通勤時間は2時間

日々のことを自由に書いています。

No.18 AWSのIAM(Identity and Access Management)①

IAM概要
  • AWS操作をよりセキュアに行うための認証・認可の仕組み
  • AWS利用者の認証とアクセスポリシーを管理
    • AWS操作のためのグループ・ユーザ・ロールの作成が可能
    • グループ、ユーザごとに実行できる操作を規定できる
    • ユーザーごとに認証情報の設定が可能
      • APIやマネジメントコンソールからのアクセスに対して、権限をチェック
 
動作イメージ
  • 管理者グループ:「全操作が可能」
  • 開発グループ :「S3はすべて操作可能」
  • 運用グループ :「S3参照だけ」
 
AWSアカウント(root)ユーザー
  • AWSアカウント作成時のID
  • アカウントのすべてのAWSサービスとリソースへの完全なアクセス権限を持つ
  • アカウントの作成時に使用したメールアドレスとパスワードでサインイン
  • 日常的なタスクには、それが管理者タスクであっても、rootユーザーを使用しないことを推奨
 
AWSのroot権限が必要な操作の例(2016年9月現在)
  • AWSルートアカウントのメールアドレスやパスワードの変更
  • IAMユーザーの課金情報へのアクセスに関するactive / deactive
  • 他のAWSアカウントへのRoute53のドメイン登録の移行
  • CloudFrontのキーペアの作成
  • AWSサービス(サポート等)のキャンセル
  • AWSアカウントの停止
  • コンソリデイテッドビリングの設定
  • 脆弱性診断フォームの提出
  • 逆引きDNS申請
 
IAMユーザー
  • AWS操作用のユーザー
    • 1AWSアカウントで5000ユーザーまで作成可能
  • ユーザーごとに設定可能な情報
    • ユーザー名
      • IAMユーザーの識別とマネジメントコンソールへのログインに使用
      • 64文字までのアルファベット、数字、+=,.@-_
    • パス(オプション)
      • ユーザーにオプションとしてセットできる情報
      • パスを元にユーザーの検索が可能
      • 組織階層やプロジェクトなどをセット 例) /aws/sa/
      • 512文字までのBasic Latin文字(アルファベット、数字、!”#$%&’()=~|^¥@`{[}]*:+;?_)
      • 開始と終了が / であること
    • 所属グループ
      • 10のグループまで設定可能
    • パーミッション
      • AWSサービスへのアクセス権限
      • JSON形式でポリシーを記述
 
IAMグループ
  • IAMユーザーをまとめるグループ
    • 1AWSアカウントで100グループまで作成可能
  • グループに設定可能な情報
 
 
IAMによる認証
IAMで使用する認証情報
  • アクセスキーID/シークレットアクセスキー
    • REST、Query形式のAPI利用時の認証に使用
    • 2つまで生成可能
    • Active / Inactiveの切り替え
    • 情報の置き場には、注意する!
      • GitHub
      • AMIの中への埋め込み
      • 電子文章等に記述
      • 非暗号化メールの中に記述
      • コードの中への直接書き込み
 
  • X.509 Certificate
    • SOAP形式のAPIリクエスト用
    • OpenSSLなどで証明書を作りアップロード
 
IAMで使用する認証情報
  • AWSマネジメントコンソールへのログインパスワード
    • デフォルトは未設定(ログインできない)
    • 128文字までのBasic Latin文字
    • パスワードの変更時のポリシー設定が可能
      • AWSアカウントごとに設定
      • 最低パスワード長、大文字小文字等
  • MFA(多要素認証)
    • ハードウェアMFA、仮想MFA、SMS MFAから選択
    • ハードウェアMFA
      • Gemalto社からAWS用デバイスを購入
        • Tokenタイプ(カードタイプもあったが、今は利用不可)
      • 仮想MFA
      • SMS MFA(プレビュー)
 
強度の強いパスワードの利用
- AWSの管理コンソールにログインするために必要となるIAMユーザーのパスワードには以下のようなパスワードポリシーの設定が可能
  • パスワードの最少文字数
  • 大文字英字の要求
  • 小文字英字の要求
  • 数字の要求
  • 特殊文字の要求
  • ユーザー自身によるパスワード変更の許可
  • パスワードの有効期限の設定
  • パスワードの再利用の制限
  • パスワードが期限切れになった場合、管理者によるリセットの可否
AWSルートアカウントには適用されない。
 
AWSルートアカウントは極力利用しない
  • AWSルートアカウントは、IAMで設定するアクセスポリシーが適用されない強力なアカウント
  • 十分に強度の強いパスワードを設定した上、通常は利用しないような運用を心がける
  • Security CredentialのページからAccess Keyの削除(ただしAccess Keyを使用していないかを事前に確認すること!)
 
MFAによるアカウントの保護
  • 多要素認証(MFA)によるなりすましの防止
  • AWSルートアカウントはMFAでほぼし通常利用しない運用を心がける
 
認証情報の定期的なローテーション
  • IAMユーザーのパスワードやAccess Key / Secret Access Keyは定期的にローテーションする
  • 認証情報の利用状況は、IANのCredential Report機能で確認可能
    • ユーザーの作成日時
    • 最後にパスワードが使われた日時
    • 最後にパスワードを変更した日時
    • MFAを利用しているか
    • Access KeyがActiveか
    • Access Keyのローテートした日時
    • Access Keyw最後に使用した日時
    • Access Keyを最後に利用したAWSサービス
    • 証明書はActiveか
    • 証明書のローテートした日時
 
IAM認証情報レポート(Credential Report)
  • パスワードやアクセスキーのローテーションなど、認証情報ライフサイクルの要件の結果を監査可能
  • 認証情報レポートは、カンマ区切り値(CSV)ファイルとしてダウンロード可能
  • 使用していない認証情報は削除
 
IAMユーザーのパスワードローテーション
  • IAMユーザーのパスワードポリシーでユーザーが変更できるように設定
  • パスワードに有効期限を設けることで、利用者が自分で定期的にパスワードをローテーションできるようにする
 
アクセスキーのローテーション
  • IAMユーザーの「認証情報」の「アクセスキー」から「アクセスキーの管理」を選択
  • 「アクセスキーの作成」で新しい認証情報を作成(2つまで)
  • 新しい認証情報でテストを行い、古いAccess KeyはInactiveにする
  • 万が一、ローテーションしたパスワードに問題が起きた時は、Activeに戻すことが可能
 
 

No.17 -テレビ新調

母が一昨年あたりからロシア文化に興味を持ちはじめ、最近じゃテレビでロシア関連の番組があれば、軒並み録画をしている。今年も8月に行く予定をしていたのだけれど、この頃の世界情勢で、万が一を考えて辞めることにしたらしい。

 

で、浮いた費用で、テレビを新調すると言い出し、GW前に近所の大型電器屋まで、どんなもんかと見に行き、1時間半ほどあれやこれやと比較した結果、Panasonicの60インチ TH-60DX850をお買い上げ。

けれど、店舗にもメーカーにも在庫がなく、5月末納品予定とのこと。まぁ、衝動買いなので、気長に待つことにして、それが本日納品。

 

いままでリビングにあった39インチと比較すると、全然、大きさも違う。

ハイレゾ対応のスピーカーの恩恵はわからないけれど、ネット接続してストリーミング放送が見られるのは、何かと便利。Wi-Fi802.11ac対応で、画像が途切れることもないので快適そのもの。

 

これで、週末の引きこもりに拍車がかかりそうだ。

 

No.16 -コンテナ型仮想化

日曜に注文した本が、昨晩、届いた。

 

追加料金払って、翌日配送してもらったもので。。。クロネコさん、遅くまでお願いしてしまうような結果で、なんか申し訳ない。

ありがたく、読み始めてみたが、1章は、これまでの経験で十分なので、パパッと目を通して終わり。

2章からコンテナ仮想化の本題といった章立て。昨日、帰宅が遅かったので、2章1項を読み終えたあたりで、限界。

まずは、ホスト型、ハイパーバイザー型の仮想化技術とコンテナ仮想化の違いと、その歴史の紹介。まさかのSoraris Countainerの説明があって、なんだか懐かしい気分と、ネットワーク業界に長いこといたけれど、サーバー関連の経験も少しずつ戻ってきた感じ。