AWS Innovate 2019 AWSome Day
29 Apr 2019 -
AWSome Day
- セッション1
- セッション2
- セッション3
-
セッション4
- フェデレティッドユーザー1とその権限の管理
AWS Security(セッション3)
AWS IAMのベストプラクティス
- AWSアカウントの(ルート)アクセスキーがある場合は削除
- 個々のIAMユーザーの作成
- グループを利用してIAMユーザーに権限を割り当てる
- 最小権限を付与
- 強力なパスワードポリシーを設定する
- 権限のあるユーザーに対してMFAを有効にする
- EC2インスタンスで実行されるアプリケーションに対してIAMロールを使用する
- 認証情報を共有するのではなく、ロールを利用して委任する
- 定期的に認証情報を更新する
- 不要なユーザーと認証情報を削除する
- 追加のセキュリティのために条件(Condition)を使用する
- AWSアカウントのアクティビティをモニタリングする
AWS IAM: ポリシーの割り当て
割り当て先
- IAMユーザー
- IAMグループ
- IAMロール
IAMロール(リソースへポリシー割り当て)
ベストプラクティス
例)
IAMポリシー(S3のアクセス権限)=> IAMロール=> EC2にアタッチ
EC2(SDK)からS3へアクセス可能
EC2上にCredientialを保有する必要がない。
IAMロール(ユーザーへ割り当て)
引き受ける=>権限(ポリシー)の上書き
AWS W-A(セッション4)
Knowledgeであり、改善に利用する。
5本の柱とそれぞれの設計原則[^設計原則]
クラウドでの一般設計原則
- 必要なキャパシティを勘に頼らない
- 本番環境でのすステムテストを行う
- アーキテクチャ試行回数を増やすために自動化を取り入れる
- **発展的なアーキテクチャを受け入れる
- **データ計測に基づいてアーキテクチャを決定する
- 本番で想定されるトラブルをあらかじめテストし、対策する
運用の柱
実行およびモニタリングしてビジネスの価値を生み出し、サポートのプロセスと手順を継続的に向上する能力
セキュリティの柱
ビジネスの価値を生みだしながら情報を保護する能力
信頼性の柱
復旧、動的なコンピューティングリソースの確保、中断を軽減する
パフォーマンス効率の柱
コンピューティングリソースを効率的に利用、その効率性を維持する
コスト最適化の柱
不要コストの排除
質問に答えて、改善点、リスクに備える
料金モデル(セッション4)
料金詳細
支払い対象
- コンピューティング
- ストレージ
- データ転送
-
他のシステムで認証認可(フェデレーション)されたユーザ ↩