【参加レポ】JAWS-UG CLI専門支部 #186R IAM入門 (ロール)
こんにちは、べこです。
今回は JAWS-UG CLI専門支部 #186R IAM入門 (ロール) の参加レポです。
ざっくり3行
IAMロール関連のお話
Speaker: 波田野裕一さん
- AWSを真に理解すること = AWS APIを理解すること
- AWS学習はIAMに始まりIAM終わる
- AWS設計はIAMに始まりIAM終わる
- AWS実装はIAMに始まりIAM終わる
- IAMを分かってない人はAWSを分かってない人
- EC2にはIAMロールを直接アタッチ出来ないので、インスタンスプロファイルを挟む
- IAMロールはAWSリソース同士をつなぐもの
ここからは少しセキュリティのお話
Q. なぜIAMロールを使うのか?
A. クレデンシャル(認証情報)を抜かれるリスクを抑えるため
- リスク = IAMユーザ * 権限の強さ
- クレデンシャルを抜かれないように、出来るだけロールを使おう
- 防御戦略
- クレデンシャルを抜かれないようにする
- ユーザープロファイル、APIアクセスキーをなるべく使わない
- 発行するならMFAによる保護が必要
- IAMロールをなるべく使う
- EC2やCloud9を使う
- 権限戦略
- 抜かれても被害が少なくなるように権限を制限する
- 最小権限の原則
- 抜かれても被害が少なくなるように権限を制限する
ここで波田野さんからの大事なお知らせ!(宣伝)
皆さんも参加しましょう!
私は朝が弱いので寝坊しそうですが、 朝会も頑張って参加します。
ここからハンズオン
- 信頼ポリシードキュメントを作成
- ロールを作成
- 作成したロールにAWSマネージドポリシーをアタッチ
- 波田野さんが用意して下さったCloudFormation(以下、CFn)のテンプレートをダウンロード
- CFnのテンプレートに対してバリデーションチェック
- CFnのスタックを作成
- Lambda関数を実行し、IAMロールが動作しているかを確認
- CloudWatch Logsのログイベントを取得(filterログイベントは最新日付順じゃない?ので注意)
- 最後は後始末を忘れずに!
おわり
今回のCLI専門支部はIAMロールのハンズオンでした。
私自身最近App Runnerを触っていてCLIでのIAMロール作成の重要性を再認識したので、今回はいい復習になりました。
(App Runnerに付けるロールを作成しようとしたんですが、マネコンからは作成出来ないみたいで。。。この話はまた別の記事で書きます。)
CFnのテンプレート作成や実際にCFnを触った経験がほとんど無いため、その辺りも含めて今週末改めて復習しようと思います。
ちなみに、雑コラの作成にめちゃくちゃ時間かかりました。