【レポート】 How You can use AWS’ Identity Services to be Successful on Your AWS Cloud Journey #reinvent #sid303
はじめに
中山(順)です
本記事は、以下のセッションのレポートとなります。ご査収ください。
速報性を重視したため一部内容が不正確な部分があるかもしれません。気が付き次第訂正します。
また、レポート記事ではありますが、公式ドキュメントへのリンクを張るなどして一部補足しています。
概要
「ユーザーによって、クラウドの導入過程は様々で、同じものはない。AWSでは様々な選択肢があるから紹介するよ!」
という感じのセッションでした。
- title: How You can use AWS’ Identity Services to be Successful on Your AWS Cloud Journey
- Speaker: Praerit Garg (GM, Ident, Dir, & Access Mgmt, AWS Identity , AWS)
Every journey to the AWS Cloud is unique. Some customers are migrating existing applications, while others are building new applications using cloud-native services. Along each of these journeys, identity and access management helps customers protect their applications and resources. In this session, you will learn how AWS’ Identity Services provide you a secure, flexible, and easy solution for managing identities and access on the AWS Cloud. With AWS’ Identity Services, you do not have to adapt to AWS. Instead, you have a choice of services designed to meet you anywhere along your journey to the AWS Cloud.
セッション内容
導入
このセッションは主に以下の内容で構成されています。
- 事例の紹介
- IDおよび権限管理サービスの紹介
- ベストプラクティス、ユースケース
事例の紹介と機能要件/非機能要件
3つの事例紹介がありました。
- GE
- Microsoft ADを採用
- 新サービスの認証基盤として
- ADが必要だった
- 組織としてマネージドサービスを活用する方針/戦略があり、迅速にサービスを展開したかった
- TIBCO
- Organizationを採用
- アカウントの権限を集中管理したかった
- Hixme
- Cognito UserPoolを利用してLambdaへのアクセスを制御
- 機密データを取り扱うモバイルアプリケーションで利用
セキュリティーに関しては以下のような要求があります。
- 組織横断的にクラウドへ移行したい
- エンドユーザーが利用するクラウドネイティブなモバイルアプリケーションを作りたい
- スケールできる統制を行いたい
- 新しいチャレンジがしたい
- クラウドで新たなビジネスソリューションを構築したい
- 既存のインフラおよびアプリケーションを移行したい
その際、様々な技術要件が存在します。
- Web or Mobile
- 規制や統制の有無
- Windows or Linux
- Active directory or LDAP
- ユーザーが管理するのか、委託できるのか(Managed Service)
- プラットフォームは、クラウドネイティブなものか、枯れたものか
AWSではIAMを基盤として、以下の機能を提供しています。
- Authentication
- Autorization
- Audit/Governance
IDおよび権限管理サービスの紹介
AWSでは、以下のようなセキュリティ、ID管理サービスを提供しています。
- Identity, Directory, Access
- IAM
- Cognito
- Organization
- Cloud Directory
- Directory Service
- Security
- Inspector
- Macie
- WAF, Shield
- CloudTrail
- Config
- CloudWatch
- Encryption
- ACM
- KMS
- CloudHSM
ここで、Cognitoの新機能のベータ提供に関する発表がありました。
詳細は弊社臼田の記事をご確認ください。
【速報】CognitoのAdvanced Security Feature(ASF)のbetaが発表されました #reinvent
ユーザーのゴール
ユーザが求めていることは以下の3つに集約されるとしています。
- Superior Security(優れたセキュリティ)
- Increase Flexibility(多様な選択肢)
- Comprehensive(包括的)
Superior Security(優れたセキュリティ)
- IAM Role, MFA, SSOによる認証情報の保護
- KMSやACMによるデータの暗号化
- IAM, Cognitoによるセキュアなアプリケーションの実装
- 明示的に許可が必要なIAM Policy
- Organizationによるマルチアカウントの統制
Increase Flexibility(多様な選択肢)
先に紹介したサービスやパートナーのソリューションを含めて、多様な選択肢が提供されています。
Comprehensive(包括的)
- 習熟度は問わない
- 初心者でもウィザードなどで容易にかつ安全に利用開始が可能
- リソース単位でのアクセス制御
- 権限の定義やIDへの割り当てが容易
- アプリケーションへの組み込みが容易
- 状態の可視化
ユースケース
以下の3つのユースケースが紹介されていました。
- ユーザがAWSアカウントにアクセスするケース
- AWSリソースから他のAWSリソースにアクセスするケース
- ユーザーがアプリケーションにアクセスするケース
ユーザがAWSアカウントにアクセスするケース
- 組織の既存の認証情報でAWSにアクセスさせることも可能
- 明示的にアクセスを許可する必要がある
- アカウントを跨ってアクセスやユーザーの権限を管理できる
AWSリソースから他のAWSリソースにアクセスするケース
- IAM Roleを利用することでハードコードを避けることができる
- EC2, ECS, Lambdaなどで利用可能
- 他のリソースへのアクセスを明示的に許可する必要がある
ユーザーがアプリケーションにアクセスするケース
- 様々なIdP(facebookなど)と連携可能
- クラウドネイティブなユーザーディレクトリを作成可能
- リスクベース認証
まとめ
ID管理およびアクセス管理に関して広範な内容を聞くことができ、これまでに培った知識の整理に有用なセッションだったと思います。
また、新機能の発表が突然行われるなど、サプライズもありました。
今後もブログを書いていきますので、引き続きお楽しみください!
![[アップデート]CloudTrail Lake で高度なイベントセレクターがサポートされました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-64f6cd71568d228b1e7f3831e5287d75/1b5c0e8e5797b4bff5913d5033b03348/aws-cloudtrail)
![[アップデート] Amazon QuickSight へロゴやテーマカラーを設定するための「ブランド管理機能」が追加されました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-19e77b9a51519e08b94d0f688c125729/4f439c75e1ee56c70e315fa46fa45f81/amazon-quicksight)
