今日もラジオ体操からスタート...
出遅れて参加できませんでした。
セッション① AWS Single Sign-Onのお話
講師:ANAシステムズ(株) 鄭昌浩さん
資料: AWS SSOのお話 by 昌浩 鄭 on Prezi Next
Prezi でのプレゼンでした。
グリグリ動くサービスけど、オンラインだとそれが伝わりづらいのが勿体ない。
メモ
- AWS SSO は Organizationsのサブ機能
- Organizationsの全機能有効化をする必要がある
- すでにアカウントがある場合はすべてのマスターアカウントで承認する必要がある
- 有効化後に作成したアカウントでは有効になる
- 本番への誤アクセスが多い
- 本番系は管理者がスイッチロールでアクセス
- 開発系と分離して解決
- 開発系はAWS SSOでのアクセス
- マルチアカウントへのアクセス管理が容易
- マルチアカウントへのサインインが容易
セッション② Cognito、Azure ADと仲良くしてみた
講師:NECソリューションイノベータ 近藤 恭史さん
www.slideshare.net
- Cognito と Azure AD で認証ができないか?
- Cognito User Pool と Azure AD 連携
- Cognito の Token を利用して AppSync を認証して、DB へアクセスする構成
- 業務システム側でのサインイン、ユーザー管理
- それぞれ準備するのが大変
- サインイン画面を準備する手間
- Amplify で楽に作れるけど、日本語化など手はかかる
- エラーレスポンスのパラメータにエラー内容が表示される
- Try&Error で対応していける
LT① clientvpnとprivate ca
講師:株式会社ターンアンドフロンティア 富松 広太さん
12冠!
- Clinet VPN 認証方式
- AD 認証( AD のユーザー/パスワードで認証)
- SAML 連携(IDP に登録したユーザで認証)
- 相互認証(クライアント証明書で認証)
- ACM に Private CA を登録して Clinent VPC Endpoint にインポートして証明
LT② Permission Boundary をやっと理解できたので誰か聞いてくれ(雑)
講師:日本電気株式会社 大竹 孝昌さん
www.slideshare.net
Permission Boundary「アクセス許可の境界」
AWS Organizations に似た機能がある
SCP 親アカウントから子アカウントに対する制御
Action/Resource に * が設定されることが多い...
IAM 権限をわたすけど、「特定の操作は制限したい」
- IAM 権限を持つ人に十分なスキル
- Teamsが小規模
- Teamsに信頼関係あり
権限与えたいけど、制約したい!
ひとまず全許可して、制御する。
IAM 権限で悩んだら Permission Boundary を検討してみるといい。
LT③ AWSでたくさんお金を使っちゃった話
講師:NECソリューションイノベータ 高原未菜さん
www.slideshare.net
初心者と言ってましたが、SAP 持ち...150万円課金されたお話。
- Aurora に 15TB のデータ保管していた
- 停止時もストレージ料が課金
- 7日間停止すると自動で起動される
- 解決策
- スナップショットを作成し、S3 に保管
- Aurora インスタンスごと削除して解決
- DynamoDB も使ってなくても400円ぐらいかかる
-オンデマンドに変更すると0円
対策後、30万ぐらいに削減できた。
所感
認証認可のお話をセットで聞くことができました。
Azure AD と連携すると、利用する側管理する側双方らくなのですが、設定していく際に情シス部門と Try&Error するのがなかなか大変。
Organization は利用してますが、AWS アカウントを横断して利用する人が管理者の私以外ほとんどいなくて、各プロダクト専用の AWS を使うだけの状況なので、利用できてません。
Organization ミスると怖いからチャレンジできてないんだけど、知識としては知っておいて今後試せるようになりたい。