9/28(月)JAWS-UG朝会に参加しましたので、参加レポートを書きます。
目次
イベントページ
セッションとLT
ラジオ体操
まずはいつも通り恒例のラジオ体操から始まりました。朝は体を動かすの大事ですね! ちゃんとPCの前でラジオ体操第一やりました!!
AWS Single Sign-Onのお話 鄭昌浩さん
- AWS SSOとは2020年9月3日に東京リージョンでGAされたサービス
- Organizationsのサブ機能的な位置づけ
- SAML2.0準拠のクラウドアプリケーション(Datadog、GitHubなど)にシングルサインオンが可能
- AWS Organizations マルチアカウントにシングルサインオン。それぞれのコンソールにログオン可能
- マルチアカウントのアクセス管理、サインインが容易に
- Organizationsの利用が前提で全機能有効化が必須
- 有効後に作成されたアカウントでは承認処理が不要
- AWS SSOの設定
- MFAとポータルとなるURLの設定
- アクセス権限セットの設定
- アプリケーションの設定
- グループとユーザの作成(IAMユーザとは全く別のもの)
- アカウントを本番系、開発系で完全に分離して誤アクセス予防するなどの用途に
- Organizationsを使っている人は使ってみては?
最後に現職を今月末(明後日)で退職して、10月からAWS社員に転職が決まっているとのこと。 おめでとうございます!!ビックリしてここまでの内容が吹っ飛びそうでしたw
Cognito、Azure ADと仲良くしてみた 近藤 恭史さん
www.slideshare.net
Cognito
- Web、モバイルアプリケーション向けのユーザ認証機能を提供するサービス
- Cognito User Pool、Cognito ID Pool、Cognito Syncがある。
- Cognito User Poolは、ユーザ認証と管理を行う。ldp連携も可能。
Azure ADとは
業務システムごとにサインイン、ユーザー管理するのは面倒
- サインインの画面を準備するのは手間
- Amplifyで一から作るより楽にできるけど、日本語化など手を加えることが必要になる。
- CognitoとAzure ADで仲よくすることで解決
- User Pool とAzure ADをSAML2.0で連携してAzure ADでユーザ管理
ClientvpnとPrivate CA 富松 広太さん
www.slideshare.net
ClientVPN
Permission Boundary をやっと理解できたので誰か聞いてくれ(雑) 大竹 孝昌さん
www.slideshare.net
- Permission Boundaryはアカウント内から制御する。OrganizationsのSCPはアカウントの外から制御する。
- 権限の委任はしたいけど特定の操作は制限したい場合にPermission Boundaryを使用。
- ここまで条件がそろってる場合は不要
- IAM権限を持つ人に十分なスキルがある。
- チーム内が比較的小規模である。
- チーム内の信頼関係が十分構築されている。
- IAMをマスターすることは良いAWSライフを送れるための第一歩
AWSでたくさんお金を使っちゃった話 高原未菜さん
www.slideshare.net
- Amazon様に150万円/月もの課金をしてしまった。
性能測定のためにRDS/Auroraに約15TBの料金がかかっていた。
改善策
- 性能測定データはスナップショットを作成しS3に保管する。
- 性能測定以外はRDSをインスタンスごと削除
節約術
- DynamoDBのデフォルト設定でテーブルを作ると、未使用でも1テーブル400円くらいかかる。
- オンデマンドにすると未使用の場合でも0円になる。未使用テーブルが8つあったので、3,000円節約できた。
150万円、額の大きさにただただ驚きでした…PoCやハンズオンが終わって作った環境を使う見込みがないならば、とにかく削除した方がいいと改めて思いました。私は個人アカウントなので、これと同じことやったらと思うと恐ろしい…
最後に
テーマを設けていなかったのにほとんど認証認可の話になったのは、それだけセキュリティ、特に認証認可に関心が強い方が多いからだと思いました。サービスを展開する上でとにかく守らなければならないところですが、今日お話を聞いていて理解不十分なことがわかりました。もう一度、SAML、SSOなど認証認可周りを勉強したくなりました。