share facebook facebook twitter menu hatena pocket slack

2016.02.02 TUE

【動画デモ】cloudpackが実践する、パスワードを廃止したAWSマネジメントコンソールにアクセスする方法

齊藤 愼仁

WRITTEN BY 齊藤 愼仁

22949634604_4376e024a3_o

シンジです。以前のブログ、「最強のセキュリティでAWSマネジメントコンソールにアクセスする方法」や、「AWSを使い始めたら絶対にやるべきセキュリティ対策」でも軽く触れたとおり、cloudpackではAWSマネジメントコンソールのログイン時にユーザー名とパスワードを使わない上に、多要素認証を加えています。絶対に公開できない画面にモザイクかけまくって動画にしましたのでご覧下さい。

概要

  • 全ての環境は閉域網内にある
  • ActiveDirectoryによるユーザー管理を行っている
  • パソコンにログインするアカウントでAWSマネジメントコンソールにSSOする
  • 自社製WebアプリにログインしないとAWSにアクセスできない
  • AWSへのログインはSAMLによるフェデレーションログインを行う
  • リードオンリー、アドミン権限とあり、アドミンの場合は「理由」が必要

とりあえず動画をどうぞ

cloudpackの場合、管理対象のAWSアカウントの数が半端じゃないので、専用のWebアプリで管理するようにしています。冒頭で画面の右側に出てくるのはiPhoneの画面で、ここで多要素認証をしています。数字を入れるタイプではなく、下から上にシュってやるやつww

SSOには Ping Federate を採用しています

これも閉域網内にあるEC2上で稼働させています。認証情報そのものを持つわけではないので、大変安全なSSOを構築出来ます。しかも安い。

リードオンリーはフリーアクセスで、アドミン権限は理由が無いとダメよ

アドミンでアクセスしづらくしています。カジュアルにAWS環境を見たいときは、リードオンリーを積極的に使わせるためです。
そして、アドミンでアクセスするということは、何か作業をしたいと言うことです。作業をすると言うことは、そこに課題があるということなので、課題管理ツールのBacklogと連携するように出来ています。

ここはSOC2で指摘された点だったので、実装しました。

ということで同じように実装したいけどどうしたらいいか分からんという方

可能な限り協力しますのでシンジまでご連絡どうぞ〜〜

元記事はこちら

【動画デモ】cloudpackが実践する、パスワードを廃止したAWSマネジメントコンソールにアクセスする方法

齊藤 愼仁

齊藤 愼仁

cloudpack 社内インフラ担当、情報セキュリティ責任者。HPCを経て現職に至る。無類の猫好きで、すだち君という名の猫を飼っている。