参加してきました、と言っても、オンラインセミナー(Webinar)でしたが。
内容は、
6月17日(水)
セミナー内容:
AWSサービス及びリソースへのアクセスを安全にコントロールするためのAWS Identity and Access Management(IAM)はAWSにおけるセキュリティを考える上で欠かすことのできない重要な機能です。 IAMの基本的な概念や使い方の説明から、そのベストプラクティス、昨年よりさらに充実した監査やセキュリティ対策に役立つ新機能についてご紹介いたします。
「AWS Solutions Architect ブログ: 2015年6月のAWS Black Belt Tech Webinarのご案内〜AWS Summit 振り返り & 新サービス月間」より
というもので、「IAM のベストプラクティス」というキーワードに魅かれて、Black Belt Tech Webinar に初参加してみたのでした。
スライドはこちら。
気になった事柄をメモ。
- AWSルートアカウントは極力利用しない
- IAMのアクセスポリシーが適用されない、などの理由から
- 従来のポリシー(インラインポリシーと呼ばれる)に加えて、2月から「管理ポリシー」が追加された
- 管理ポリシーには、「AWS管理ポリシー」と「カスタム管理ポリシー」がある
- AWS管理ポリシーは、AWSのユースケースに基づいて新サービスにも自動で対応
- ポリシー言語の Resource は、ARN (Amazon Resource Name) 形式で指定
- 「明示的で Deny」で指定するのが最も強く、次に Allow、デフォルトは Deny
- IAM Policy Generator(policygen)
- 3月から、ポリシー言語の文法チェックができるように
- 5月から、シミュレータが利用可能に
- リソースベースのポリシーで、クロスアカウントアクセスができる
- CloudTrail は全リージョンでの有効化を推奨
IAM のベストプラクティスと言えば、
とか、
を読んでいたのですが、後者は Webinar内でも言及されていました。