でお送りいたします
01 46
自己紹介
Twitter: muramasa64
cloudpackでAWSを運用好きなAWSサービス: API
02 46
IAMとは
AWSでアカウントを作成・管理する機能
2010年9月にリリース2011年5月に正式版へ
03 46
なぜIAMを使うのか
AWSアカウントはrootと同じ管理者以外が特定の作業をするときは権限を適切に設定するべき
IAMでアカウントと権限を管理
04 46
IAMでできることIAMアカウントを作成できるIAMアカウントを削除できるアカウント別に権限を付与できる権限は細かく指定することが可能
アカウントをグルーピングできるグループに権限を付与できる
05 46
IAMでできること
アクセスキーIDが使えるX.509証明書も使える自分で作成して登録する
06 46
IAMでできること
AWS Management Consoleも使える専用のサインインページがある
与えられた権限のみ有効な状態になる
07 46
IAMでできること
既存の認証システムを使ってAWS APIにアクセスできる(Identity Federation:ID統合)
08 46
ニュース
Identity FederationがAWS Management Consoleに対応しました(本日発表)今日はIdentity Federationの話はしません(すみません)
09 46
主なユースケース
アプリケーションで使う委託する
10 46
アプリケーションで使う
SimpleDBを使ったアプリSimpleDBのみ権限を付与
他のサービスは使えないようにできるので安全
11 46
アプリケーションで使う
ログをS3に書きだすアプリS3の特定バケットに書き込む権限のみ
書きこむだけでリストを見ることすらできなくできる
12 46
アプリケーションで使う
Snapshotを作ってバックアップするスクリプト
sudoで実行できるコマンドを制限するイメージ
13 46
委託する
運用会社にアカウントを渡すアカウントの管理以外の権限を付与する(PowerUser)
IAMも使えてしまうと権限をいじり放題なのでそこは外す
14 46
委託する
CloudWatchだけみたいCloudWatchのみ読み取り権限を付与する
AWS Management Console用にパスワードも設定する
15 46
IAMでできないこと
経理担当者に請求関連だけ見られるようにする残念ながら今はできません
16 46
作り方
17 46
ユーザ一覧
18 46
Create User
19 46
Create User
20 46
Permissionsタブ
21 46
ポリシーの追加
22 46
ポリシーの追加
23 46
Security Credentials
24 46
パスワード設定
25 46
パスワード設定
26 46
IAM用Sign In
27 46
IAMでログインしたときの表示
28 46
AWS Multi-Factor Authentication
AWS多要素認証 (MFA)通常のAWSアカウントとパスワードに加えて、利用者が物理的に所有している認証デバイスから有効な6桁の数字(ワンタイムパスワード)を使って認証する
29 46
認証デバイス
30 46
IAMアカウントでの設定
31 46
ハードデバイスの登録
32 46
デバイスを登録シリアルナンバーと、デバイスに表示される6桁の数字をふたつ入力する
33 46
シリアルナンバー
34 46
登録完了
35 46
MFAサインイン
36 46
敷居が高い?
デバイスを購入しないと使えない?スマートフォンを持っていれば使えます!
37 46
Google Authenticator
38 46
Google Authenticator
物理デバイスと同様に使える複数のアカウントを登録できるiOS, Android, Blackberryに対応
39 46
デバイスを登録
40 46
アプリの説明
41 46
QRコードが表示される
42 46
QRコードをスキャン
43 46
登録完了
44 46
まとめ
IAMを活用しましょうなんでもroot権限で実行しないのと同じ
アカウントをよりセキュアにしたければMFAを検討しましょう
45 46
ご静聴ありがとうございました
Powered by Rabbit 1.0.4 and COZMIXNG
46 46