シンジです。以前のブログ、「最強のセキュリティでAWSマネジメントコンソールにアクセスする方法」や、「AWSを使い始めたら絶対にやるべきセキュリティ対策」でも軽く触れたとおり、cloudpackではAWSマネジメントコンソールのログイン時にユーザー名とパスワードを使わない上に、多要素認証を加えています。絶対に公開できない画面にモザイクかけまくって動画にしましたのでご覧下さい。
概要
- 全ての環境は閉域網内にある
- ActiveDirectoryによるユーザー管理を行っている
- パソコンにログインするアカウントでAWSマネジメントコンソールにSSOする
- 自社製WebアプリにログインしないとAWSにアクセスできない
- AWSへのログインはSAMLによるフェデレーションログインを行う
- リードオンリー、アドミン権限とあり、アドミンの場合は「理由」が必要
とりあえず動画をどうぞ
cloudpackの場合、管理対象のAWSアカウントの数が半端じゃないので、専用のWebアプリで管理するようにしています。冒頭で画面の右側に出てくるのはiPhoneの画面で、ここで多要素認証をしています。数字を入れるタイプではなく、下から上にシュってやるやつww
SSOには Ping Federate を採用しています
これも閉域網内にあるEC2上で稼働させています。認証情報そのものを持つわけではないので、大変安全なSSOを構築出来ます。しかも安い。
リードオンリーはフリーアクセスで、アドミン権限は理由が無いとダメよ
アドミンでアクセスしづらくしています。カジュアルにAWS環境を見たいときは、リードオンリーを積極的に使わせるためです。
そして、アドミンでアクセスするということは、何か作業をしたいと言うことです。作業をすると言うことは、そこに課題があるということなので、課題管理ツールのBacklogと連携するように出来ています。
ここはSOC2で指摘された点だったので、実装しました。
ということで同じように実装したいけどどうしたらいいか分からんという方
可能な限り協力しますのでシンジまでご連絡どうぞ〜〜
