Submit Search
Upload
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AWS IAM) Part2
•
51 likes
•
43,930 views
Amazon Web Services Japan
Follow
AWS公式オンラインセミナー: https://amzn.to/JPWebinar 過去資料: https://amzn.to/JPArchive
Read less
Read more
Technology
Report
Share
Report
Share
1 of 63
Recommended
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
Amazon Web Services Japan
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)
Amazon Web Services Japan
20210119 AWS Black Belt Online Seminar AWS CloudTrail
20210119 AWS Black Belt Online Seminar AWS CloudTrail
Amazon Web Services Japan
20201118 AWS Black Belt Online Seminar 形で考えるサーバーレス設計 サーバーレスユースケースパターン解説
20201118 AWS Black Belt Online Seminar 形で考えるサーバーレス設計 サーバーレスユースケースパターン解説
Amazon Web Services Japan
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
Amazon Web Services Japan
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
Amazon Web Services Japan
20190320 AWS Black Belt Online Seminar Amazon EBS
20190320 AWS Black Belt Online Seminar Amazon EBS
Amazon Web Services Japan
20200212 AWS Black Belt Online Seminar AWS Systems Manager
20200212 AWS Black Belt Online Seminar AWS Systems Manager
Amazon Web Services Japan
Recommended
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
Amazon Web Services Japan
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)
Amazon Web Services Japan
20210119 AWS Black Belt Online Seminar AWS CloudTrail
20210119 AWS Black Belt Online Seminar AWS CloudTrail
Amazon Web Services Japan
20201118 AWS Black Belt Online Seminar 形で考えるサーバーレス設計 サーバーレスユースケースパターン解説
20201118 AWS Black Belt Online Seminar 形で考えるサーバーレス設計 サーバーレスユースケースパターン解説
Amazon Web Services Japan
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
Amazon Web Services Japan
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
Amazon Web Services Japan
20190320 AWS Black Belt Online Seminar Amazon EBS
20190320 AWS Black Belt Online Seminar Amazon EBS
Amazon Web Services Japan
20200212 AWS Black Belt Online Seminar AWS Systems Manager
20200212 AWS Black Belt Online Seminar AWS Systems Manager
Amazon Web Services Japan
20191023 AWS Black Belt Online Seminar Amazon EMR
20191023 AWS Black Belt Online Seminar Amazon EMR
Amazon Web Services Japan
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
Amazon Web Services Japan
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
Amazon Web Services Japan
20190226 AWS Black Belt Online Seminar Amazon WorkSpaces
20190226 AWS Black Belt Online Seminar Amazon WorkSpaces
Amazon Web Services Japan
AWS Black Belt Online Seminar AWS Key Management Service (KMS)
AWS Black Belt Online Seminar AWS Key Management Service (KMS)
Amazon Web Services Japan
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
Amazon Web Services Japan
20190522 AWS Black Belt Online Seminar AWS Step Functions
20190522 AWS Black Belt Online Seminar AWS Step Functions
Amazon Web Services Japan
AWS Black Belt Online Seminar 2017 AWS Storage Gateway
AWS Black Belt Online Seminar 2017 AWS Storage Gateway
Amazon Web Services Japan
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本
Amazon Web Services Japan
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
Amazon Web Services Japan
20191002 AWS Black Belt Online Seminar Amazon EC2 Auto Scaling and AWS Auto S...
20191002 AWS Black Belt Online Seminar Amazon EC2 Auto Scaling and AWS Auto S...
Amazon Web Services Japan
20190911 AWS Black Belt Online Seminar AWS Batch
20190911 AWS Black Belt Online Seminar AWS Batch
Amazon Web Services Japan
AWS Black Belt Online Seminar 2017 AWS Shield
AWS Black Belt Online Seminar 2017 AWS Shield
Amazon Web Services Japan
20180704(20190520 Renewed) AWS Black Belt Online Seminar Amazon Elastic File ...
20180704(20190520 Renewed) AWS Black Belt Online Seminar Amazon Elastic File ...
Amazon Web Services Japan
20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...
20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...
Amazon Web Services Japan
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
Amazon Web Services Japan
AWS Black Belt Online Seminar 2017 AWS Elastic Beanstalk
AWS Black Belt Online Seminar 2017 AWS Elastic Beanstalk
Amazon Web Services Japan
20210126 AWS Black Belt Online Seminar AWS CodeDeploy
20210126 AWS Black Belt Online Seminar AWS CodeDeploy
Amazon Web Services Japan
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
Amazon Web Services Japan
20190319 AWS Black Belt Online Seminar Amazon FSx for Windows Server
20190319 AWS Black Belt Online Seminar Amazon FSx for Windows Server
Amazon Web Services Japan
AWS Well-Architected Security とベストプラクティス
AWS Well-Architected Security とベストプラクティス
Amazon Web Services Japan
20191125 Container Security
20191125 Container Security
Amazon Web Services Japan
More Related Content
What's hot
20191023 AWS Black Belt Online Seminar Amazon EMR
20191023 AWS Black Belt Online Seminar Amazon EMR
Amazon Web Services Japan
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
Amazon Web Services Japan
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
Amazon Web Services Japan
20190226 AWS Black Belt Online Seminar Amazon WorkSpaces
20190226 AWS Black Belt Online Seminar Amazon WorkSpaces
Amazon Web Services Japan
AWS Black Belt Online Seminar AWS Key Management Service (KMS)
AWS Black Belt Online Seminar AWS Key Management Service (KMS)
Amazon Web Services Japan
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
Amazon Web Services Japan
20190522 AWS Black Belt Online Seminar AWS Step Functions
20190522 AWS Black Belt Online Seminar AWS Step Functions
Amazon Web Services Japan
AWS Black Belt Online Seminar 2017 AWS Storage Gateway
AWS Black Belt Online Seminar 2017 AWS Storage Gateway
Amazon Web Services Japan
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本
Amazon Web Services Japan
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
Amazon Web Services Japan
20191002 AWS Black Belt Online Seminar Amazon EC2 Auto Scaling and AWS Auto S...
20191002 AWS Black Belt Online Seminar Amazon EC2 Auto Scaling and AWS Auto S...
Amazon Web Services Japan
20190911 AWS Black Belt Online Seminar AWS Batch
20190911 AWS Black Belt Online Seminar AWS Batch
Amazon Web Services Japan
AWS Black Belt Online Seminar 2017 AWS Shield
AWS Black Belt Online Seminar 2017 AWS Shield
Amazon Web Services Japan
20180704(20190520 Renewed) AWS Black Belt Online Seminar Amazon Elastic File ...
20180704(20190520 Renewed) AWS Black Belt Online Seminar Amazon Elastic File ...
Amazon Web Services Japan
20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...
20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...
Amazon Web Services Japan
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
Amazon Web Services Japan
AWS Black Belt Online Seminar 2017 AWS Elastic Beanstalk
AWS Black Belt Online Seminar 2017 AWS Elastic Beanstalk
Amazon Web Services Japan
20210126 AWS Black Belt Online Seminar AWS CodeDeploy
20210126 AWS Black Belt Online Seminar AWS CodeDeploy
Amazon Web Services Japan
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
Amazon Web Services Japan
20190319 AWS Black Belt Online Seminar Amazon FSx for Windows Server
20190319 AWS Black Belt Online Seminar Amazon FSx for Windows Server
Amazon Web Services Japan
What's hot
(20)
20191023 AWS Black Belt Online Seminar Amazon EMR
20191023 AWS Black Belt Online Seminar Amazon EMR
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
20190226 AWS Black Belt Online Seminar Amazon WorkSpaces
20190226 AWS Black Belt Online Seminar Amazon WorkSpaces
AWS Black Belt Online Seminar AWS Key Management Service (KMS)
AWS Black Belt Online Seminar AWS Key Management Service (KMS)
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
20190522 AWS Black Belt Online Seminar AWS Step Functions
20190522 AWS Black Belt Online Seminar AWS Step Functions
AWS Black Belt Online Seminar 2017 AWS Storage Gateway
AWS Black Belt Online Seminar 2017 AWS Storage Gateway
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20191002 AWS Black Belt Online Seminar Amazon EC2 Auto Scaling and AWS Auto S...
20191002 AWS Black Belt Online Seminar Amazon EC2 Auto Scaling and AWS Auto S...
20190911 AWS Black Belt Online Seminar AWS Batch
20190911 AWS Black Belt Online Seminar AWS Batch
AWS Black Belt Online Seminar 2017 AWS Shield
AWS Black Belt Online Seminar 2017 AWS Shield
20180704(20190520 Renewed) AWS Black Belt Online Seminar Amazon Elastic File ...
20180704(20190520 Renewed) AWS Black Belt Online Seminar Amazon Elastic File ...
20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...
20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
AWS Black Belt Online Seminar 2017 AWS Elastic Beanstalk
AWS Black Belt Online Seminar 2017 AWS Elastic Beanstalk
20210126 AWS Black Belt Online Seminar AWS CodeDeploy
20210126 AWS Black Belt Online Seminar AWS CodeDeploy
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
20190319 AWS Black Belt Online Seminar Amazon FSx for Windows Server
20190319 AWS Black Belt Online Seminar Amazon FSx for Windows Server
Similar to 20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AWS IAM) Part2
AWS Well-Architected Security とベストプラクティス
AWS Well-Architected Security とベストプラクティス
Amazon Web Services Japan
20191125 Container Security
20191125 Container Security
Amazon Web Services Japan
AWS_reInforce_2022_reCap_Ja.pdf
AWS_reInforce_2022_reCap_Ja.pdf
Hayato Kiriyama
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
Amazon Web Services Japan
Serverless Application Security on AWS
Serverless Application Security on AWS
Amazon Web Services Japan
20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon Cognito
Amazon Web Services Japan
セキュリティ設計の頻出論点
セキュリティ設計の頻出論点
Tomohiro Nakashima
いまさら聞けない Amazon EC2
いまさら聞けない Amazon EC2
Yasuhiro Matsuo
Management & Governance on AWS こんなこともできます
Management & Governance on AWS こんなこともできます
Amazon Web Services Japan
IAM & Consolidated Billing -ほぼ週刊AWSマイスターシリーズ第4回
IAM & Consolidated Billing -ほぼ週刊AWSマイスターシリーズ第4回
SORACOM, INC
AlexaのSmart HomeをAWSで作る方法
AlexaのSmart HomeをAWSで作る方法
Jun Ichikawa
Security Operations and Automation on AWS
Security Operations and Automation on AWS
Noritaka Sekiyama
AWS におけるモニタリングとセキュリティの基本について - "毎日のAWSのための監視、運用、セキュリティ最適化セミナー" -
AWS におけるモニタリングとセキュリティの基本について - "毎日のAWSのための監視、運用、セキュリティ最適化セミナー" -
Takanori Ohba
[JAWS Days 2020] AWS Well-Architected フレームワークのご紹介
[JAWS Days 2020] AWS Well-Architected フレームワークのご紹介
Takanori Ohba
[AWSマイスターシリーズ]Identity and Access Management (IAM)
[AWSマイスターシリーズ]Identity and Access Management (IAM)
Amazon Web Services Japan
Day 1 with Amazon Web Services - AWSご利用開始時に最低限おさえておきたい10のこと
Day 1 with Amazon Web Services - AWSご利用開始時に最低限おさえておきたい10のこと
Amazon Web Services Japan
AWS Black Belt Online Seminar 2018 AWS Well-Architected Framework
AWS Black Belt Online Seminar 2018 AWS Well-Architected Framework
Amazon Web Services Japan
202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用
202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用
Amazon Web Services Japan
[AWSマイスターシリーズ] Amazon CloudFront / Amazon Elastic Transcoderによるコンテンツ配信
[AWSマイスターシリーズ] Amazon CloudFront / Amazon Elastic Transcoderによるコンテンツ配信
Amazon Web Services Japan
AWS Black Belt Online Seminar 2018 ReInvent recap security other
AWS Black Belt Online Seminar 2018 ReInvent recap security other
Amazon Web Services Japan
Similar to 20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AWS IAM) Part2
(20)
AWS Well-Architected Security とベストプラクティス
AWS Well-Architected Security とベストプラクティス
20191125 Container Security
20191125 Container Security
AWS_reInforce_2022_reCap_Ja.pdf
AWS_reInforce_2022_reCap_Ja.pdf
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
Serverless Application Security on AWS
Serverless Application Security on AWS
20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon Cognito
セキュリティ設計の頻出論点
セキュリティ設計の頻出論点
いまさら聞けない Amazon EC2
いまさら聞けない Amazon EC2
Management & Governance on AWS こんなこともできます
Management & Governance on AWS こんなこともできます
IAM & Consolidated Billing -ほぼ週刊AWSマイスターシリーズ第4回
IAM & Consolidated Billing -ほぼ週刊AWSマイスターシリーズ第4回
AlexaのSmart HomeをAWSで作る方法
AlexaのSmart HomeをAWSで作る方法
Security Operations and Automation on AWS
Security Operations and Automation on AWS
AWS におけるモニタリングとセキュリティの基本について - "毎日のAWSのための監視、運用、セキュリティ最適化セミナー" -
AWS におけるモニタリングとセキュリティの基本について - "毎日のAWSのための監視、運用、セキュリティ最適化セミナー" -
[JAWS Days 2020] AWS Well-Architected フレームワークのご紹介
[JAWS Days 2020] AWS Well-Architected フレームワークのご紹介
[AWSマイスターシリーズ]Identity and Access Management (IAM)
[AWSマイスターシリーズ]Identity and Access Management (IAM)
Day 1 with Amazon Web Services - AWSご利用開始時に最低限おさえておきたい10のこと
Day 1 with Amazon Web Services - AWSご利用開始時に最低限おさえておきたい10のこと
AWS Black Belt Online Seminar 2018 AWS Well-Architected Framework
AWS Black Belt Online Seminar 2018 AWS Well-Architected Framework
202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用
202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用
[AWSマイスターシリーズ] Amazon CloudFront / Amazon Elastic Transcoderによるコンテンツ配信
[AWSマイスターシリーズ] Amazon CloudFront / Amazon Elastic Transcoderによるコンテンツ配信
AWS Black Belt Online Seminar 2018 ReInvent recap security other
AWS Black Belt Online Seminar 2018 ReInvent recap security other
More from Amazon Web Services Japan
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
Amazon Web Services Japan
202205 AWS Black Belt Online Seminar Amazon FSx for OpenZFS
202205 AWS Black Belt Online Seminar Amazon FSx for OpenZFS
Amazon Web Services Japan
202204 AWS Black Belt Online Seminar AWS IoT Device Defender
202204 AWS Black Belt Online Seminar AWS IoT Device Defender
Amazon Web Services Japan
Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022
Amazon Web Services Japan
202204 AWS Black Belt Online Seminar Amazon Connect を活用したオンコール対応の実現
202204 AWS Black Belt Online Seminar Amazon Connect を活用したオンコール対応の実現
Amazon Web Services Japan
202204 AWS Black Belt Online Seminar Amazon Connect Salesforce連携(第1回 CTI Adap...
202204 AWS Black Belt Online Seminar Amazon Connect Salesforce連携(第1回 CTI Adap...
Amazon Web Services Japan
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
Amazon Web Services Japan
20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと
Amazon Web Services Japan
202203 AWS Black Belt Online Seminar Amazon Connect Tasks.pdf
202203 AWS Black Belt Online Seminar Amazon Connect Tasks.pdf
Amazon Web Services Japan
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
Amazon Web Services Japan
Amazon QuickSight の組み込み方法をちょっぴりDD
Amazon QuickSight の組み込み方法をちょっぴりDD
Amazon Web Services Japan
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのこと
Amazon Web Services Japan
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
Amazon Web Services Japan
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
Amazon Web Services Japan
202202 AWS Black Belt Online Seminar Amazon Connect Customer Profiles
202202 AWS Black Belt Online Seminar Amazon Connect Customer Profiles
Amazon Web Services Japan
Amazon Game Tech Night #24 KPIダッシュボードを最速で用意するために
Amazon Game Tech Night #24 KPIダッシュボードを最速で用意するために
Amazon Web Services Japan
202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨
202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨
Amazon Web Services Japan
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
Amazon Web Services Japan
202111 AWS Black Belt Online Seminar AWSで構築するSmart Mirrorのご紹介
202111 AWS Black Belt Online Seminar AWSで構築するSmart Mirrorのご紹介
Amazon Web Services Japan
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
Amazon Web Services Japan
More from Amazon Web Services Japan
(20)
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
202205 AWS Black Belt Online Seminar Amazon FSx for OpenZFS
202205 AWS Black Belt Online Seminar Amazon FSx for OpenZFS
202204 AWS Black Belt Online Seminar AWS IoT Device Defender
202204 AWS Black Belt Online Seminar AWS IoT Device Defender
Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022
202204 AWS Black Belt Online Seminar Amazon Connect を活用したオンコール対応の実現
202204 AWS Black Belt Online Seminar Amazon Connect を活用したオンコール対応の実現
202204 AWS Black Belt Online Seminar Amazon Connect Salesforce連携(第1回 CTI Adap...
202204 AWS Black Belt Online Seminar Amazon Connect Salesforce連携(第1回 CTI Adap...
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと
202203 AWS Black Belt Online Seminar Amazon Connect Tasks.pdf
202203 AWS Black Belt Online Seminar Amazon Connect Tasks.pdf
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
Amazon QuickSight の組み込み方法をちょっぴりDD
Amazon QuickSight の組み込み方法をちょっぴりDD
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのこと
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
202202 AWS Black Belt Online Seminar Amazon Connect Customer Profiles
202202 AWS Black Belt Online Seminar Amazon Connect Customer Profiles
Amazon Game Tech Night #24 KPIダッシュボードを最速で用意するために
Amazon Game Tech Night #24 KPIダッシュボードを最速で用意するために
202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨
202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
202111 AWS Black Belt Online Seminar AWSで構築するSmart Mirrorのご紹介
202111 AWS Black Belt Online Seminar AWSで構築するSmart Mirrorのご紹介
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
Recently uploaded
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
sugiuralab
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
Toru Tamaki
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Daniel
danielhu54
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
Ryo Sasaki
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
Toru Tamaki
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Yuma Ohgami
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
Toru Tamaki
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
taisei2219
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
iPride Co., Ltd.
Recently uploaded
(9)
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Daniel
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AWS IAM) Part2
1.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark© 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark AWS 公式 Webinar https://amzn.to/JPWebinar 過去資料 https://amzn.to/JPArchive Sr. Manager, Solutions Architect 瀧澤 与一 2019/1/30 AWS Identity and Access Management (AWS IAM) ~ベストプラクティスで学ぶAWSの認証・認可~ Part2 [AWS Black Belt Online Seminar]
2.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark 自己紹介 瀧澤 与一 技術統括本部 レディネス&テックソリューション本部 本部長 / プリンシパルソリューション アーキテクト 普段の業務 お客様のクラウドジャーニーを技術的にサポート 好きなAWSサービス AWS Identity and Access Management (IAM) Amazon EC2, AWS Well-Architected, Amazon GuardDuty など
3.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark AWS Black Belt Online Seminar とは 「サービス別」「ソリューション別」「業種別」のそれぞれのテーマに分かれて、アマゾ ン ウェブ サービス ジャパン株式会社が主催するオンラインセミナーシリーズです。 質問を投げることができます! • 書き込んだ質問は、主催者にしか見えません • 今後のロードマップに関するご質問は お答えできませんのでご了承下さい Twitter ハッシュタグは以下をご利用ください #awsblackbelt ① 吹き出しをクリック ② 質問を入力 ③ Sendをクリック
4.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark 内容についての注意点 • 本資料では2019年1月30日時点のサービス内容および価格についてご説明しています。最新の情 報はAWS公式ウェブサイト(http://aws.amazon.com)にてご確認ください。 • 資料作成には十分注意しておりますが、資料内の価格とAWS公式ウェブサイト記載の価格に相 違があった場合、AWS公式ウェブサイトの価格を優先とさせていただきます。 • 価格は税抜表記となっています。日本居住者のお客様が東京リージョンを使用する場合、別途消 費税をご請求させていただきます。 • AWS does not offer binding price quotes. AWS pricing is publicly available and is subject to change in accordance with the AWS Customer Agreement available at http://aws.amazon.com/agreement/. Any pricing information included in this document is provided only as an estimate of usage charges for AWS services based on certain information that you have provided. Monthly charges will be based on your actual use of AWS services, and may vary from the estimates provided.
5.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark AWS IAMのベストプラクティス IDと認証情報の管理 アクセス権限の管理 権限の委任 IDと権限のライフ サイクル管理 AWSアカウントのルートユーザーアクセスキーをロックする 個々のIAMユーザーを作成 ユーザーの強力なパスワードポリシーを設定 アクセスキーを共有しない 特権ユーザーに対してMFAを有効化する AWS管理ポリシーを使用したアクセス許可の使用開始 インラインポリシーではなくカスタマー管理ポリシーを使用する 追加セキュリティに対するポリシー条件を使用する 最小権限を付与する IAMユーザーへのアクセス許可を割り当てるためにグループを使用する Amazon EC2インスタンスで実行するアプリケーションに対し、ロールを使 用する ロールを使用したアクセス許可の委任 AWSアカウントのアクティビティの監視 アクセスレベルを使用して、IAM権限を確認する 不要な認証情報を削除する 認証情報を定期的にローテーションする https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/best-practices.html
6.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark AWS IAMのベストプラクティス IDと認証情報の管理 アクセス権限の管理 権限の委任 IDと権限のライフ サイクル管理 AWSアカウントのルートユーザーアクセスキーをロックする 個々のIAMユーザーを作成 ユーザーの強力なパスワードポリシーを設定 アクセスキーを共有しない 特権ユーザーに対してMFAを有効化する AWS管理ポリシーを使用したアクセス許可の使用開始 インラインポリシーではなくカスタマー管理ポリシーを使用する 追加セキュリティに対するポリシー条件を使用する 最小権限を付与する IAMユーザーへのアクセス許可を割り当てるためにグループを使用する Amazon EC2インスタンスで実行するアプリケーションに対し、ロールを使 用する ロールを使用したアクセス許可の委任 AWSアカウントのアクティビティの監視 アクセスレベルを使用して、IAM権限を確認する 不要な認証情報を削除する 認証情報を定期的にローテーションする https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/best-practices.html Part 1 Part 2 (本日お話する範囲)
7.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark 本日のアジェンダ • AWS IAMの概要 • 権限の委任 • IDと権限のライフサイクル管理 • IAM Tips • まとめ
8.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark© 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark AWS IAMの概要
9.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark AWS Identity and Access Management (IAM)とは • AWSリソースをセキュアに操作するために、認証・認可の仕組みを提供するマ ネージドサービス • 各AWSリソースに対して別々のアクセス権限をユーザー毎に付与できる • 多要素認証(Multi-Factor Authentication : MFA)によるセキュリティの強化 • 一時的な認証トークンを用いた権限の委任 • 他のIDプロバイダーで認証されたユーザーにAWSリソースへの一時的なアクセス • 世界中のAWSリージョンで同じアイデンティティと権限を利用可能 • データ変更は結果整合性を保ちながら全リージョンに伝搬 • AWS IAM自体の利用は無料 9
10.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark AWSリソースにアクセスするしくみ 認証 リクエスト 認可 アクション/オペ レーション AWSリソースプリンシパル ユーザー (またはグループ) ロール (assumed, delegated, federated, service- linked) アプリケーション AWS STS MFA token Authentication IDベースポリシー アクション リソース プリンシパル 環境データ リソースデータ リソースベース ポリシー その他ポリシー (permission boundary, service control policy, access control list) Permissions Bucket with objects Permissions Endpoints Instances RunInstances StartInstances StopInstances CreateVpcEndpoint ・・・ CreateUser DeleatUser GetUser CreatePolicy AttachRolePolicy ・・・ CreateBucket ListBucket GetObject DeleteObject ・・・ ・・・ ・・・ 10
11.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark© 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark 権限の委任 Amazon EC2インスタンスで実行するアプリケーション に対し、ロールを使用する ロールを使用したアクセス許可の委任
12.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark IAMロール • AWSサービスやアプリケーション等のエンティティに対してAWSリソースの操作 権限を付与するための仕組み • ユーザーまたはアプリケーションがロールを一時的に“引き受ける”ことで関連付けられ たアクセス許可を受けることができる • IAMユーザーやグループには紐付かない • 認証方法 • 一時的なセキュリティ認証情報を利用 • 複数のユーザーがロールを引き受け可能 - 別のAWSアカウントのIAMユーザー, ロール等 - Amazon EC2、AWS Lambda等のAWSサービス - SAML2.0またはOpenID Connect (OIDC) と互換性があるIDプロバイダーによって認証さ れた外部ユーザー
13.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark 一時的なセキュリティ認証情報 • 有効期限付きのアクセスキーID/シークレットアク セスキー/セキュリティトークンで構成 • 短期的な有効期限 (認証情報を取得する際に 期限を設定) • 認証情報が不要になった時にローテーショ ンしたり明示的に取り消す必要がない (ユー ザー側に認証情報が保存されない)のでより 安全 • ユーザーのリクエストによってAWS Security Token Service (STS) が動的に作成 Session アクセスキーID シークレットアクセスキー 有効期限 セッショントークン
14.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark AWS Security Token Service (STS) • 一時的なセキュリティ認証情報を生成するサービス • 期限付きのアクセスキー/シークレットアクセスキー/セッション トークン • トークンのタイプにより有効期限は様々 • 発行した認証情報の期限の変更は不可 • 必要がある場合は、特定の時点より前に発行したロールの認証情報の、すべて のアクセス許可をすぐに取り消し可能。 • STSエンドポイントは全リージョンで使用可能 • デフォルトではグローバルサービスとして利用 • 各リージョンのSTSエンドポイントでアクティベート可能 • レイテンシーの低減 • 冗長化の構築 • PrivateLinkに対応 (オレゴンリージョンのみ*) • アクティベートしたリージョンでCloudTrailを有効化 *2019年1月29日時点
15.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark 一時的なセキュリティ認証情報を取得するためのAPI STSで利用できるAPI Action 概要 AssumeRole 既存のIAMユーザーの認証情報を用いて、IAM Roleの temporary security credentialsを取得するためのアクション AssumeRoleWithWebIdentity AmazonやFacebook、Googleによる承認情報を使用してロー ルを引き受け、temporary security credentialsを取得するた めのアクション AssumeRoleWithSAML IdPによる認証とSAMLのアサーションをAWSにポストするこ とでロールを引き受けtemporary security credentialsを取得 するためのアクション GetSessionToken 自身で利用するIAMユーザーのtemporary security credentialsを取得するためのアクション GetFederationToken 認証を受けたFederatedユーザーのtemporary security credentialsを取得するためのアクション https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_temp_request.html
16.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark IAM Best Practice ! Amazon EC2インスタンスで実行するアプリケーションに対 し、ロールを使用する Use Roles for Applications That Run on Amazon EC2 Instances • アプリケーションがAWSサービスにアクセスするためには認証情報が必要 • 認証情報をEC2 (OS/アプリケーション) 側に持たせる必要がない、認証情報の漏 洩リスクを低減可能 • IAMロールによる認証情報はAWSが自動的にローテーション • AWS SDKによって認証情報取得と有効期限切れ前の再取得を自動的に実施可能 • AWS CLIもIAMロールに対応済み プログラム プログラム IAMユーザーの場合 IAMロールの場合 認証情報をEC2内に持た せる。認証情報の保管・ ローテーション等の検討 が必要。 IAMロールによる権限はEC2上 に恒久的に保管されるものでは なくテンポラリ。ローテーショ ン等は自動で行われる。
17.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark© 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark 権限の委任 Amazon EC2インスタンスで実行するアプリケーションに対し、ロールを 使用する ロールを使用したアクセス許可の委任
18.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark ロールを使用したアクセス許可の委任の例 別の AWS アカウントのユーザーが、認証情報を共有せずに、自分の AWS ア カウントのリソースにアクセスを制御可能にすることが可能。 ユースケース: 1. IAMロールによるクロスアカウントアクセス 2. クロスアカウントアクセスにより権限管理を効率化 3. SAML2.0ベースのIDフェデレーション 4. SAML2.0ベースのAWSマネジメントコンソールへのシングルサインオン (SSO) 5. Amazon Cognitoを用いたモバイルアプリのWeb IDフェデレーション
19.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark ユースケース:IAMロールによるクロスアカウントアクセス • あるアカウントのユーザーに別のアカウントのIAMロールに紐づける機能 • 例えば開発アカウントを使って、本番環境のS3データを更新するような ケースで利用 開発アカウント 本番アカウント S3ForDevAccount Dev ProdS3Bucket AWS STS AssumeRole 一時的認証情報 https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html S3ForDevAccountロール の権限でアクセス (開発アカウントでのアクセス権限を上書き)
20.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark IAMロールによるクロスアカウントアクセスの動作 本番アカウント Acct ID: 111122223333 { "Statement": [ { "Effect": "Allow", "Action": “s3:*", "Resource": "*" } ] } 開発アカウント Acct ID: 123456789012 開発者Aのアクセスキー による認証 s3-roleを引き受け、 一時的な認証情報を取得 一時的な認証情報による S3 APIの呼び出し { "Statement": [{ "Effect": "Allow", "Action": “sts:AssumeRole", "Resource": "arn:aws:iam::111122223333:role/s3-role" } ] } { "Statement": [{ "Effect":"Allow", "Principal":{"AWS":"arn:aws:iam::123456789012:root"}, "Action":"sts:AssumeRole" } ] } s3-roleを誰が引き受けられるか定義した信頼ポリシーをs3-roleに設定本番アカウントのs3-roleの引き受けを許可するポリシーを開発者Aに設定 s3-roleに付与されているポリシー Role s3-roleUser 開発者A ProdS3Bucket
21.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark クロスアカウントアクセスのためのMFA保護 • AWSアカウント間でのアクセスのためのMFA保護を追加する機能 • AWSマネージメントコンソールでroleを作成する際に、Require MFAのチェッ クボックスを選択することで設定可能 • MFA認証されたユーザーのリクエストのみが有効に • MFAしたかどうか:"Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}} • 一定時間内のMFA:"Condition": {"NumericGreaterThanIfExists": {"aws:MultiFactorAuthAge": "3600"}} { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "ec2:*", "Resource": "*", "Condition": { "NumericLessThan": {"aws:MultiFactorAuthAge": "3600"} } } } https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_mfa_sample-policies.html
22.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark ユースケース:クロスアカウントアクセスにより権限管理を 効率化 Jumpアカウント 本番アカウントA セキュリティアカウント 開発アカウントA 共通サービスアカウント クロスアカウント アクセス
23.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark Switch Role • IAMユーザーからクロスアカウントアクセス用IAMロールにコンソールから 切替が可能 • 必ずしも別アカウントである必要はなく、同じアカウントでもOK • 必要な時のみIAMユーザーの権限を “昇格”させる - IAMユーザーには読み取り権限のみを付与 - IAMロールには更新権限を付与 https://aws.amazon.com/blogs/aws/new-cross-account-access-in-the-aws-management-console/
24.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark ユースケース:SAML2.0ベースのIDフェデレーション • SAML2.0を使用した IDフェデレーション • 組織内の全員についてIAMユーザーを作成しなくても、ユーザーはAWSを 利用可能 • 組織で生成した SAMLアサーションを認証レスポンスの一部として使用し、 一時的セキュリティ認証情報を取得 • ユーザーは一時的セキュリティ認証情報でAWSのリソースにアクセス
25.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark SAML2.0ベースのIDフェデレーションの動作 AWS Cloud (Service Provider)On-Premise (Identity Provider) Active Directory Identity Provider (IdP) AWS STS 1 IdPに認証情報 のリクエスト 2 ユーザーの認証 3 認証応答の 受け取り 4 AssumeRoleWithSAML の呼び出し 5 一時的な認証情報 の受け取り 6 一時的な認証情報を 用いたAPIの呼び出し Client Application https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles_providers_saml.html
26.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark ユースケース:SAML2.0ベースのAWSマネジメントコンソー ルへのシングルサインオン (SSO) • SAML 2.0互換IdPおよびIAMロールを使用した管理コンソールへのフェデ レーションアクセス • AssumeRoleWithSAML API を直接呼び出す代わりに、AWS SSO エンドポ イントを使用する必要があります。エンドポイントはユーザーの代わりに API を呼び出し、URL を返すと、それによってユーザーのブラウザーが AWS マネジメントコンソールへ自動的にリダイレクトされます。 • エンドポイントはユーザーの代わりにAPIを呼び出し、URL を返すと、そ れによってユーザーのブラウザーがAWSマネジメントコンソールへ自動的 にリダイレクト
27.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark SAML2.0ベースのAWSマネジメントコンソールへのSSOの動 作 AWS Cloud (Service Provider)On-Premise (Identity Provider) Active Directory Portal/ Identity Provider (IdP) AWS STS 1 内部ポータル へのアクセス 2 ユーザーの認証 3 認証応答の 受け取り 4 新しいAWSのサインインエンド ポイントに対してSAMLアサー ションをポスト サインインURLをクライ アントにリダイレクト として送信 6 ブラウザがAWSマネジメント コンソールへリダイレクト Browser Interface https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html 5 エンドポイントが 一時的な認証情報 をリクエストし、 サインインURLを 作成 AWS SSOエンド ポイント 7 認証レスポンスの一部として、コンソール が使用される時間を制限する時間枠、およ びユーザーが認証情報を更新する前にコン ソールにアクセスできる最大時間 (最大12 時間) を指定することができます。
28.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark AWSマネジメントコンソールフェデレーションのメリット • アカウント管理が統合され、リスクが低減する • 既存のユーザ情報をそのまま利用 • 既存の権限ベースでの管理が可能 • 既存と同様のポリシーの利用が可能 • アカウントロックポリシーや、パスワード管理ポリシー • 入退社など一元的な管理が可能 • イントラネットからのみアクセス可能なログイン画面
29.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark ユースケース:Amazon Cognitoを用いたモバイルアプリの Web IDフェデレーション • モバイルアプリから一時的なAWSセキュリティ認証情報を必要に応じて動 的にリクエスト • 認証を確認するサーバが不要 • 例えばスマートフォンアプリとS3だけでシステムが作成可能 • 現在Google,Facebook,Amazon(Login with Amazon), twitter, Amazon Cognito及びOIDC準拠のIdPに対応
30.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark Identity Provider (IdP) AWS Cloud (Service Provider) Amazon Cognitoを用いたモバイルアプリのWeb IDフェデ レーションの動作 https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles_providers_oidc_cognito.html AWS STS 1 アプリケーション の利用 2 リダイレクトして認証の実施 IDトークンの取得 3 IDトークンからCognito トークンの取得 4 Cognitoトークンを用いて 一時的な認証情報を取得 5 一時的な認証情報を取得を用 いてAWSサービスにアクセス
31.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark フェデレーション/SSOのパートナーソリューション https://aws.amazon.com/jp/iam/partners/
32.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark IAM Best Practice ! ロールを使用したアクセス許可の委任 Use Roles to Delegate Permissions • アカウント間でセキュリティ認証情報を共有しないでください。 • これは、別の AWS アカウントのユーザーがお客様の AWS アカウントのリソース にアクセスできないようにするため。その代わりに、IAM ロールを使用します。 他のアカウントの IAM ユーザーに許可されている権限を指定するロールを定義で きます。 IAMロール利用の利点 - EC2上のアクセスキーの管理が容易 - 認証情報はSTS(Security Token Service)で生成 - 自動的に認証情報のローテーションが行われる - EC2上のアプリケーションに最低権限を与えることに適している - IAMユーザーの認証情報を外部に漏えいしてしまうリスクを低減させる http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/roles-resourcebasedpolicies-compare.html
33.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark 権限の委任に関するベストプラクティス Amazon EC2インスタンスで実行するアプリケーションに対し、 ロールを使用する ロールを使用したアクセス許可の委任
34.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark© 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark IDと権限のライフサイクル管理 AWSアカウントのアクティビティの監視 アクセスレベルを使用して、IAM権限を確認する 不要な認証情報を削除する 認証情報を定期的にローテーションする
35.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark AWSアカウントのアクティビティの監視とは? 例えば、AWS CloudTrail 記録される情報には以下のようなものが含まれる • APIを呼び出した身元(Who) • APIを呼び出した時間(When) • API呼び出し元のSource IP(Where) • 呼び出されたAPI(What) • APIの対象となるAWSリソース(What) • 管理コンソールへのログインの成功・失敗 AWSのリソースにどのような操作が加えられたか記録に残す機能であり 全リージョンでの有効化を推奨。 適切なユーザーが与えられた権限で環境を操作しているかの確認と記録に使用。
36.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark IAM Best Practice ! AWSアカウントのアクティビティの監視 Monitor Activity in Your AWS Account AWS のロギング機能を有効にして、ユーザーがアカウントで実行したアクショ ンや使用されたリソースを確認してください。 ログファイルには、アクションの日時、アクションのソース IP、不適切なアク セス許可のために失敗したアクションなどが示されます。 •CloudFront が受信した ユーザーリクエストを記録。 Amazon CloudFront •AWS アカウントで行われ た AWS API コールおよび 関連イベントを記録。 AWS CloudTrail •AWS クラウドリソースと AWS で実行されるアプリ ケーションをモニタリング 記録 Amazon CloudWatch •IAM ユーザー、グループ、 ロール、およびポリシーを 含む、AWS リソースの設 定に関する詳細な履歴情報 AWS Config •Amazon S3 バケットへの アクセスリクエストを記録 Amazon S3 アクティビティを監視可能なAWSサービスの例
37.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark© 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark IDと権限のライフサイクル管理 AWSアカウントのアクティビティの監視 アクセスレベルを使用して、IAM権限を確認する 不要な認証情報を削除する 認証情報を定期的にローテーションする
38.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark アクセスレベルとは? アクセスレベルは、1)リスト(List)、2)読 み込み(Read)、3)書き込み(Write)、4) アクセス権限の管理(Permissions management)で分類され、ポリシー概要に サービスが含まれる場合、そのアクセスレベ ルを定義。 ポリシー 概要 サービス 概要 アクション 概要 List Read Write Permissions mangement
39.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark アクセスアドバイザー IAM エンティティ (ユーザー、グループ、ロール) が、最後に AWS サービスにアクセスし た日付と時刻を表示する機能 データ追跡されるリージョン(2019/1/30現在) 米国東部 (オハイオ)、米国東部(バージニア北部、米国西部 (北カリフォルニア)、米国西部 (オレゴン、アジアパシフィッ ク (東京)、アジアパシフィック (ソウル)、アジアパシフィック (シンガポール) 、アジアパシフィック (シドニー)、アジア パシフィック (ムンバイ) 、カナダ (中部)、欧州 (フランク フルト、欧州 (アイルランド)、欧州 (ロンドン) 、EU (パリ、 南米 (サンパウロ) IAMの最小限の権限に関する 設定に利用 • IAM ポリシー内で未使用または最 近使用されていないアクセス許可 を識別 • 未使用のサービスに関するアクセ ス許可を削除したり、類似の使用 パターンを持つユーザーをグルー プに再編成 • アカウントのセキュリティを改善
40.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark Service Last Accessed Dataの利用例 • ユーザーや、グループ、ロールに与えられた権限で利用されていないものを発見 • IAMポリシーの利用状況と利用しているエンティティの識別 IAMポリシーを利用しているのが誰で最後にアクセ スしたのがいつか容易に識別可能
41.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark IAM Best Practice ! アクセスレベルを使用して、IAM権限を確認する Use Access Levels to Review IAM Permissions AWS アカウントのセキュリティを向上させるに、IAM ポリシーを定期的に確認 し、モニタリングしてください。 • 「アクセスアドバイザー」を活用し、ポリシーにおいて、必要なアクショ ンにのみ、必要な最小限の権限が付与されていることを確認します。 • 「ポリシー」の「ポリシーの使用状況」を確認し、適用されているユーザ やグループ、ロールを確認してください。 • 「アクセス権限」で、 最小権限かを確認。
42.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark© 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark IDと権限のライフサイクル管理 AWSアカウントのアクティビティの監視 アクセスレベルを使用して、IAM権限を確認する 不要な認証情報を削除する 認証情報を定期的にローテーションする
43.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark IAM認証情報レポート (Credential Report) • ユーザーの作成日時 • 最後にパスワードが使われた日時 • 最後にパスワードが変更された日時 • MFAを利用しているか • Access KeyがActiveか • Access Keyのローテートした日時 • Access Keyを最後に使用した日時 • Access Keyを最後に利用したAWSサービス • 証明書はActiveか • 証明書のローテートした日時 認証情報レポートは、 4 時間ごとに 1 回生成 できます。
44.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark IAM Best Practice ! 不要な認証情報を削除する Remove Unnecessary Credentials • パスワードやアクセスキーのローテーションなど、認証情報ライフサイクル の要件の結果を監査する。 • コンソールを使用しないIAM ユーザにはパスワードを設定しない • 最近使用していないパスワード、アクセスキーは削除の対象。 • 社員の入社、退職、部署の異動や役割の変更など、人員のライフサイクルと 連動させる。 • 認証情報レポートは、カンマ区切り値(CSV)ファイルとしてダウンロード 可能。AWSマネジメントコンソールや AWS CLI, AWS APIで取得可能。 • 生成するAWS CLI: aws iam generate-credential-report • 取得するAWS CLI: aws iam get-credential-report
45.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark© 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark IDと権限のライフサイクル管理 AWSアカウントのアクティビティの監視 アクセスレベルを使用して、IAM権限を確認する 不要な認証情報を削除する 認証情報を定期的にローテーションする
46.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark 認証情報の定期的なローテーション • IAMユーザーのパスワードやAccess Key/Secret Access Keyは定期的にローテー ションすることを推奨 • 認証情報の利用状況はIAMのCredential Report 機能で確認可能 – ユーザーの作成日時 – 最後にパスワードが使われた日時 – 最後にパスワードが変更された日時 – MFAを利用しているか – Access KeyがActiveか – Access Keyのローテートした日時 – Access Keyを最後に使用した日時 – Access Keyを最後に利用したAWSサービス – 証明書はActiveか – 証明書のローテートした日時
47.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark IAM Best Practice ! 認証情報を定期的にローテーションする Rotate Credentials Regularly • IAMユーザーのパスワードローテーション • IAMのパスワードポリシーでユーザーがパスワードを変更できるように設定 • パスワードに有効期限を設けることで利用者が自分で定期的にパスワード をローテーションできるようにする • アクセスキーのローテーション • IAMユーザーの「認証情報」の「アクセスキー」から「アクセスキーの管理」を選択 • 「アクセスキーの作成」で新しい認証情報の作成(2つまで) • 新しい認証情報でテストを行い、古いAccess KeyはInactiveにする • 万が一問題が起きた時は再びActivateすることが可能
48.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark IDと権限のライフサイクル管理に関するベストプラクティ ス AWSアカウントのアクティビティの監視 アクセスレベルを使用して、IAM権限を確認する 不要な認証情報を削除する 認証情報を定期的にローテーションする
49.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark© 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark IAM Tips
50.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark Tips1: IAM基本の設定 組織と社員の権限に合わせて、IAMの設定を行う。 初期設定 •AllUsersというグループを作って、 全ユーザを含める •Adminグループを作り、管理者 ユーザのみを含める。 •Developers, Managers, SysAdminsなどのグループを作 り、適切なユーザを含める。 Amazon EC2 •AllUsersに、送信元のIPを許可し たものだけにする。 •SysAdminsに、全てのAmazon EC2アクションを使用できるよう に権限を設定する。 •Developersには、 DescribeInstances, RunInstances, StopInstances, TerminateInstances権限のみ。 •Managersには、Amazon EC2 の 「Describe」 のみ許可 Amazon S3 •Example_bucketを作成 •キープレフィックスで、home/ 以下に、そのユーザのみの権限 を付与。 •Share配下には、各々、開発者、 管理者のみに許可 定期的に見直す
51.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark Tips2: IAMコンソールでIAMエンティティを探したり、ア クションを素早く行う さまざまな IAM リソースを管理する際に、必要な項目を 探すため、アクセスキーが見つけたり、深くネストされ た IAM リソースをを効率的に発見。 • アカウントに関連するアクセスキー、IAM エン ティティ (ユーザー、グループ、ロール、ID プロ バイダー)、ポリシーなどを名前で見つけることが 可能。 主な使用方法: • ユーザ名やグループ名、ロール名、ポリシー名を検索 • 「追加」と入力すると、関連するアクションが表示 • 「作成」、「削除」、「管理」、「編集」、「アタッチ」、 「デタッチ」、「何ですか」などが利用可能
52.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark Tips3: パスワードを紛失した場合について パスワードやアクセスキーを紛失または忘れた場合、IAM からそれらを取得す ることはできません。代わりに、次の方法を使用してリセットできます。 忘れたもの 方法 AWS アカウントのルー トユーザー パスワード ルートユーザーパスワードを忘れた場合は、AWS マネジメントコンソー ル からパスワードをリセットできます。 AWS アカウントの アクセスキー (使わないことを推奨) 既存のアクセスキーを無効にすることなく、新しいアクセスキーを作成 できます。既存のキーを使用していない場合は、それらを削除できます。 IAM ユーザーパスワード パスワードのリセットをその組織内の管理者に依頼する必要があります。 IAM ユーザー アクセスキー 新しいアクセスキーが必要です。独自のアクセスキーを作成するアクセ ス許可がある場合は、新しいアクセスキーを作成。必要なアクセス許可 を持っていない場合は、新しいアクセスキーの作成を管理者に依頼する 必要があります。まだ古いキーを使用している場合は、古いキーを削除 しないように管理者に依頼します。
53.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark Tips4: MFAの管理 • IAM ユーザーの仮想およびハードウェア MFA デバイスがシステムと同期さ れていない場合、それらのデバイスを再同期できます。 • IAM ユーザーは、デバイスを無効にするために管理者に連絡する必 要があります。 •AWS アカウントのルートユーザーのMFAを紛失、損傷、動作しない場合、 認証の代替方法を使用してサインインすることができます。 • 登録されている E メールと電話を使用してアイデンティティを確認 してサインインすることができます。 • https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_mfa_lost-or-broken.html • U2F セキュリティキーは同期しなくなることはありません。 • U2F セキュリティキーを紛失または破損した場合は、U2F セキュリ ティキーを非アクティブにすることができます。
54.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark Tips5: IAMポリシーのトラブルシューティング https://docs.aws.amazon.com/ja_jp/IAM/latest/Us erGuide/troubleshoot_policies.html トラブルシューティングに関するトピック: • ビジュアルエディタを使用したトラブル シューティング • ポリシーの概要が使用したトラブル シューティング • ポリシー管理のトラブルシューティング • JSONポリシードキュメントのトラブル シューティング ビジュアルエディタ
55.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark Tips6: IAMロールのトラブルシューティング • ロール名は大文字、小文字が区別 される • 引き受けるロールでは、 sts:AssumeRole を 呼び出すアク セス許可が付与されていることを 確認 • IAM アイデンティティが、IAM ポ リシーで義務付けられている任意 のタグでタグ付けされていること を確認 • Iam:PassRoleの権限がない場合は、 管理者に依頼。 • AWS STS AssumeRole* API また は assume-role* CLI オペレーショ ンを使用してロールを引き受ける 場合は、DurationSeconds パラ メータの値を指定できます。900 秒 (15 分) からロールの [最大 CLI/API セッション期間] 設定まで の値を指定できます。 https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/troubleshoot_roles.html この設定の最大値は 12 時間です。管理者が最大のセッ ション期間を 6 時間に設定した場合、オペレーションは失 敗する。
56.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark Tips7: IAMアクセスアドバイザーAPIを利用した AWS IAMアクセス権限分析の自動化の検討 2018/12/7に、IAMアクセスアドバイザーは、マネジメントコンソールだけでなく、 AWS CLIやAPIを利用可能になりました。最小権限付与の有効な方法の一つ。 IAMアクセスアドバイザーに必要な権限 iam:GenerateServiceLastAccessedDetails iam:GetServiceLastAccessedDetails iam:GetServiceLastAccessedDetailsWithEntities iam:ListPoliciesGrantingServiceAccess 1) generate-service-last-accessed- detailsを使用しJob-IDを取得 aws iam generate-service-last- accessed-details --arn arn:aws:iam::123456789012:user/ampl ify-user { "JobId": "aeb4479d-ec11-077a-xx-xxx" } 2) get-service-last-accessed-detailsで確認 aws iam get-service-last-accessed-details --job-id "aeb4479d-ec11-077a-xx-xxx” { "JobStatus": "COMPLETED", "JobCreationDate": "2019-01-27T12:14:50.402Z", "ServicesLastAccessed": [ { "ServiceName": "Alexa for Business", "ServiceNamespace": "a4b", "TotalAuthenticatedEntities": 0 }, { "ServiceName": "AWS CloudFormation", "LastAuthenticated": "2018-11-26T18:38:00Z", "ServiceNamespace": "cloudformation", "LastAuthenticatedEntity": "arn:aws:iam::123456789012:user/amplify-user", "TotalAuthenticatedEntities": 1 利用したサービス 利用した日時などがわかる AWS CLI v1.16.89以降
57.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark© 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark まとめ
58.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark AWS IAMのベストプラクティス IDと認証情報の管理 アクセス権限の管理 権限の委任 IDと権限のライフ サイクル管理 AWSアカウントのルートユーザーアクセスキーをロックする 個々のIAMユーザーを作成 ユーザーの強力なパスワードポリシーを設定 アクセスキーを共有しない 特権ユーザーに対してMFAを有効化する AWS管理ポリシーを使用したアクセス許可の使用開始 インラインポリシーではなくカスタマー管理ポリシーを使用する 追加セキュリティに対するポリシー条件を使用する 最小権限を付与する IAMユーザーへのアクセス許可を割り当てるためにグループを使用する Amazon EC2インスタンスで実行するアプリケーションに対し、ロールを使 用する ロールを使用したアクセス許可の委任 AWSアカウントのアクティビティの監視 アクセスレベルを使用して、IAM権限を確認する 不要な認証情報を削除する 認証情報を定期的にローテーションする https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/best-practices.html
59.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark まとめ • AWS IAMはAWSサービスを利用するための認証と認可を提供する。 • 権限の委任においては、Amazon EC2インスタンスで実行するアプリ ケーションに対し、ロールを使用する。ロールを使用したアクセス許 可の委任が可能。 • IDと権限のライフサイクル管理においては、AWSアカウントのアク ティビティの監視し、IAM権限を確認し、不要な認証情報を削除、認 証情報の定期的なローテーションを行う。
60.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark 参考情報へのリンク • AWS IAM 公式サイト https://aws.amazon.com/jp/iam/ • AWS IAMドキュメント https://docs.aws.amazon.com/iam/index.html • AWS Security Blog http://blogs.aws.amazon.com/security/ • IAMの制限 (IAMドキュメント) https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_iam-limits.html • AWSアカウントの認証管理 (AWS Summit Tokyo 2018) https://d1.awsstatic.com/events/jp/2018/summit/tokyo/aws/40.pdf • AWSご利用開始時に最低限おさえておきたい10のこと (Blackbelt Online Semminer) https://d1.awsstatic.com/webinars/jp/pdf/services/20180403_AWS-BlackBelt_aws10.pdf 60
61.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark Q&A お答えできなかったご質問については AWS Japan Blog 「https://aws.amazon.com/jp/blogs/news/」にて 資料公開と併せて、後日掲載します。
62.
© 2018, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark AWS Well-Architected 個別技術相談会 毎週” 個別技術相談会”を実施中 • のソリューションアーキテクト に 対策などを相談することも可能 • 申込みはイベント告知サイトから (https://aws.amazon.com/jp/about-aws/events/)
63.
© 2019, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark© 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark AWS 公式 Webinar https://amzn.to/JPWebinar 過去資料 https://amzn.to/JPArchive ご視聴ありがとうございました