JAWS-UG朝会 #59

jawsug-asa.connpass.com

今日はいつもの小倉さんじゃなくて、はしもとさんの司会進行でした。
ちょっと新鮮。

セッション

セッション① AWS IAMのアンチパターン/AWSが考える最低権限実現へのアプローチ概略〜AWS IAM Identity Centerの権限設計も考えてみる〜

NRIネットコム株式会社 丹勇人さん

• IAMアンチパターン
  • 長期的な認証情報、アクセスキー更新されない
  • MFA使わない
  • ルートユーザー保護のベストプラクティスに従わない
  • 最小権限ではない、AWS管理ポリシー使わない
  • 未使用のユーザーやロール、ポリシーなどを棚卸ししてない
  • IAM Access Analyzer を使わない
• 最小権限実現
  • 必要最小限の権限エリア把握
  • 受容できないビジネス影響の洗い出し
  • 受容できないビジネス影響の権限範囲の把握
  • 受容できないビジネス影響の統制メカニズムを選定
    • Control Tower つかったり、カードレール考えたり
• IAM IdC 利用
  • 権限セットのクォータ上限がデフォルト250
    • メンバーアカウントに委任して減らす

IAMの理想はある程度理解しているつもりだけど、実際に理想通りに運用するのはかなり大変です。

セッション② マルチアカウント下でも安全かつ自由にSSO権限を設定するためにやったこと

澤井駆さん

• マルチアカウント下でのアクセス管理
  • IAMユーザー：複数アカウントあると大変
  • SSO：オススメ、１度の認証で複数アカウントにサインイン可能
    • IAM IdC：最小権限の原則のためには自ら許可セットを編集するのが不可欠だが、ユーザーが自ら許可セットを編集できない問題がある
      • Webフォームで申請すると自動で反映するシステムを構築

IAM IdC の許可セットを作るのは負担だなと思ってたのですが、ユーザーが申請して更新する仕組みで解決しているのは素晴らしい。

LT① Direct Connectを実際に触ってみた

BTC 宇都宮さん

公共系でDirect Connect使ったときのお話でした。
情シスとかじゃないと触ることは難しいDirect Connectなので、今後も触る日は訪れるんだろうか？

LT② 公共領域から学ぶ　クラウド移行についてエンジニアが意識していること

NTTデータ　川村吏さん

デジタル庁がだしているクラウドに関する国の方針が役に立つというお話。
クラウドに関する国の方針は、かなり良いこと書いているし他の人に伝えるときの説得力もある良い資料ですよね。
BTCのクマ松さんのプレゼンで知ってから活用させてもらってます。

LT③ AWSサービスメニュー開発をしていてAWSを好きだ！と感じた瞬間

大崎コンピュータ　久保田亨さん

Bedrock使えば簡単に生成AIをマネジメントコンソールで試せるのが良いですよね。