際際滷

際際滷Share a Scribd company logo

MSPとしてのオペチ`鬚ReadOnly IAMポリシ`

?
?
Makoto Miida
Makoto Miida

DEVIO-MTUP11-TOKYO-013

1 of 12
Download to read offline
MSPとしてのオペチ`鬚 ReadOnly IAMポリシ` ? Classmethod, Inc. 1 DEVIO-MTUP11-TOKYO-013 クラスメソッド幄塀氏芙 眉小弥 2014定12埖16晩 #cmdevio
徭失B初 ? 眉小弥\┐澆い寸 ? id: macotomii ? AWSコンサルティング何 ? 2014定3埖秘芙 ? AWSオペレ`ションチ`ム┘ペチ` ? 麼にQA鬄嬾墾鬄協箭恬I鬉覆 ! ? ダジャレ挫き ? 醍禿狭遣挫き ? Classmethod, Inc. 2
アジェンダ ? リ`ドオンリ`慙泙離船紿`ニング ? MSPからたチュ`ニングのポイント ! ? Let¨s tunings ? 屡贋Read Only Accessの俐屎 ? Read Only Accessに根まれない麿サ`ビスのポリシ`y栽 ? Classmethod, Inc. 3
AWSuポリシ`テンプレ`ト IAM -> User/Group/Role -> Attach ** Policy ? Classmethod, Inc. 4
チュ`ニングのポイント ¥ テンプレ`トは、〆旋喘宀鬚院始覿┐繁爾錣譴 ¥ リ`ドオンリ`什里任瞠iめてしまう、と醤栽が いことがある ¥ リ`ドオンリ`のテンプレ`トには秘ってない嗤吩 なAPI Actionもある ? Classmethod, Inc. 5
Let¨s tuning! IAMポリシ`の箭 ? Classmethod, Inc. 6 { "Version": "2012-10-17", "Statement": [ { "Action": [ "ds:Check*", "ds:Describe*", "ds:Get*", "ds:List*", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSubnets", "ec2:DescribeVpcs" ], "Effect": "Allow", "Resource": "*" } ] } この橿い何蛍、 アクションをチュ`ニング していきます
Let¨s tuning! S3のReadOnly ? Classmethod, Inc. GetObjectのS辛は 醤栽がいので??? C畜來 7 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": "*" } ] } { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucket*", "s3:GetLifecycleConfiguration", "s3:GetObjectAcl", "s3:GetObjectTorrent", "s3:GetObjectVersion", "s3:GetObjectVersionAcl", "s3:GetObjectVersionTorrent" ], "Resource": "*" } ] }
Let¨s tuning! DynamoDBのReadOnly ? Classmethod, Inc. GetItemのS辛は 醤栽がいので??? C畜來 8 "dynamodb:BatchGetItem", "dynamodb:DescribeTable", "dynamodb:GetItem", "dynamodb:ListTables", "dynamodb:Query", ^dynamodb:Scan", ! ☆ポリシ`テンプレ`トでは、  麿にB亊するcloudwatchや  datapipelineのアクションも  あります "dynamodb:DescribeTable", ^dynamodb:ListTables", ! ☆ここまでgっちゃいました
Let¨s tuning! EC2のReadOnly ? Classmethod, Inc. お栽せのH、トラブルシュ`ト を屶址するために??? 9 { "Effect": "Allow", "Action": "ec2:Describe*", "Resource": "*" }, ! ☆麿にB亊するcloudwatchや  ELB, AutoScalingのアクションも  あります { "Effect": "Allow", "ec2:Describe*", "ec2:GetConsoleOutput", "Resource": "*" }, ! ☆コンソ`ルログを弖紗しました
Let¨s tuning! 麿サ`ビスのReadOnlyをy栽 Route 53 Domains, CloudWatch Logsの リ`ドオンリ`慙泙鰈啓咾靴討澆茲Γ !  ☆栽せの寄磯は、O協圭隈などについてです ? Classmethod, Inc. 10 { "Effect": "Allow", "route53domains:Get*", ^route53domains:List*", "logs:Describe*" "Resource": "*" }, ! ☆怎しました
恷瘁に ? 畜なチュ`ニングには糠が孵れる.灰弔錬 ? APIリファレンスと嶼措くなる ? APIはAWSで採が竃栖るのかの秘り笥」圓困 しくなってきて、採かと岑Rがつくw ! ? お人との弐s訳で、ReadOnlyと冱わずに、PowerUser慙泙鯲jしてもらう ? Classmethod, Inc. 11
? Classmethod, Inc. #cmdevio ご床ありがとうございました。 スライドは瘁晩ブログで巷_します。 12 DevIO MTUP11-001 I am IAMer´ 哀兔‖蕋。

More Related Content

MSPとしてのオペチ`鬚ReadOnly IAMポリシ`

  • 1. MSPとしてのオペチ`鬚 ReadOnly IAMポリシ` ? Classmethod, Inc. 1 DEVIO-MTUP11-TOKYO-013 クラスメソッド幄塀氏芙 眉小弥 2014定12埖16晩 #cmdevio
  • 2. 徭失B初 ? 眉小弥\┐澆い寸 ? id: macotomii ? AWSコンサルティング何 ? 2014定3埖秘芙 ? AWSオペレ`ションチ`ム┘ペチ` ? 麼にQA鬄嬾墾鬄協箭恬I鬉覆 ! ? ダジャレ挫き ? 醍禿狭遣挫き ? Classmethod, Inc. 2
  • 3. アジェンダ ? リ`ドオンリ`慙泙離船紿`ニング ? MSPからたチュ`ニングのポイント ! ? Let¨s tunings ? 屡贋Read Only Accessの俐屎 ? Read Only Accessに根まれない麿サ`ビスのポリシ`y栽 ? Classmethod, Inc. 3
  • 4. AWSuポリシ`テンプレ`ト IAM -> User/Group/Role -> Attach ** Policy ? Classmethod, Inc. 4
  • 5. チュ`ニングのポイント ¥ テンプレ`トは、〆旋喘宀鬚院始覿┐繁爾錣譴 ¥ リ`ドオンリ`什里任瞠iめてしまう、と醤栽が いことがある ¥ リ`ドオンリ`のテンプレ`トには秘ってない嗤吩 なAPI Actionもある ? Classmethod, Inc. 5
  • 6. Let¨s tuning! IAMポリシ`の箭 ? Classmethod, Inc. 6 { "Version": "2012-10-17", "Statement": [ { "Action": [ "ds:Check*", "ds:Describe*", "ds:Get*", "ds:List*", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSubnets", "ec2:DescribeVpcs" ], "Effect": "Allow", "Resource": "*" } ] } この橿い何蛍、 アクションをチュ`ニング していきます
  • 7. Let¨s tuning! S3のReadOnly ? Classmethod, Inc. GetObjectのS辛は 醤栽がいので??? C畜來 7 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": "*" } ] } { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucket*", "s3:GetLifecycleConfiguration", "s3:GetObjectAcl", "s3:GetObjectTorrent", "s3:GetObjectVersion", "s3:GetObjectVersionAcl", "s3:GetObjectVersionTorrent" ], "Resource": "*" } ] }
  • 8. Let¨s tuning! DynamoDBのReadOnly ? Classmethod, Inc. GetItemのS辛は 醤栽がいので??? C畜來 8 "dynamodb:BatchGetItem", "dynamodb:DescribeTable", "dynamodb:GetItem", "dynamodb:ListTables", "dynamodb:Query", ^dynamodb:Scan", ! ☆ポリシ`テンプレ`トでは、  麿にB亊するcloudwatchや  datapipelineのアクションも  あります "dynamodb:DescribeTable", ^dynamodb:ListTables", ! ☆ここまでgっちゃいました
  • 9. Let¨s tuning! EC2のReadOnly ? Classmethod, Inc. お栽せのH、トラブルシュ`ト を屶址するために??? 9 { "Effect": "Allow", "Action": "ec2:Describe*", "Resource": "*" }, ! ☆麿にB亊するcloudwatchや  ELB, AutoScalingのアクションも  あります { "Effect": "Allow", "ec2:Describe*", "ec2:GetConsoleOutput", "Resource": "*" }, ! ☆コンソ`ルログを弖紗しました
  • 10. Let¨s tuning! 麿サ`ビスのReadOnlyをy栽 Route 53 Domains, CloudWatch Logsの リ`ドオンリ`慙泙鰈啓咾靴討澆茲Γ !  ☆栽せの寄磯は、O協圭隈などについてです ? Classmethod, Inc. 10 { "Effect": "Allow", "route53domains:Get*", ^route53domains:List*", "logs:Describe*" "Resource": "*" }, ! ☆怎しました
  • 11. 恷瘁に ? 畜なチュ`ニングには糠が孵れる.灰弔錬 ? APIリファレンスと嶼措くなる ? APIはAWSで採が竃栖るのかの秘り笥」圓困 しくなってきて、採かと岑Rがつくw ! ? お人との弐s訳で、ReadOnlyと冱わずに、PowerUser慙泙鯲jしてもらう ? Classmethod, Inc. 11
  • 12. ? Classmethod, Inc. #cmdevio ご床ありがとうございました。 スライドは瘁晩ブログで巷_します。 12 DevIO MTUP11-001 I am IAMer´ 哀兔‖蕋。