1/13にJWAS-UGさいたま支部第9回で、「サーバーレス化を支える認証認可の話」という話しをしてきました。
サーバーレス化を支える認証認可の話
API GatewayやCognitoを利用する際にAWSの機能でどんな認証方法があるのか、あるいはアクセス制限ができるのかという話しをまとめています。認可の話しは全くしていないので、ちょっとタイトルを盛りすぎたと反省しています。
この話の背景
最近、フィンテックだなんだでシステムをAPI経由で利用できるようにして、外部公開したいという話しが増えています。その際に聞かれることが多い事例を挙げています。個人的な印象だと、認証とアクセス制限をごっちゃにしている人が多いのですね。またアクセス制限についての相談も多いです。個人的にはアクセス制限は気休めの場合が多いので、そこから考えるのは悪手だと考えています。一方で、既存のシステムとのセキュリティポリシーとの兼ね合いで、対応せざるを得ないという事情も解ります。ということで、悩む前にこれ読んでもらって、調べる時間が短縮されればと思います。
認可の話
資料書いているうちに、アクセス制限の方に頭がいって認可の話しを書くのを忘れていました。どこかのタイミングで追記しようと思います。簡潔にまとめると、IAMはユーザーとAWSリソースの認証認可のサービスなので、これを使ってアプリケーションの認証認可に使うのは向いていません。Cognitoのフェデレーション機能使ってトークンの運用を楽にして、アプリケーションの認可は自分で作り込むという形になります。このあたりの話しに需要があれば、ブログ等でまとめたうえで電子書籍化してみたいなと思っています。ベースは2年前くらいに考えていた、この記事になります。
AWSとシステムの認証認可を考える
まとめ
久しぶりのJAWSUGの登壇でした。準備不足で痛い目にあいましたが、やっぱり楽しいですね。去年サボったので、今年は対外発表を頑張ろうと思っています。お気軽にお声がけください。
あと最後に宣伝ですが、Amazon Web Services 業務システム設計・移行ガイドが今週発売です。こっちはAWSのアカウント管理とかネットワーク設計、データ移行とオンプレミスと正面から向き合った1冊です。ぜひぜひギャップを楽しんでください。
Amazon Web Services 業務システム設計・移行ガイド (Informatics&IDEA)
- 作者: 佐々木拓郎,林晋一郎,瀬戸島敏宏,宮川亮,金澤圭
- 出版社/メーカー: SBクリエイティブ
- 発売日: 2018/01/20
- メディア: 単行本
- この商品を含むブログを見る
See also:
Amazon Web Services 業務システム設計・移行ガイドの目次
「Amazon Web Services 業務システム設計・移行ガイド」という本を書きました