Soumettre la recherche
Mettre en ligne
AWS SSOを導入してみた
•
Télécharger en tant que PPTX, PDF
•
0 j'aime
•
848 vues
Y
Yuta Okoshi
Suivre
AWS SSOを導入してみた
Lire moins
Lire la suite
Technologie
Signaler
Partager
Signaler
Partager
1 sur 27
Télécharger maintenant
Recommandé
Aws勉強会アップロード用
Aws勉強会アップロード用
takeuchi-tk
Jaws長崎
Jaws長崎
Yuki Nakatake
SQSでやらかしたLT
SQSでやらかしたLT
Koichiro Nishijima
40まで開発のリーダーだった男がインフラの運用のリーダー(見習い)になってみて
40まで開発のリーダーだった男がインフラの運用のリーダー(見習い)になってみて
Hiroyuki Hiki
ハゲた天使が恋のキューピッドになった物語
ハゲた天使が恋のキューピッドになった物語
Eisuke Shimizu
20150523 operation jaws(JAWS-UG OSAKA #13)
20150523 operation jaws(JAWS-UG OSAKA #13)
Daiki Mori
Microsoftが語らないwindows azure
Microsoftが語らないwindows azure
Kazumi Hirose
知っておいて損はない AWS法務関連
知っておいて損はない AWS法務関連
Kieko Sakurai
Recommandé
Aws勉強会アップロード用
Aws勉強会アップロード用
takeuchi-tk
Jaws長崎
Jaws長崎
Yuki Nakatake
SQSでやらかしたLT
SQSでやらかしたLT
Koichiro Nishijima
40まで開発のリーダーだった男がインフラの運用のリーダー(見習い)になってみて
40まで開発のリーダーだった男がインフラの運用のリーダー(見習い)になってみて
Hiroyuki Hiki
ハゲた天使が恋のキューピッドになった物語
ハゲた天使が恋のキューピッドになった物語
Eisuke Shimizu
20150523 operation jaws(JAWS-UG OSAKA #13)
20150523 operation jaws(JAWS-UG OSAKA #13)
Daiki Mori
Microsoftが語らないwindows azure
Microsoftが語らないwindows azure
Kazumi Hirose
知っておいて損はない AWS法務関連
知っておいて損はない AWS法務関連
Kieko Sakurai
20181017 aurora serverless
20181017 aurora serverless
Hisayuki Mori
20140628第9会クラウド女子会 vpc
20140628第9会クラウド女子会 vpc
SachieMiyazaki
Slerがawsで運用してきた話
Slerがawsで運用してきた話
Sato Shun
Reserved Instances 活用物語
Reserved Instances 活用物語
Kieko Sakurai
Azureって何よ〜2017年の最新情報ゆるまとめ
Azureって何よ〜2017年の最新情報ゆるまとめ
jazug_girls
ぶっちゃけAIPスキャナってどうよ?~AIPスキャナ検証録~
ぶっちゃけAIPスキャナってどうよ?~AIPスキャナ検証録~
Akito Katsumata
フリーランスはじめました - 【初心者向けデザイン講座】デザインのスキルを身につけてお仕事をする方法!東洋美術学校×クラウドワークス
フリーランスはじめました - 【初心者向けデザイン講座】デザインのスキルを身につけてお仕事をする方法!東洋美術学校×クラウドワークス
Yuki Suzuki
オイシックスxAWS導入事例
オイシックスxAWS導入事例
Saori Tanaka
AWS in Kansai(JAWS-UG山形2013.09.07)
AWS in Kansai(JAWS-UG山形2013.09.07)
Toshiyuki Konparu
まだまだ戦えるweb!mithril.js最初の1歩
まだまだ戦えるweb!mithril.js最初の1歩
Keisuke Mori
Swiftを迷わず選んだ理由
Swiftを迷わず選んだ理由
zuckerburg
営業さんまで、社員全員がSQLを使う 「越境型組織」 ができるまでの3+1のポイント | リブセンス
営業さんまで、社員全員がSQLを使う 「越境型組織」 ができるまでの3+1のポイント | リブセンス
Livesense Inc.
20150121 jaws ug関西女子会
20150121 jaws ug関西女子会
Shinya Yamada
わかばさん向けAzure(Update)
わかばさん向けAzure(Update)
jazug_girls
わかば向けAzure
わかば向けAzure
jazug_girls
20160416 jaws days 2016 re cap
20160416 jaws days 2016 re cap
Shinya Yamada
AWS歴4ヵ月の勉強法
AWS歴4ヵ月の勉強法
Takeshi Wakamatsu
今すぐAWSが使いたくなる話
今すぐAWSが使いたくなる話
Hiroshi Ogino
ヤマムギVol.1 Opening
ヤマムギVol.1 Opening
Mitsuhiro Yamashita
WordPress 運用前の初期設定
WordPress 運用前の初期設定
Shigeki Takai
JAWS-UG 初心者支部#42 年始なので心機一転AWSアカウントを作成してみた
JAWS-UG 初心者支部#42 年始なので心機一転AWSアカウントを作成してみた
べこみん
Jaws ug aws-#30@anakagawa.pptx
Jaws ug aws-#30@anakagawa.pptx
AkihiroNakagawa1
Contenu connexe
Tendances
20181017 aurora serverless
20181017 aurora serverless
Hisayuki Mori
20140628第9会クラウド女子会 vpc
20140628第9会クラウド女子会 vpc
SachieMiyazaki
Slerがawsで運用してきた話
Slerがawsで運用してきた話
Sato Shun
Reserved Instances 活用物語
Reserved Instances 活用物語
Kieko Sakurai
Azureって何よ〜2017年の最新情報ゆるまとめ
Azureって何よ〜2017年の最新情報ゆるまとめ
jazug_girls
ぶっちゃけAIPスキャナってどうよ?~AIPスキャナ検証録~
ぶっちゃけAIPスキャナってどうよ?~AIPスキャナ検証録~
Akito Katsumata
フリーランスはじめました - 【初心者向けデザイン講座】デザインのスキルを身につけてお仕事をする方法!東洋美術学校×クラウドワークス
フリーランスはじめました - 【初心者向けデザイン講座】デザインのスキルを身につけてお仕事をする方法!東洋美術学校×クラウドワークス
Yuki Suzuki
オイシックスxAWS導入事例
オイシックスxAWS導入事例
Saori Tanaka
AWS in Kansai(JAWS-UG山形2013.09.07)
AWS in Kansai(JAWS-UG山形2013.09.07)
Toshiyuki Konparu
まだまだ戦えるweb!mithril.js最初の1歩
まだまだ戦えるweb!mithril.js最初の1歩
Keisuke Mori
Swiftを迷わず選んだ理由
Swiftを迷わず選んだ理由
zuckerburg
営業さんまで、社員全員がSQLを使う 「越境型組織」 ができるまでの3+1のポイント | リブセンス
営業さんまで、社員全員がSQLを使う 「越境型組織」 ができるまでの3+1のポイント | リブセンス
Livesense Inc.
20150121 jaws ug関西女子会
20150121 jaws ug関西女子会
Shinya Yamada
わかばさん向けAzure(Update)
わかばさん向けAzure(Update)
jazug_girls
わかば向けAzure
わかば向けAzure
jazug_girls
20160416 jaws days 2016 re cap
20160416 jaws days 2016 re cap
Shinya Yamada
AWS歴4ヵ月の勉強法
AWS歴4ヵ月の勉強法
Takeshi Wakamatsu
今すぐAWSが使いたくなる話
今すぐAWSが使いたくなる話
Hiroshi Ogino
ヤマムギVol.1 Opening
ヤマムギVol.1 Opening
Mitsuhiro Yamashita
WordPress 運用前の初期設定
WordPress 運用前の初期設定
Shigeki Takai
Tendances
(20)
20181017 aurora serverless
20181017 aurora serverless
20140628第9会クラウド女子会 vpc
20140628第9会クラウド女子会 vpc
Slerがawsで運用してきた話
Slerがawsで運用してきた話
Reserved Instances 活用物語
Reserved Instances 活用物語
Azureって何よ〜2017年の最新情報ゆるまとめ
Azureって何よ〜2017年の最新情報ゆるまとめ
ぶっちゃけAIPスキャナってどうよ?~AIPスキャナ検証録~
ぶっちゃけAIPスキャナってどうよ?~AIPスキャナ検証録~
フリーランスはじめました - 【初心者向けデザイン講座】デザインのスキルを身につけてお仕事をする方法!東洋美術学校×クラウドワークス
フリーランスはじめました - 【初心者向けデザイン講座】デザインのスキルを身につけてお仕事をする方法!東洋美術学校×クラウドワークス
オイシックスxAWS導入事例
オイシックスxAWS導入事例
AWS in Kansai(JAWS-UG山形2013.09.07)
AWS in Kansai(JAWS-UG山形2013.09.07)
まだまだ戦えるweb!mithril.js最初の1歩
まだまだ戦えるweb!mithril.js最初の1歩
Swiftを迷わず選んだ理由
Swiftを迷わず選んだ理由
営業さんまで、社員全員がSQLを使う 「越境型組織」 ができるまでの3+1のポイント | リブセンス
営業さんまで、社員全員がSQLを使う 「越境型組織」 ができるまでの3+1のポイント | リブセンス
20150121 jaws ug関西女子会
20150121 jaws ug関西女子会
わかばさん向けAzure(Update)
わかばさん向けAzure(Update)
わかば向けAzure
わかば向けAzure
20160416 jaws days 2016 re cap
20160416 jaws days 2016 re cap
AWS歴4ヵ月の勉強法
AWS歴4ヵ月の勉強法
今すぐAWSが使いたくなる話
今すぐAWSが使いたくなる話
ヤマムギVol.1 Opening
ヤマムギVol.1 Opening
WordPress 運用前の初期設定
WordPress 運用前の初期設定
Similaire à AWS SSOを導入してみた
JAWS-UG 初心者支部#42 年始なので心機一転AWSアカウントを作成してみた
JAWS-UG 初心者支部#42 年始なので心機一転AWSアカウントを作成してみた
べこみん
Jaws ug aws-#30@anakagawa.pptx
Jaws ug aws-#30@anakagawa.pptx
AkihiroNakagawa1
AWS サーバーレス開発用ローカルシミュレータを作った話
AWS サーバーレス開発用ローカルシミュレータを作った話
Munehiro Doi
Cloud on the BEACH 2016 - 会社にAWSを導入した話
Cloud on the BEACH 2016 - 会社にAWSを導入した話
Naoto Teruya
Infra as Code Sapppro Casual 札幌の開催趣旨とTest-Kitchenの話
Infra as Code Sapppro Casual 札幌の開催趣旨とTest-Kitchenの話
Terui Masashi
Aws io tで証明書を自動登録してデータをアップするまでのお話し
Aws io tで証明書を自動登録してデータをアップするまでのお話し
Yuji Chino
Solidus + Stripe で爆速!?ECサイト構築
Solidus + Stripe で爆速!?ECサイト構築
Tomoe Sawai
押さえておきたいサーバーセキュリティ
押さえておきたいサーバーセキュリティ
Takahisa Iwamoto
Aws summits2014 ガンホー・オンライン・エンターテイメント_スマホゲームを支えるインフラ運用
Aws summits2014 ガンホー・オンライン・エンターテイメント_スマホゲームを支えるインフラ運用
Boss4434
20150215勉強会
20150215勉強会
Fumiya Sakai
スタートアップだからこそ使うAWS(第5回JAWS-UG Nagoya)
スタートアップだからこそ使うAWS(第5回JAWS-UG Nagoya)
Tomotsune Murata
AWS SSO x On-Prem AD Easy IAM user management on Jtf2021
AWS SSO x On-Prem AD Easy IAM user management on Jtf2021
Yukiya Hayashi
AWS Startup Tech Lightning Talks 2015 Summer at dots.
AWS Startup Tech Lightning Talks 2015 Summer at dots.
Eiji Shinohara
Wio lte iot_hub
Wio lte iot_hub
Yoshinori Hayashi
マイクロソフトにおけるオープンソース戦略 ソフトウェア開発者が実現できること
マイクロソフトにおけるオープンソース戦略 ソフトウェア開発者が実現できること
Daisuke Masubuchi
メンバーズグループ福岡Meetup/メンバーズエッジに入社して変わったこと
メンバーズグループ福岡Meetup/メンバーズエッジに入社して変わったこと
Members_corp
twilio-ug福岡 twilio開発環境構築ハンズオン
twilio-ug福岡 twilio開発環境構築ハンズオン
Yutaka Fujisaki
東北での導入事例にみるAWS活用方法
東北での導入事例にみるAWS活用方法
Takuya Tachibana
Comparing cost of Azure with AWS
Comparing cost of Azure with AWS
Mayumi Mitaki
Jawsug青森支部の活動紹介
Jawsug青森支部の活動紹介
Takuya Tachibana
Similaire à AWS SSOを導入してみた
(20)
JAWS-UG 初心者支部#42 年始なので心機一転AWSアカウントを作成してみた
JAWS-UG 初心者支部#42 年始なので心機一転AWSアカウントを作成してみた
Jaws ug aws-#30@anakagawa.pptx
Jaws ug aws-#30@anakagawa.pptx
AWS サーバーレス開発用ローカルシミュレータを作った話
AWS サーバーレス開発用ローカルシミュレータを作った話
Cloud on the BEACH 2016 - 会社にAWSを導入した話
Cloud on the BEACH 2016 - 会社にAWSを導入した話
Infra as Code Sapppro Casual 札幌の開催趣旨とTest-Kitchenの話
Infra as Code Sapppro Casual 札幌の開催趣旨とTest-Kitchenの話
Aws io tで証明書を自動登録してデータをアップするまでのお話し
Aws io tで証明書を自動登録してデータをアップするまでのお話し
Solidus + Stripe で爆速!?ECサイト構築
Solidus + Stripe で爆速!?ECサイト構築
押さえておきたいサーバーセキュリティ
押さえておきたいサーバーセキュリティ
Aws summits2014 ガンホー・オンライン・エンターテイメント_スマホゲームを支えるインフラ運用
Aws summits2014 ガンホー・オンライン・エンターテイメント_スマホゲームを支えるインフラ運用
20150215勉強会
20150215勉強会
スタートアップだからこそ使うAWS(第5回JAWS-UG Nagoya)
スタートアップだからこそ使うAWS(第5回JAWS-UG Nagoya)
AWS SSO x On-Prem AD Easy IAM user management on Jtf2021
AWS SSO x On-Prem AD Easy IAM user management on Jtf2021
AWS Startup Tech Lightning Talks 2015 Summer at dots.
AWS Startup Tech Lightning Talks 2015 Summer at dots.
Wio lte iot_hub
Wio lte iot_hub
マイクロソフトにおけるオープンソース戦略 ソフトウェア開発者が実現できること
マイクロソフトにおけるオープンソース戦略 ソフトウェア開発者が実現できること
メンバーズグループ福岡Meetup/メンバーズエッジに入社して変わったこと
メンバーズグループ福岡Meetup/メンバーズエッジに入社して変わったこと
twilio-ug福岡 twilio開発環境構築ハンズオン
twilio-ug福岡 twilio開発環境構築ハンズオン
東北での導入事例にみるAWS活用方法
東北での導入事例にみるAWS活用方法
Comparing cost of Azure with AWS
Comparing cost of Azure with AWS
Jawsug青森支部の活動紹介
Jawsug青森支部の活動紹介
Dernier
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
akihisamiyanaga1
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
Yuki Kikuchi
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
UEHARA, Tetsutaro
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
Hiroshi Tomioka
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
FumieNakayama
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NTT DATA Technology & Innovation
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
FumieNakayama
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
博三 太田
Dernier
(8)
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
AWS SSOを導入してみた
1.
AWS SSOを 導入してみた SREチーム 大越 雄太
2020/09/10
2.
自己紹介 ● 大越 雄太
(Yuta Okoshi) ● 最近の経歴: 2020年5月に留学資金集めのためにフリーランスとして転生し 同時にハウテレビジョンのSREチームとしてJOIN ● HowTVでの主なお仕事: AWSのリソース整理など主にインフラ周り ● 趣味: IoT × サバイバルゲームでいろいろ作ってます チンチラと同居生活中 2
3.
Agenda 1. AWS SSOを導入して何が変わったの? 2.
導入時に起こったちょっとした問題 3. 今後やろうとしていることの紹介 3
4.
質問! 今までどうやって AWSにログインしてた? 4
5.
デフォルトのAWSログイン画面? 親の顔より見たログイン画面かも 5
6.
それともSwitchRole? 6
7.
AWSログイン画面の使いにくいころ 「AWSアカウントの番号とか知らんわw」 「パスワードリセットが管理者しかできんって マ?」 「AWSアカウントごとにIAMユーザーとポリシ ーを管理するのめんどくさすぎ。。。」 7
8.
SwitchRoleの使いにくいころ 「AWSアカウントの番号とか知らんわw」 「色が6つって少なスギィ!」 「Switch先のIAMロール名がわからん!」 「ブラウザのCookie削除したら 設定消えてもうた。。。」 8
9.
AWS SSOを 導入すると? 9
10.
自分がログインできる AWSアカウントとIAMロールが 初めから一覧で表示されます。 ログイン後の画面 10
11.
1つのAWSアカウント上で ユーザのアクセス管理ができる AWS SSOの構成図 11 このAWSアカウン トで管理するだけ
12.
AWS SSO導入して 管理者も開発者も みんなハッピー 12
13.
と思ったが、 そうは問屋が卸さず。。。😈 13
14.
「ローカル環境構築時に共通の アクセスキーを使ってるんだ けどどうすればいい?」 14
15.
ローカル環境構築時とは? 15
16.
ローカル環境構築時とは? こちらのキーが漏れると ・どこからでも シークレットマネージャーから値を取れてしまう ・誰がいつアクセスしたのか特定が難しい 16
17.
どのように解決したの? 17
18.
どのように解決したの? まずはローカル環境向けのシークレットマネ ージャーを商用から分離 肥沼さんありがとうございました!! 18
19.
どのように解決したの? AWS CLI v2で$aws
sso loginを行うとSSOユ ーザーでAWSにアクセスできるようになる。 その時のセッション情報を利用するように $ make dotenvの処理を書き換えた 19
20.
どのように解決したの? 20
21.
ひとまず一件落着👏 21
22.
アクセスキーの長期的な利用は AWSのベストプラクティスに沿 っていません! 参考資料:AWS アクセスキーを管理するためのベストプラクティス https://docs.aws.amazon.com/ja_jp/general/latest/gr/aws-access-keys-best-practices.html 22
23.
アクセスキーの発行は 必要最低限にしましょう! 参考資料:AWS アクセスキーを管理するためのベストプラクティス https://docs.aws.amazon.com/ja_jp/general/latest/gr/aws-access-keys-best-practices.html 23
24.
今後やろうとしていることの紹介 24
25.
AWS Client VPNの導入 ●
Basic認証でごまかしている部分の解消 ● 社員向け管理サイトのアクセス制御 25
26.
26 ● EC2インスタンスが落ちても表示できる メンテナンスページの仕組み作り ● ALBによるメンテナンス状態の切り替え メンテナンスページの分離
27.
Thank you! 27
Notes de l'éditeur
おもしろい話はあんまりできないんですが、 最近、ハウテレビジョン内でSSOを導入してみた そのときに経験したことをこちらで共有させていただければなと思います。
大越 雄太 (Yuta Okoshi) 最近の経歴: 2020年5月に留学資金集めのためにフリーランスとして転生し 同時にハウテレビジョンのSREチームとしてJOIN HowTVでの主なお仕事: AWSのリソース整理など主にインフラ周り 趣味: IoT × サバイバルゲームでいろいろ作ってます チンチラと同居生活中 チンチラ飼ってるよーとか、IoTガジェット作ってるって方はぜひお話させてください
AWS SSOを導入して何が変わったの? 導入時に起こったちょっとした問題 今後やろうとしていることの紹介
まず皆さんに質問です。 「今までどの画面からどうやってAWSコンソール画面にログインしていましたでしょうか? (ちょっと間を置く) あんまり今まで意識したことなかったと思うんですが、 ちょっとだけ思い出してみてください。
基本的にはこちらのログイン画面かなと思います。
それともSwitchRoleやAssumeRoleの利用でしょうか? これら2つのログイン方法には様々な使いにくい点があったと思います。
まず、AWSログイン画面についてですが、 こちらも使いにくい点がいくつかあったと思います。 開発者としては 「AWSアカウントの番号とか知らんわw」 「パスワードリセットが管理者しかできんってマ?」 管理者と「AWSアカウントごとにIAMユーザーとポリシーを管理するのめんどくさすぎ。。。」 みたいな点がありました
そして、SwitchRoleについても同じ点がいくつかありますが、 「AWSアカウントの番号とか知らんわw」 「色が6つって少なスギィ!」 「Switch先のIAMロール名がわからん!」 「ブラウザのCookie削除したら設定消えてもうた。。。」 みたいな点がありました
そして AWS SSOを導入すると、 これら問題をどうなったのか?
まず、開発者目線では 自分がログインできるAWSアカウントとIAMロールが初めから一覧で表示されるようになったので、 予め、ログイン先情報をスプレットシートにまとめたり Slackで渡したりする必要がなくなりました。
そして、管理者目線では 1つのAWSアカウント上でユーザーのアクセス管理ができるので 各AWSアカウントにログインしてIAMロール作って、信頼関係結んで、、、みたいな操作が一切必要なくなりました。 IAMロールについても各AWSアカウントにログインすることなくAWS SSOからプロビジョニングすることができます。
AWS SSO導入して 管理者も開発者もみんなハッピー!
と思ったが、 そうは問屋が卸さず。。。 とある問題がわかってきました。
「ローカル環境構築時に共通のアクセスキーを使っているんだけどどうすればいい?」とのことです。
では、ここでハウテレビジョンにおけるローカル環境構築時のフローを確認します
こちらのキーが漏れると ・どこからでもシークレットマネージャーから値を取れてしまう ・誰がいつアクセスしたのか特定が難しい状態でした。 もちろんシークレットマネージャーというだけあってDBのパスワードやIPアドレスなどめちゃくちゃセキュアな情報がある上に商用の値も参照できてしまう状態でした。
では、これら問題点をAWS SSOなどを利用してどのように解決したのかというと
まずはローカル環境向けのシークレットマネージャーを商用から分離 肥沼さんありがとうございました!!
まずAWS CLIでssoログインを行うとセッション情報がローカル環境に保存されます。 そちらの情報を利用してmake dotenvの処理が行われるように修正を行いました。
開発者の手順としては aws sso login を行うと cacheが保存される make dotenvを行う
みなさんにアクセスキーについてのお願いがちょっとここであります。 もしかしたらすでに知っている方もいるかもしれませんが、 同じアクセスキーの長期的な利用はAWSのベストプラクティスに沿っておらず 漏洩のリスクがあったりアクセス履歴も追いにくいので利用はあまり推奨されておりません。
アクセスキーの発行は必要最低限にして、 人間やローカル環境からアクセスキーを利用してアクセスするようなことは極力行わないように今後はしてください。 CircleCIなどの外部サービスからアクセスする場合などは必要なのでそういった選択肢がない場合のみ利用をお願いします。
Q.具体的にどのように処理を変更した? A. .env作成ツールはコンテナ上で動いていたのでローカルの.aws以下のマウント設定をしたり AWS SDK(Boto3)の6月のアップデートでマイナーバージョンが上がり1.14になったんだけどそのときに追加された機能を利用した。 Q.この問題点はなんで気がついた? A. ローカル環境をコンテナ化するプロジェクトが別で動いていてそちらの方とお話する中で気がついた
Télécharger maintenant