AWS Identity and Access

Management

AWS Identity and Access

ManagementISOBE Kazuhiko

(cloudpack)JAWS-UG北陸 2012-01-20

Powered by Rabbit 1.0.4 and COZMIXNG

提供

このLTはcloudpackの提供でお送りいたします

01 46

自己紹介

Twitter: muramasa64

cloudpackでAWSを運用好きなAWSサービス: API

02 46

IAMとは

AWSでアカウントを作成・管理する機能

2010年9月にリリース2011年5月に正式版へ

03 46

なぜIAMを使うのか

AWSアカウントはrootと同じ管理者以外が特定の作業をするときは権限を適切に設定するべき

IAMでアカウントと権限を管理

04 46

IAMでできることIAMアカウントを作成できるIAMアカウントを削除できるアカウント別に権限を付与できる権限は細かく指定することが可能

アカウントをグルーピングできるグループに権限を付与できる

05 46

IAMでできること

アクセスキーIDが使えるX.509証明書も使える自分で作成して登録する

06 46

IAMでできること

AWS Management Consoleも使える専用のサインインページがある

与えられた権限のみ有効な状態になる

07 46

IAMでできること

既存の認証システムを使ってAWS APIにアクセスできる(Identity Federation:ID統合)

08 46

ニュース

Identity FederationがAWS Management Consoleに対応しました(本日発表)今日はIdentity Federationの話はしません(すみません)

09 46

主なユースケース

アプリケーションで使う委託する

10 46

アプリケーションで使う

SimpleDBを使ったアプリSimpleDBのみ権限を付与

他のサービスは使えないようにできるので安全

11 46

アプリケーションで使う

ログをS3に書きだすアプリS3の特定バケットに書き込む権限のみ

書きこむだけでリストを見ることすらできなくできる

12 46

アプリケーションで使う

Snapshotを作ってバックアップするスクリプト

sudoで実行できるコマンドを制限するイメージ

13 46

委託する

運用会社にアカウントを渡すアカウントの管理以外の権限を付与する(PowerUser)

IAMも使えてしまうと権限をいじり放題なのでそこは外す

14 46

委託する

CloudWatchだけみたいCloudWatchのみ読み取り権限を付与する

AWS Management Console用にパスワードも設定する

15 46

IAMでできないこと

経理担当者に請求関連だけ見られるようにする残念ながら今はできません

16 46

作り方

　

17 46

ユーザ一覧

　

18 46

Create User

　

19 46

Create User

　

20 46

Permissionsタブ

　

21 46

ポリシーの追加

　

22 46

ポリシーの追加

　

23 46

Security Credentials

　

24 46

パスワード設定

25 46

パスワード設定

26 46

IAM用Sign In

27 46

IAMでログインしたときの表示

28 46

AWS Multi-Factor Authentication

AWS多要素認証 (MFA)通常のAWSアカウントとパスワードに加えて、利用者が物理的に所有している認証デバイスから有効な6桁の数字(ワンタイムパスワード)を使って認証する

29 46

認証デバイス

　

30 46

IAMアカウントでの設定

　

31 46

ハードデバイスの登録

32 46

デバイスを登録シリアルナンバーと、デバイスに表示される6桁の数字をふたつ入力する

33 46

シリアルナンバー

　

34 46

登録完了

　

35 46

MFAサインイン

36 46

敷居が高い？

デバイスを購入しないと使えない？スマートフォンを持っていれば使えます！

37 46

Google Authenticator

　

38 46

Google Authenticator

物理デバイスと同様に使える複数のアカウントを登録できるiOS, Android, Blackberryに対応

39 46

デバイスを登録

40 46

アプリの説明

41 46

QRコードが表示される

42 46

QRコードをスキャン

43 46

登録完了

44 46

まとめ

IAMを活用しましょうなんでもroot権限で実行しないのと同じ

アカウントをよりセキュアにしたければMFAを検討しましょう

45 46

　

ご静聴ありがとうございました

Powered by Rabbit 1.0.4 and COZMIXNG

46 46