Amazon Web Services ブログ
re:Invent 2019 の AWS アイデンティティセッション、ワークショップ、チョークトークのご案内
AWS re:Invent 2019 が間近にせまってきました! 参加するセッションの優先順位をつけないといけませんね。そこで AWS re:Invent 2019 での AWS Identity セッション、ワークショップ、チョークトークのリストをご用意しました。re:Invent にまだ登録していない場合は、社内承認のためのテンプレートがありますのでこちらもご利用ください。
AWS アイデンティ リーダシップ キーノート
SEC207-L — Leadership session: AWS identity (Breakout session)
リーダーシップセッション: AWS アイデンティティ (ブレイクアウトセッション)
デジタルアイデンティティは、クラウドで最も急速に成長し、最も急速に変化している領域の1つです。ゼロトラストネットワーク、GDPRの懸念、および新しい IoT の機会がニュースでよく報道されています。このセッションではこの重要な業界の変化について触れ、お客様とその顧客の両方のアイデンティティにアプローチする AWS の方法について学びます。 新機能の発表や、オープンスタンダードと業界グループへの取り組みについて議論し、アイデンティティ、アクセス制御、リソース管理をより簡単にする方法を説明します。
自社環境向けの AWS アイデンティティ マネジメント
FSI310 — The journey to least privilege: IAM for Financial Services (Chalk talk)
最小権限への旅:金融サービスのための IAM (チョークトーク)
AWS Identity and Access Management と、その関連サービスの機能強化により、開発者に AWS へのアクセスを直接許可することがこれまでになく安全かつ容易になりました。このセッションでは、グローバルな金融サービスの顧客の最近の取り組みに基づいて、AWS の ID およびアクセス管理を自動化する新しいアプローチを共有します。また、CI / CD ツールを使用して、職務の分離を強制し、手作業のポリシーレビューを削減し、IAM のアクセス委任や、意図しない特権侵害のリスクを軽減する方法について伝えます。
MGT407-R — Automating security management processes with AWS IAM and AWS CloudFormation (Builders session)
AWS IAM、AWS CloudFormation を使用したセキュリティ管理プロセスの自動化(ビルダーセッション)
セキュリティは、医療業界などの高度に規制された業界にとって重要な要素です。コードとしてのインフラストラクチャ( Infrastructure as code )は、セキュリティの統制を自動化するいくつかのオプションを提供し、それはルールとガードレールを実装するか、自動化されたが監査可能な方法でポリシーの変更管理をするかにかかわらず活用できます。AWS Service Catalog、AWS CloudFormation、AWS IAM ポリシーを使用して、アクセス許可の変更、例外管理を自動化するプロセスを実装し、セキュリティ関係者間のコラボレーションを促進する方法を学びます。(このセッションは複数回講演されます。再演のセッションには後ろに「 -R1 」が付与されます)
SEC317-R — AWS Identity: Setting up single sign-on access to AWS accounts (Chalk talk)
AWS アイデンティティ: AWS アカウントへのシングルサインオンアクセスのセットアップ(チョークトーク)
多くの組織は AWS でマルチアカウントモデルを採用しており、組織のどのユーザーがどのアカウントにアクセスできるか正しく制御する方法を探しています。これには、アクセス許可の設定と ID フェデレーションの構成が含まれており、このニーズを解決するいくつかのアプローチがあります。このインタラクティブなチョークトークでは、複数の AWS アカウントへのシングルサインオンアクセスについて、現在のプラクティスをお伝えします。AWS の最新の ID サービスの情報を共有し、みなさんの組織にとって最適なアプローチについて、オープンなディスカッションを行います。(このセッションは複数回講演されます。再演のセッションには後ろに「 -R1 」が付与されます)
WIN312-R — Active Directory on AWS to support Windows workloads (Breakout session)
Windows ワークロードをサポートする Active Directory on AWS (ブレークアウトセッション)
AWS で Microsoft Active Directory を実行するためのオプションを知りたいですか? Microsoft ワークロードを AWS に移行する場合、グループポリシーの管理、認証、および承認をサポートするために Microsoft Active Directory の展開方法を検討することが重要です。このセッションでは、Microsoft Active Directory 用の AWS Directory Service や、Amazon Elastic Compute Cloud(Amazon EC2)上の Windows への Active Directory のデプロイなど、Microsoft Active Directory を AWS にデプロイするためのオプションについて説明します。また、オンプレミスの Microsoft Active Directory 環境をクラウドに統合し、Office 365 などの SaaS アプリケーションを AWS Single Sign-On で活用するトピックなども扱います。(このセッションは複数回講演されます。再演のセッションには後ろに「 -R1 」が付与されます)
WIN405-R — Active Directory design patterns on AWS (Builders session)
AWS での Active Directory のデザインパターン(ビルダーセッション)
AWS で Microsoft Active Directory を実行するためのオプションについて知りたいですか? Microsoft のワークロードを AWS に移行する場合、名前解決、認証、承認をサポートする Active Directory の展開方法を検討することが重要です。このセッションでは、Microsoft Active Directory 用の AWS Directory Service や、Amazon EC2 上の Windows に Active Directory をデプロイするなど、Microsoft Active Directory を AWS にデプロイするためのオプションについて説明します。また、Amazon Route 53 Resolver を使用してオンプレミスの Active Directory 環境をクラウドに統合する方法などのトピックも扱います。(このセッションは複数回講演されます。再演のセッションには後ろに「 -R1 」が付与されます)
顧客向けの AWS アイデンティティ マネジメント
SEC219-R — Build the next great app with Amazon Cognito (Chalk talk)
Amazon Cognito で優れた新しいアプリを構築する(チョークトーク)
優れた新しいアプリを構築する予定はありますか? AI を利用したレスポンス、使いやすいユーザーエクスペリエンス、超高速応答時間などの最新機能を利用する予定ですか? でも注意することが1つあります:アイデンティティです。 ユーザーがアプリを使用する前に、まずユーザーが誰かを識別する必要があります。この講演では、Amazon Cognito を使用して、統一された ID 管理および認証エクスペリエンスを提供し、AWS サービスへのアクセスを仲介する方法を説明します。次に、Amazon Cognito の機能、ベストプラクティス、アーキテクチャ、およびAmazon Cognito を使用してアプリを構築する方法について説明します。(このセッションは複数回講演されます。再演のセッションには後ろに「 -R1 」が付与されます)
SEC403-R — Serverless identity management, authentication, and authorization (Workshop)
サーバーレスの ID 管理、認証、認可(ワークショップ)
このワークショップでは、Amazon Cognito、Amazon API Gateway、AWS Lambda、AWS Identity and Access Management(IAM)を使用して、エンドツーエンドの認証を行うサーバーレスマイクロサービスアプリケーションを構築する方法を学びます。このアプリケーションの構築には、ユーザー認証のパターンを紹介するために、安全な ID プロバイダーを使用します。参加するには、ノート PC、AWS アカウント、AWS IAM 管理者、および基本的な AWS サービスの知識が必要です。(このセッションは複数回講演されます。再演のセッションには後ろに「 -R1 」が付与されます)
SEC409-R — Fine-grained access control for serverless apps (Builders session)
サーバーレスアプリのきめ細かなアクセス制御(ビルダーセッション)
この小グループのハンズオンビルダーセッションでは、きめ細かなディレクトリベースのアクセス制御を使用して、エンタープライズグレードのサーバーレス Web アプリケーションを構築するガイド付きツアーを行います。一般的な Express.js アプリを AWS Lambda に移行し、Amazon Cognito を使用して SAML フェデレーションの認証を追加し、外部 ID プロバイダー( LDAP / AD など)のグループ情報に基づいて、きめ細かいアクセス制御を実装する方法を示します。使用されるサービス:Amazon Cognito、AWS Lambda、Amazon API Gateway、Amazon DynamoDB、AWS CDK、および AWS Amplify。前提条件:基本的な JavaScript / TypeScript の理解。AWS の基本的な経験が推奨されますが、必須ではありません。(このセッションは複数回講演されます。再演のセッションには後ろに「 -R1 」や「 -R2 」が付与されます)
MOB304 — Implement auth and authorization flows in your iOS apps (Workshop)
iOS アプリで認証、認可フローを実装する(ワークショップ)
ソーシャルプロバイダー ID フェデレーション(Google、Amazon、Facebook などでログイン)を活用する方法を学びます。ハンズオンでは AWS Amplify とサーバーレスサービスを使用して最新の iOS アプリを構築してデプロイします。このワークショップは、クラウドの専門家でなくても、すべてに適しています。XCode がインストールされている自分の Mac をお持ちください。
MOB315-R — Breaking down the OAuth flow (Chalk talk)
OAuth フローの詳細(チョークトーク)
OAuth の Implicit Grant と Code Grant の違いに迷っていますか? Amazon Cognito ユーザープールと Amazon Cognito フェデレーション ID の違いを理解するのに苦労していますか? そして、これらをあなたの企業の Active Directory とどのように連携しますか? このチョークトークでは、ID フェデレーションを分かりやすく説明し、メインフローのホワイトボードを作成し、これらのサービスを活用して Web またはモバイルアプリケーションに ID フェデレーションを行う方法を理解できるようにします。(このセッションは複数回講演されます。再演のセッションには後ろに「 -R1 」や「 -R2 」が付与されます)
AWS アクセス マネジメント
SEC209-R — Getting started with AWS identity (Breakout session)
AWS アイデンティティ入門 (ブレイクアウトセッション)
AWS サービスは数が多く広い範囲に及びますが、クラウドの開発者にとって、それらを保護するための技術は一貫しています。クラウドの旅は、このブレイクアウトセッションから始まります。このセッションでは、AWS でのアイデンティティと認証を正しく実行するための実用的な基礎をすばやく理解できます。(このセッションは複数回講演されます。再演のセッションには後ろに「 -R1 」が付与されます)
SEC217-R — Delegate permissions management using permissions boundaries (Builders session)
パーミッションバウンダリーを使用してアクセス許可管理を委任する(ビルダーセッション)
AWS IAM の新しいパーミッションバウンダリーの機能は、アクセス管理を多くのユーザーに委任する方法を提供します。Lambda 関数のロールを作成する必要がある開発者がいる場合、AWS IAM のロールとユーザーを作成する必要があるシステム管理者がいる場合、または似たようなシーンにあなたがいる場合、パーミッションバウンダリーが解決策になるかもしれません。(このセッションは複数回講演されます。再演のセッションには後ろに「 -R1 」、「 -R2 」、「 -R3 」が付与されます)
SEC316-R — Access control confidence: Grant the right access to the right things (Breakout session)
アクセス制御の信頼性:適切なものへ適切にアクセスを許可する(ブレイクアウトセッション)
組織で AWS を利用する際、開発者とアプリケーションに正しく権限を与えることがセキュリティにとって重要です。適切なアクションを、適切なリソースに、適切なタイミングで、適切にアクセスできるようしなければなりません。このセッションでは、AWS 環境でアクセス許可を設定するアプローチを共有します。ガードレールを構成し、アクセス管理を開発チームに委任する方法を示します。また、属性ベースのアクセス制御( ABAC )を使用した、組織に合わせたきめ細かいアクセス許可についても扱います。最後に、自信を持ってアクセス許可を行う方法について説明します。各ステップで例を提供することで、自信をもって組織でアクセス制御を設定できるよう手助けします。(このセッションは複数回講演されます。再演のセッションには後ろに「 -R1 」が付与されます)
SEC326-R — AWS identity-dynamic permissions using employee attributes (Chalk talk)
従業員の属性を利用した、動的な AWS ID アクセス許可(チョークトーク)
企業内の認証情報を利用して AWS リソースにアクセスするために、AWS の IdP と企業ディレクトリを設定して、AWS アカウントにシングルサインオンさせることができます。ディレクトリには、従業員の資格情報に加えて、コストセンター、部門、電子メールアドレスなどの従業員の属性も保存されています。この従業員の属性を利用して、AWS におけるきめ細かいアクセス許可を設定できます。従業員が部門を移動したり、新しい従業員が追加されたりした時にも、この属性に基づいてアクセス許可が自動的に適用されます。(このセッションは複数回講演されます。再演のセッションには後ろに「 -R1 」が付与されます)
SEC402-R — AWS identity: Permission boundaries & delegation (Workshop)
AWS アイデンティティ:パーミッションバウンダリーと委任(ワークショップ)
パーミッションバウンダリーは、アクセス管理を信頼できる従業員に簡単に委任できるようにする AWS IAM の機能です。これらの従業員は、IAM アクセス許可を設定して、アクセス管理を拡張し、ワークロードをより速く AWS に移行できるようになりました。 たとえば、開発者は特定のアクセス許可の境界を超えることなく、AWS Lambda 関数と Amazon EC2 インスタンスの IAM ロールを作成できます。このワークショップでは、サンプルアプリケーションを使用して、IAM 権限管理の委任を練習し、開発者が権限を昇格したり、他のチームのリソースに影響を与えたりすることなくロールを作成できるようにします。参加するには、ノート PC、基本的な AWS サービスの知識が必要です。(このセッションは複数回講演されます。再演のセッションには後ろに「 -R1 」が付与されます)
SEC405-R — Access management in 4D (Breakout session)
4D のアクセス管理(ブレイクアウトセッション)
このセッションでは、「誰がどの条件下で何にアクセスできるか」を取り上げ、「どの条件下で」を深く探求します。 2人ルール、ジャストインタイムの権限昇格、リアルタイムの適応型アクセス許可など、AWS ID サービスの高度な組み合わせを題材にしたり、さまざまな環境および情報の活用、および自動化または手作業の承認フローも検討します。有意義で楽しいセッションにするために、実際の環境にも活用できそうなデモとコードを提供します。(このセッションは複数回講演されます。再演のセッションには後ろに「 -R1 」が付与されます)
SEC409-R — Fine-grained access control for serverless apps (Builders session)
サーバーレスアプリのきめ細かなアクセス制御(ビルダーセッション)
この小グループのハンズオンビルダーセッションでは、きめ細かなディレクトリベースのアクセス制御を使用して、エンタープライズグレードのサーバーレス Web アプリケーションを構築するガイド付きツアーを行います。一般的な Express.js アプリを AWS Lambda に移行し、Amazon Cognito を使用して SAML フェデレーションの認証を追加し、外部 ID プロバイダー( LDAP / ADなど)のグループ情報に基づいて、きめ細かいアクセス制御を実装する方法を示します。使用されるサービス:Amazon Cognito、AWS Lambda、Amazon API Gateway、Amazon DynamoDB、AWS CDK、および AWS Amplify。前提条件:基本的な JavaScript / TypeScript の理解。AWS の基本的な経験が推奨されますが、必須ではありません。(このセッションは複数回講演されます。再演のセッションには後ろに「 -R1 」や「 -R2 」が付与されます)
マルチアカウント環境のガバナンス
SEC325-R — Architecting security & governance across your landing zone (Breakout session)
ランディングゾーンによるセキュリティとガバナンスの設計(ブレイクアウトセッション)
AWS 環境の重要な要素は、リソースの分離、職務の分離、請求の明確な分離(つまり、ランディングゾーン)を提供するフレームワークを持つことです。このセッションでは、ランディングゾーンを確立するためのマルチアカウント戦略の新しいベストプラクティス、組織構造の構築に関する新しいガイダンス、および歴史的背景について説明します。ID フェデレーション、クロスアカウントロール、統合ログ、アカウント統制などのセキュリティパターンをカバーしています。また、AWS Landing Zone、AWS Control Tower、または AWS Organizations の使用に関する考慮事項についてもまとめます。すべてのランディングゾーンのセッションに参加することをお勧めします。セッションカタログで「 landing zone 」を検索してください。(このセッションは複数回講演されます。再演のセッションには後ろに「 -R1 」が付与されます)
SEC341-R — Set permission guardrails for multiple accounts in AWS Organizations (Chalk talk)
AWS Organizations の複数のアカウントにアクセス許可のガードレールを設定する(チョークトーク)
AWS Organizations は、複数のアカウントの中央ガバナンスと管理を提供します。セキュリティ管理者は、組織でサービスコントロールポリシー( SCP )を使用して、すべての AWS Identity and Access Management ( IAM ) プリンシパル(ユーザーおよびロール)が従う制御を確立します。たとえば、SCP を使用して特定の AWS リージョンへのアクセスを制限したり、IAM プリンシパルがセキュリティ管理者によって使用される IAM ロールなどの一般的なリソースを削除しないようにすることができます。また、特定の管理者ロールを除くアカウント内のすべての IAM エンティティ(ユーザー、ロール、およびルート)のサービスアクションを制限して、ガバナンスコントロールの例外を定義することもできます。(このセッションは複数回講演されます。再演のセッションには後ろに「 -R1 」が付与されます)
MGT302-R — Enable AWS adoption at scale with automation and governance (Breakout session)
自動化とガバナンスを備えた大規模な AWS 導入(ブレークアウトセッション)
企業は AWS を利用して、コスト、セキュリティ、コンプライアンスのガバナンスを維持しながら迅速にビジネスを展開しています。このセッションでは、AWS Control Tower、AWS Service Catalog、AWS Organizations、および AWS CloudFormation がコンプライアンスを簡素化し、継続的な統制を容易にする方法について説明します。自動化、ブループリント、ガードレールを使用して、マルチアカウント環境やランディングゾーンを設定、管理する方法を学びます。最後に、DevOps CI / CD パイプラインを介した、安全で管理された AWS リソースの起動方法についても学びます。(このセッションは複数回講演されます。再演のセッションには後ろに「 -R1 」が付与されます)
MGT307-R — Governance at scale: AWS Control Tower, AWS Organizations, and more (Chalk talk)
スケールするガバナンス: AWS Control Tower、AWS Organizations など(チョークトーク)
AWS 環境で組織全体のマルチアカウント環境、マルチリージョン戦略を検討すると、新たな疑問が生じます。組織に存在する大量のアカウント、ワークロード、ユーザー全体で予算を管理するにはどうすればよいですか? 数百人のユーザーとビジネスユニットがクラウドリソースを要求している場合、アカウントプロビジョニングを自動化し、セキュリティを維持するにはどうすればよいですか? 組織がセキュリティおよびガバナンスの要件を順守していることをどのように確認できますか? ガバナンスを備えた AWS 環境を構築するための、AWS Landing Zones、AWS Control Tower、AWS Organizations、AWS Config などの使用方法について質問をお寄せください。 (このセッションは複数回講演されます。再演のセッションには後ろに「 -R1 」、「 -R2 」、「 -R3 」が付与されます)
MGT313 — Architect governance at enterprise scale with Goldman Sachs (Breakout session)
ゴールドマンサックスでのエンタープライズスケールのアーキテクトガバナンス(ブレイクアウトセッション)
お客様が AWS の採用を加速するにつれて、いくつかの AWS アカウントの管理からパイロットアプリケーションのサポート、エンタープライズスケールでの運用まで、必要なガバナンスを維持するための共通の課題に直面します。例えば、アカウント、ワークロード、ユーザー全体で予算を管理する方法、アカウントのプロビジョニングを自動化し、セキュリティを維持する方法、コンプライアンスを自動化する方法などです。このセッションでは、クラウドガバナンスを定義し、セキュリティ、コストの最適化、コンプライアンスを達成するためのベストプラクティスを提供します。AWS 環境を管理するためのこれらのベストプラクティスが、ゴールドマンサックスによって実際にどのように適用されているかをご覧ください。
OIG304 — Organize resources & consolidate data centers with AWS Organizations (Chalk talk)
AWS Organizations によるリソース管理とデータセンターの統合(チョークトーク)
このチョークトークでは、物理データセンターからクラウドに移行する際に、どのように組織資産を簡素化できるかを学びます。企業アプリケーションと多様なテクノロジーで構成された複数のデータセンターを移行することで、一貫したガバナンスとセキュリティを推進し、ビジネスに集中することができた Marathon Petroleum の事例についても取り上げます。
アクティビティ
ACT17 — Women in Identity, Security, and Privacy re:Invent Gathering (Activity)
アイデンティティ、セキュリティ、プライバシー分野の女性 re:Invent 交流会(アクティビティ)
アイデンティティ、セキュリティ、プライバシー分野の女性のネットワーキングのための数時間です。AWS アイデンティティ関連サービスの女性リーダーに会い、アイデンティティとセキュリティ分野の女性からのライトニングトークを聞いてください。世界中のワインやチョコレートを味わいながら、他の女性や仲間とつながりましょう。セキュリティをテーマにした独自のクラフトプロジェクトを作成して持ち帰りましょう! 何よりも、リラックスした環境を楽しんで、交流を広げたり、新しいことを学んだりすることに、時間をかけてください。このイベントは、Women in Identity と Women in Security&Privacy が共催しています。軽食付き。ドレスコードはカジュアルです。
AWS セキュリティのニュースがさらに必要ですか? Twitter をフォローしてください.