Amazon Web Services ブログ

Category: AWS Identity and Access Management (IAM)

InfosysEquinoxで小売業向けのマイクロサービスアーキテクチャを構築する方法

eコマースはより重要になってきている 2021年4月のこちらのForbesの記事によると、世界のeコマースの売上高は4.2兆ドルに達すると予想され、英国、日本、米国の消費者調査では、オンラインショッピングが食料品の買い物方法として、ますます多くの消費者から好まれつつあることが示されました。この記事では食料品の買い物に言及しているだけですが、消費者は他の製品にもおいてもeコマースを好むようになっていると考えて間違いありません。 主にCOVID-19の大流行による、消費者行動の劇的な変化により、多くの小売業者はデジタルコマースに重点を置くようになりました。 しかしながら、多くの小売業者は、単純にモノリシックなeコマースWebサイトを設置しているだけです。 さらに、消費者が小売業者と関わることが可能なデジタルタッチポイントは今日多くあります。加えて、買い物客の期待は音声、店舗、Web、ソーシャルメディア、その他チャネルに渡る一貫したオムニチャネルでのユーザー体験です。したがって、小売業者はモノリシックなWebサイトでは、eコマースビジネスを素早く拡大できません。 これを念頭に置いて、柔軟なマイクロサービスを利用するモダンなeコマースプラットフォームを作成するための重要な要素と、小売業者がモノリシックなウェブサイトからマイクロサービスアーキテクチャに移行するにあたり、AWS Retail Competency Partner である Infosys Equinox がどのようにサポートできるかについて説明します。

Read More

AWS 環境への一時的な昇格アクセスの管理

本記事は Managing temporary elevated access to your AWS environment を翻訳したものです。 この投稿では、一時的な昇格アクセスを実装することによって、AWS 環境へ人がアクセスすることに伴うリスクをどのように軽減できるのかについて学びます。また、最小限のリファレンス実装をダウンロードすることができ、それを出発点として、あなたの組織に合わせた一時的な昇格アクセスソリューションを構築することができます。

Read More

動的に生成された IAM ポリシーで SaaS テナントを分離する

この記事は、AWS SaaS Factoryのシニアパートナーソリューションアーキテクトである Bill Tarrによって書かれました。 多くの Software-as-a-Service (SaaS) プロバイダーは、テナント分離戦略の根幹として AWS Identity and Access Management (IAM) を活用しています。 IAM により、組織は一連のポリシーとロールを定義することができ、リソースへのアクセス時にテナントの境界を越えないようにすることが可能です。 ここでの課題は、多くの組織がテナントごとに個別のポリシーを作成しなければならないことです。これにより、テナントポリシーの数が爆発的に増加し、その結果 IAM のアカウント制限に達してしまうことがあります。 さらに重要なのは、このポリシーの数が急増すると、管理と更新が手に負えなくなる可能性があることです。ポリシーの一部を変更し、その変更をシステム内のすべてのテナントに展開することを想像してみてください。すぐに環境の管理性と俊敏性が損なわれます。 AWS SaaS Factory によるこの記事では、動的なポリシー生成によって、よりスケーラブルで管理しやすいテナント分離エクスペリエンスがどのように生み出されるかを見ています。この投稿は、このエクスペリエンスの土台となる部分に焦点を当て、動的なポリシー生成を支えるのに必要なメカニズムを導入するための手法を説明します。

Read More

Amazon SageMaker エンドポイントと IAM を使用した SaaS テナント分離の実装

この記事は、Implementing SaaS Tenant Isolation Using Amazon SageMaker Endpoints and IAM を翻訳したものです。 本投稿は、AWS の Sr. Solutions Architect である Michael Pelts と、DoiT International 社の Sr. Cloud Architect である Joshua Fox により寄稿されました。 マルチテナントの SaaS (Software-as-a-Service) プロバイダーが機械学習サービスの活用を検討する際には、異なるテナントからこれらのサービスに出入りするデータをどのように保護するかを検討する必要があります。 SaaS プロバイダーは、機械学習 (ML) サービスへのリクエストごとに、各テナントのデータがクロステナントアクセス (テナントの境界を超えた相互アクセス) から確実に保護されるような分離構造を導入する必要があります。 (原文寄稿者である) Michael は AWS にて、Joshua は DoiT International 社にて、それぞれデジタルネイティブな企業に対して支援を行うクラウドアーキテクトです。DoiT International 社は AWS アドバンスドコンサルティングパートナーであり、マネージドサービスプロバイダー (MSP) としてインテリジェントなテクノロジーと無制限のアドバイザリー、テクニカル、クラウドエンジニアリングのサポートを提供しています。 私たちの経験では、ML サービスプロバイダーの中には、テナントリソースを分離しているところもあれば、全てのテナントでリソースを共有しているところもあります。 […]

Read More

IAM Access Analyzer を使用して CloudFormation テンプレートで IAM ポリシーを検証する

本記事は Validate IAM policies in CloudFormation templates using IAM Access Analyzer を翻訳したものです。 本投稿は、Sr. Solutions Architect – the AWS Identity Solutions team の Matt Luttrell により寄稿されました。 このブログ記事では、 AWS CloudFormation テンプレートから AWS Identity and Access Management (IAM) ポリシーを抽出し、テンプレートに対して既存の IAM Access Analyzer policy validation API を実行できるようにするオープンソースツールである AWS CloudFormation IAM Policy Validator (cfn-policy-validator) について説明します。

Read More
Approach to least privilege

最小権限実現への4ステップアプローチ 後編

AWS のセキュリティベストプラクティスを実現するに当たり、「最小権限の原則」に戸惑ったことはありませんか? AWS の利用では AWS Identity and Access Management (IAM) サービスを避けて通ることは出来ません。そのベストプラクティスとして掲げられているのが、最小権限の原則です。特に強固なセキュリティを求めるユースケースではこの原則の実現が課題になることが多いかと思います。本ブログでは、この最小権限の原則をシステマチックに検討するアプローチの一例をご紹介します。

Read More
Approach to least privilege

最小権限実現への4ステップアプローチ 前編

AWS のセキュリティベストプラクティスを実現するに当たり、「最小権限の原則」に戸惑ったことはありませんか? AWS の利用では AWS Identity and Access Management (IAM)サービスを避けて通ることは出来ません。そのベストプラクティスとして掲げられているのが、最小権限の原則です。特に強固なセキュリティを求めるユースケースではこの原則の実現が課題になることが多いかと思います。本ブログでは、この最小権限の原則をシステマチックに検討するアプローチの一例をご紹介します。

Read More

2020年 AWS Container Security Surveyの結果

この記事は、Results of the 2020 AWS Container Security Survey ( 2020/12/03 投稿 ) を翻訳したものです。 2019 年、我々は初めて AWS Container Security Survey を発表しました。そして、 2020 年も皆様に本 Survey を提供します。 2019 年と同様に、2020 年も AWS のコンテナユーザーに対し匿名での調査を実施しました。調査ページにアクセスした 655 名のうち 295 名が回答に着手し、そのうち 156 名が最後まで回答してくださいました(完了率 52 %)。かかった時間は平均 10 分強でした。質問を提案して下さった方々 及び 本 Survey の拡散に協力してくださった方々に改めてお礼申し上げます。 ご参加いただいた皆様、ご意見をお寄せいただいた皆様、本当にありがとうございました。 グラフを見ると、全体的にコンテナセキュリティに関するグッドプラクティスの点で、良い傾向があることがわかります。スキャニングからポリシーに至るまで、ほぼ全ての主要な項目で 2019 年と比べて採用率が上昇しました。特に、 2 つの点が目立っています。 “supply chain management” への取り組みが低下しているように見えますが、この理由については、調査での質問に関連性があるのか、それともより深い理由があるのか、根本的な理由を明らかにするための調査が必要です。 “signing container […]

Read More
jpmne-quickly-create-a-live-streaming-channel-with-aws-elemental-medialive-workflow-wizard

ライブストリーミングチャンネルをAWS Elemental MediaLive Workflow Wizardで素早く作成する

モバイルの視聴者やウェブサイトに向けて様々な用途でビデオをストリーミングする必要性が高まっています。AWS Elemental MediaLiveは、自動化されたWorkflow Wizardを提供し、数回クリックするだけでライブストリーミングのワークフローを作成することができます。これにより、教育関係者、マーケティング担当者、社内広報チームなどが、ビデオストリーミング技術に関する深い知識がなくても、簡単に大規模なビデオコンテンツを共有できるようになります。

Read More

SaaSテナント分離をAWS IAMとABACで実装する方法

この記事は、How to implement SaaS tenant isolation with ABAC and AWS IAMを訳したものです。 マルチテナントアプリケーションにおいては各テナントのリソースが他のテナントからアクセスできないように設計を行う必要があります。AWS Identity and Access Management (IAM) は多くの場合、この目的を達成するための重要な要素となりえます。一方で、IAMを用いることによる課題の一つとして、テナント分離を実現するのに必要な IAM ポリシーの数と複雑さが急速に拡大することにより分離モデルの規模と管理性に影響を与えることが挙げられます。IAM の 属性ベースのアクセスコントロール (ABAC) の仕組みはこの課題を解決するための方法を開発者に提供しています。 このブログ記事では、IAM の ABAC を用いてマルチテナント環境のテナント分離を実装する方法について解説します。

Read More