AWS re:Inforce 2023における the identity and access management sessions のガイド

AWS re:Inforce 2023が間近に迫ってきました。この投稿では、Identity and access managementのセッションをご紹介することで、皆様の計画に役立てます。AWS re:Inforceは、クラウドセキュリティ、コンプライアンス、アイデンティティ、プライバシーについて詳しく学ぶことができる学習型カンファレンスです。何百ものテクニカルおよびノンテクニカルなセッション、AWS Security Competenciesを持つセキュリティパートナーを集めたAWS Partner Expo、AWS Securityのリーダーによる基調講演やリーダーシップセッションにアクセスすることができます。AWS re:Inforce 2023は、6月13日と14日にカリフォルニア州アナハイムで直接開催されます。 re:Inforce 2023の特徴は、以下の6つの分野のコンテンツです：

• Identity and access management
• Data protection
• Application security
• Governance, risk, and compliance
• Network and infrastructure security
• Threat detection and incident response

Identity and access managementでは、AWS環境におけるアイデンティティ管理とガバナンスのための推奨プラクティスと学習が共有されます。AWSの実際のお客様からは、優れた顧客体験のためのCIAM（Customer Identity and Access Management）パターンの構築や、標準、昇格、特権労働者のアクセス管理のための新しいアプローチについて聞くことができます。また、AWSのリーダーからは、アクセスインサイトによる最小特権へのJourneyの加速と、ゼロトラストアーキテクチャにおけるIDの役割について聞くことができます。

この記事では、ブレイクアウトセッション、チョークトーク、コードトーク、ライトニングトーク、ビルダーズセッション、ワークショップなど、サインアップできるアイデンティティおよびアクセス管理セッションの一部を紹介しています。完全なカタログは、AWS re:Inforceのカタログプレビューをご覧ください。

ブレークアウトセッション

AWSのエキスパート、ビルダー、顧客、パートナーによって提供される、あらゆるレベルのトピックをカバーする講義スタイルのプレゼンテーションです。ブレイクアウトセッションの最後には、通常10～15分のQ&Aが含まれます。

IAM201: A first-principles approach: AWS Identity and Access Management (IAM)

AWS上で効果的かつ安全に構築する方法を学ぶには、AWS Identity and Access Management (IAM)の実務知識からスタートとなります。AWS上で構築するエンジニアを対象とした本セッションでは、専門用語を使わず、IAMへの最初の原則的なアプローチを探ります。IAMの認証・認可ポリシーの基本的な概念と、AWS上で実行するワークロードにすぐに適用できる具体的なテクニックを学ぶことができます。

IAM301: Establishing a data perimeter on AWS, featuring USAA

このセッションでは、信頼できるアイデンティティと、予想されるネットワークから信頼できるリソースへのアクセスを管理するのに役立つデータ境界制御を深く掘り下げます。USAAは、セキュリティとAWSアイデンティティおよびアクセス管理（IAM）ベースラインを組み込むために自動化を使用して、セルフサービスマインドセットを強化する方法を共有します。セキュリティに妥協することなく分散化をサポートするために、データ境界をどのように使用しているかをご覧ください。また、USAAが脅威ベースのアプローチを使用して、特定のデータ境界の実装の優先順位を決定する方法についてもご紹介します。

IAM302: Create enterprise-wide preventive guardrails, featuring Inter & Co.

このセッションでは、AWS Organizationsとサービスコントロールポリシー（SCP）を使って、マルチアカウント環境内で権限ガードレールを確立する方法について学びます。SCPを効果的に使用することで、セキュリティの高い水準を維持しながら、ビルダーがAWS上でどのようにイノベーションを起こすことができるのか、その方法を探ります。組織内のさまざまなレベルでSCPを組み込むための戦略について学びます。さらに、Inter & Co.は、マルチアカウント環境において、企業規模のガードレールを実装するための戦略を共有しています。また、コードリポジトリとCI/CDパイプラインを使用して、SCPの承認とデプロイメントを管理する方法についてもご紹介します。

IAM303: Balance least privilege & agile development, feat. Fidelity & Merck

複数のAWSアカウントを保護することと、ビジネスイノベーションを加速させるアジャイル開発を可能にすることの適切なバランスを見つけることは、AWSのお客様にとってクラウド導入の旅の鍵でした。本セッションでは、Fidelity社とMerck社が、セキュリティ標準に準拠し、ガードレール内で大規模に運用しながらも、ビジネス関係者が迅速にソリューションを開発できるようにした方法についてご紹介します。

IAM304: Migrating to Amazon Cognito, featuring approaches from Fandango

顧客向けアプリケーションのデジタルトランスフォーメーションでは、セキュリティとユーザーエクスペリエンスを向上させるために、アイデンティティとアクセス管理の変更が行われることがよくあります。このプロセスでは、急成長するテクノロジーやオープンスタンダードの恩恵を受け、ビジネスが必要とするセキュリティとスケールを提供するAmazon Cognitoなどの最新の顧客IDおよびアクセス管理ソリューションへの移行が必要になる場合があります。Amazon Cognitoにユーザーを移行するアプローチにはいくつかの方法があります。このセッションでは、オプションとベストプラクティス、そしてFandangoのAmazon Cognitoへの移行から学んだ教訓について学びます。

IAM305: Scaling access with AWS IAM Identity Center, feat. Allegiant Airlines

このセッションでは、組織内のあらゆるAWSアカウントへのフェデレートされたロールベースのアクセスを自動化することによって、ユーザーやグループへの権限セットの割り当てを拡張する方法について学びます。本セッションのハイライトとして、5,000人以上の従業員を抱えるアレジアント航空が、この自動化によって連携アクセスの一元管理を実現した成功事例を紹介します。また、TerraformやAWS CloudFormationなどのInfrastructure as Codeツールを使って、CI/CDパイプラインでこの自動化を自分の環境に構築する方法を探ります。

IAM306: Managing hybrid workloads with IAM Roles Anywhere, featuring Hertz

AWS Identity and Access Management (IAM) Roles Anywhereを使用する上で重要な要素は、アイデンティティがワークロードにどのように割り当てられるかを管理することです。このセッションでは、ワークロードの識別子を定義し管理する方法、属性ベースのアクセス制御（ABAC）を介してAWSリソースへのアクセスを制御するためにこれらの識別子を使用する方法、およびこれらの識別子が実行するアクティビティを監視および監査する方法について学びます。重要な概念、ベストプラクティス、およびトラブルシューティングのヒントを発見してください。Hertzは、SalesforceからAWSサービスへのアクセスを保護するためにIAM Roles Anywhereを使用した方法と、それによって全体的なセキュリティ姿勢がどのように改善されたかを説明しています。

IAM307: Steps towards a Zero Trust architecture on AWS

現代の職場は、ハイブリッド環境やマルチクラウド環境に拡大し、従来のネットワーク境界を越えて進化しています。情報セキュリティチームにとって、アイデンティティは中心的な存在になっています。きめ細かいIDベースの承認、柔軟なID認識ネットワーク、データへの不要な経路の削除の必要性から、ゼロトラストの原則とアーキテクチャの採用が加速しています。このセッションでは、重要なデータやワークロードへの標準的なアクセス、機密アクセス、特権アクセスを保護するために適用できる、AWSから利用できるさまざまなアーキテクチャパターンとセキュリティメカニズムについて学びます。

ビルダーズセッション

AWSのエキスパートが指導する少人数制のセッションで、ご自身のノートパソコンでサービスや製品を構築していただきます。自分のノートPCを使って、AWSのエキスパートと一緒に実験や構築を行います。

IAM351: Sharing resources across accounts with least-privilege permissions

リソースのアクセス制御の権限を管理したいとお考えでしょうか？AWS Resource Access Manager (AWS RAM)を使用して共有されたリソースに最小特権アクセスを提供するために、カスタマーマネージドパーミッションをオーサリングする方法を学びます。AWS Systems Manager Incident Managerによるインシデントレスポンスの管理から、Amazon VPC IP Address ManagerによるIPセキュリティの強化まで、さまざまなユースケースで顧客管理権限を使用する方法について説明します。

IAM352: Cedar policy language in action

Cedarは、誰が何にアクセスすべきかを記述するポリシーとしてパーミッションを定義するための言語です。Amazon Verified PermissionsとAWS Verified Accessは、Cedarを使用してアプリケーションとエンドユーザーに対するきめ細かいパーミッションを定義しています。このビルダーズセッションでは、アクセスコントロールのためのCedarポリシーを構築することで学びましょう。

IAM355: Using passwordless authentication with Amazon Cognito and WebAuthn

近年、パスワードレス認証が盛んになってきています。2009年にいち早くパスワードレスを実現したFIDOアライアンスは、”パスワードに過度に依存する世の中を減らすための認証規格の開発・普及 “をミッションに掲げるオープンな業界団体であります。このビルダーズセッションでは、参加者はAmazon Cognitoを使用して、Webまたはモバイルアプリケーションにパスワードレス認証を実装するための手順について学び、その手順に従うことができます。

IAM356: AWS Identity and Access Management (IAM) policies troubleshooting

このビルダーズセッションでは、AWS Identity and Access Management（IAM）ポリシーの構築、テスト、トラブルシューティングに役立つ実践的な例を紹介します。IAM API、AWS Management Console、AWS CloudTrailの助けを借りて、きめ細かいアクセスポリシーを作成するのに役立つワークフローを利用します。また、IAMポリシーの評価ロジックの主要な概念も確認します。

チョークトーク

少人数で行われるインタラクティブなセッションです。専門家がデジタルホワイトボード上で議論しながら、問題や解決策を導き出します。

IAM231: Lessons learned from AWS IAM Identity Center migrations

このチョークトークでは、ワークフォースユーザーのアクセスをIAMユーザーからAWS IAM Identity Center（AWS Single Sign-Onの後継）に移行するためのベストプラクティスとヒントを発見します。予防的なガードレールの作成、組織全体のIAMユーザーの使用状況の可視化、一般的なユースケースに対する認証ソリューションの適用方法について学びます。

IAM331: Leaving IAM access keys behind: A modern path forward

静的認証情報は、AWS Identity and Access Management (IAM) ユーザーのアクセスキー、コマンドラインツール、安全なシェルアクセス、アプリケーション API キー、VPN アクセスの事前共有キーなど、複数のタイプのアクセスを保護するために長い間使用されてきました。しかし、ベストプラクティスでは、静的なクレデンシャルを短期的なクレデンシャルに置き換えることが推奨されています。このトークセッションでは、環境内の静的アクセスキーを特定し、リスクを定量化し、利用可能な複数の方法を適用して短期的なクレデンシャルに置き換える方法を学びます。また、IAMアクセスキーの全体的な管理を改善するための規定ガイダンスとベストプラクティスアドバイスについても説明します。

IAM332: Practical identity and access management: The basics of IAM on AWS

AWS上でアイデンティティとアクセス管理戦略を構築する方法について、規定的なガイダンスから学びます。IAM Identity Centerのようなサービスを使用した、人間によるアクセスと機械によるアクセスに関するガイダンスを提供します。また、異なるIAMポリシータイプ、各ポリシータイプが有用な場所、そしてAWS環境で各ポリシータイプをどのように組み込むべきかを学びます。このセッションでは、効果的なアイデンティティとアクセス管理のベースラインを構築するために知っておくべきことを説明します。

IAM431: A tour of the world of IAM policy evaluation

このセッションでは、IAMポリシー評価の基本を超え、ポリシー評価がAWSの高度な機能でどのように機能するかに焦点を当てます。AWS Key Management Service (AWS KMS) key grant、Amazon Simple Storage Service (Amazon S3) と Amazon Elastic File System (Amazon EFS) アクセスポイント、Amazon VPC Lattice などと一緒にポリシーがどのように評価されるかを聞きます。このセッションでは、認可スキームを設計する際に何をすべきか、何を避けるべきかについて、規定的なガイダンスを得ることができます。

コードトーク

少人数で行われる、コードに焦点を当てたセッションです。AWSのエキスパートが、AWSソリューションの背後にある「なぜ」を説明しながら、ライブコーディングやコードサンプルによるインタラクティブなディスカッションをリードします。

IAM341: Cedar: Fast, safe, and fine-grained access for your applications

Cedarは、アプリケーションにきめ細かなアクセス許可を記述するための新しいポリシー言語です。Cedarを使えば、認可をカスタマイズすることができ、誰が何にアクセスできるかを定義して強制することができます。このコードトークでは、Cedarの設計、高い保証水準で構築された方法、そしてその利点を説明します。一般的な認可のユースケースを表現するためのシンプルな構文、スケーラブルなリアルタイム評価を可能にするポリシー構造、自動推論に基づく包括的な監査など、Cedarの人間工学的、高速、分析的な特徴を紹介します。また、Cedarの実装が形式検証や差分テストによってどのように安全性を高めたかについてもご紹介します。

IAM441: Enable new Amazon Cognito use cases with OAuth2.0 flows

消費者向けデバイスでユーザーとの対話なしに権限を委譲し、より高いアイデンティティ保証のために強化されたパスワードレス認証は、Amazon Cognitoで実現できる高度な認証フローです。このコードトークでは、これらの認証ユースケースへの異なるアプローチを提供する新しいOAuth2.0フロー図、コードスニペット、長短デモを発見できます。Amazon Cognito、ネイティブAPI、OAuth2.0エンドポイントを使用したAWS Lambdaトリガーに自信を持ち、顧客のアイデンティティとアクセス管理戦略をより確実に成功させることができます。

ライトニングトーク

特定のカスタマーストーリー、サービスデモ、パートナー(スポンサー）のいずれかに特化した、短時間で集中できるシアタープレゼンテーションです。

IAM221: Accelerate your business with AWS Directory Service

このライトニングトークでは、AWS Directory Service for Microsoft Active Directory を探求し、柔軟性を提供し、俊敏なアプリケーション開発を強化し、他のIDストアと安全に統合する多くのユースケースを発見します。このマネージドサービスを活用し、顧客にとって本当に重要なことに集中する方法についてご紹介します。

IAM321: Move toward least privilege with IAM Access Analyzer

AWS Identity and Access Management (IAM) Access Analyzerは、組織が簡単に権限を設定、検証、改良できるようにすることで、権限管理を簡素化するツールを提供します。このライトニングトークでは、IAM Access Analyzerを使用して、1つまたは複数のAWSアカウントで外部エンティティと共有されているリソースを検出する方法について説明します。この機能を有効化して使用する方法と、AWS Security Hubとどのように統合されるかについて説明します。

ワークショップ

AWSクラウドセキュリティサービスを利用して、少人数のチームで問題を解決する対話型の学習セッションです。ノートPCと学習意欲をお持ちの方は、ぜひご参加ください！

IAM371: Building a Customer Identity and Access Management (CIAM) solution

お客様はどのようにアプリケーションにアクセスするのでしょうか？Amazon Cognitoを使用して、customer identity and access management (CIAM) のスタートを切りましょう。このワークショップでは、Amazon Cognito、Amazon Verified Permissions、その他いくつかのAWSサービスを使用して、AWS上でCIAMソリューションを構築する方法について学びます。CIAMの基本的な構成要素から始め、顧客向けアプリケーションにおける高度なユーザーIDおよびアクセス管理のユースケースまで構築します。

IAM372: Consuming AWS Resources from everywhere with IAM Roles Anywhere

ワークロードがすでにAWS上に存在する場合、必要なタスクを実行するためにいくつかの一時的なAWS認証情報が安全に配布されている可能性が高いです。しかし、ワークロードがオンプレミスにある場合はどうなるのでしょうか？このワークショップでは、AWS Identity and Access Management (IAM) Roles Anywhereの使用方法について学びます。基本から始めて、実際にIAM Roles Anywhereを使ってAWSの外でアプリケーションを安全な方法で使用する方法を学ぶために必要なステップを作成します。

IAM373: Building a data perimeter to allow access to authorized users

このワークショップでは、想定されるネットワークの場所と信頼できるIDによるデータへのアクセスのみを許可する制御を構築して、データ境界を作成する方法を学びます。このワークショップは5つのモジュールで構成されており、それぞれが異なるAWS Identity and Access Management（IAM）の原則またはネットワーク制御を説明するように設計されています。様々なリスクシナリオに基づき、適切な制御をどこで、どのように実装するかを学びます。

これらのセッションに興味を持たれた方は、AWS re:Inforce 2023にご登録の上、アナハイムでご参加ください。ご参加をお待ちしております！

本Blogは、Marc von Mandelによる原文を、松本照吾, Head of Security Assurance, Japanが翻訳いたしました。