IAM Identity Center(AWS SSO)に移行して1年たったので使い方などまとめる | 株式会社PLAN-B
AWS SSOは現在「IAM Identity Center」に引き継がれています。本記事は2020年10月に公開されたもので、名称や機能などは当時の記載のままにしていますご了承ください。 AWSアカウントが複数ある時、みなさんは認証・認可の管理をどうしていますか? PLAN-Bでは2019年に全面的にAWS SSOを使い始め、1年以上が経ちました。以下の点で特にメリットを感じており、利用を継続しています。 アカウントごとにIAMを管理する必要がなくなるクレデンシャルが長期に渡ってローカルマシンに保持されることがない基本的には無料いずれも運用次第なので例外がありますが、マルチアカウントの管理に辟易していてゆるく始めるのであれば上記の認識で良いかと思います。きっちりかっちり管理が必要な場合もそれはそれで対応できるので、AWS SSOを導入した上で組織のポリシーと相談して合わせれば良いです。
Announcing new AWS IAM Identity Center (successor to AWS SSO) APIs to manage users and groups at scale
AWS is launching additional APIs to create, read, update and delete users and groups in AWS IAM Identity Center (successor to AWS Single Sign-On). The new APIs expand existing capabilities to help reduce administrative effort and save time, and provide greater visibility into the users and groups that are available in IAM Identity Center. You can use the APIs for provisioning, de-provisioning or u
こんにちは、永続的なクレデンシャルを使いたくない上野です。 自分のPCでAWS関連の開発をしたい場合、みなさんどうしていますでしょうか? AWS SSOを使用すると、次のように簡単に一時的なクレデンシャルを発行できます。 (デフォルトでは1時間で有効期限切れとなります。) 私もこの機能がめちゃくちゃ好きでよく使うのですが、AWS SSOを使う場合はAWS Organizationsの使用が前提となります。AWS Organizationsが使用できない場合や、Organizations経由で発行されたアカウントのみを使用する場合、AWS SSOは使用できません。 ということで、AWS SSOを使用しないで、一時的なクレデンシャルを使用する1つの方法を紹介します。 ※もっと良いやり方を知っている方がいれば教えていただきたいです! 実装する構成 IAMユーザーとIAMロールを使用します。IAM
How to create IAM roles for deploying your AWS Serverless app | Serverless First
Getting IAM permissions right is one of the hardest parts about building serverless applications on AWS. Many official tutorials and blog posts cop out of giving you the full details on how to set up IAM, preferring something vague like “ensure you use least-privilege permissions when creating this role”. Or worse, they give you a wide open wildcard or admin-level example policy with a “don’t use
AWS CLIをAWS IAM Identity Center(SSO)で認証させるには? | DevelopersIO
AWS OrganizationsのAWS IAM Identity Center(旧AWS Single Sign-On;AWS SSO)を利用すると、Organizations配下のAWSアカウントにSSOできます。 本記事では、同機能をAWS CLIから利用する方法を紹介します。 AWS IAM Identity Centerの詳細は次のブログを参照ください。 なお、本記事ではAWS Identity Center directoryでユーザー管理しているものとします。 ポイント IAM Identity CenterにはAWS CLI v2が対応。v1は未対応 設定ファイルはAWS CLIだけでなくAWS SDK全般で流用可能 IAM Identity Centerはリージョナル・サービス IAM ユーザーのように永続的なアクセスキーは存在せず一時的な認証情報を利用 各アカウントへ
AWS アップデートの予兆ないかな? 直近で更新された AWS サービス用 IAM ポリシーを一覧取得したのち変更差分を眺めてニヤニヤしてみた | DevelopersIO
以下を実行することで、特定のポリシーの前後の内容が変数に格納されます。 INDEX=3 ARN=`echo $RESULT | jq -r '.['$INDEX'].value.arn'` VER=`echo $RESULT | jq -r '.['$INDEX'].value.version' | tr -d "v"` BEFORE=`aws iam get-policy-version --policy-arn $ARN --version-id v$((VER-1)) --query PolicyVersion.Document` AFTER=`aws iam get-policy-version --policy-arn $ARN --version-id v$VER --query PolicyVersion.Document` ここでは以下の AWS コマンドを使用しています。
こんにちは。 サービスGの金谷です。 これまでIAMの設定を自分でやることがあまりなく、スイッチロールで何が起きているのか全然理解できていなかったのでまとめようと思います。 まず大前提 AWSアカウント≠ IAMユーザー です。 当然といえば当然なのですが別物です。 ざっくり説明するとAWSアカウントの中にIAMユーザーがいるといった形で、AWSアカウント=ルートユーザーのようなイメージです。 私個人の経験としてはプライベートでAWSを学び触り始めたばかりのときは IAMを何も設定せずに他のサービスを触ったりしていましたが、通常は使用するべきではないです。 ちゃんとIAMユーザーを作成してそちらで作業するようにしましょう。 スイッチロールとは 名前の通りIAMロールを切り替える機能です。 アカウントを跨いだロールの切り替えも可能です。(というかこちらをメインに使います) 上図ではスイッチ元
IAM ロールの信頼ポリシーで設定する外部 ID(sts:ExternalId) について | DevelopersIO
IAM ロールの信頼ポリシーに設定する外部 ID(sts:ExternalI) について勉強しました。 こんにちは、岩城です。 3rd Party 製の SaaS と AWS アカウントを連携する際、専用の IAM ロールの作成と作成したロールに以下のような信頼ポリシーを定義して、特定の AWS アカウントから AssumeRole を許可することがあります。 { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::xxxxxxxxxxxx:iamuser" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "xxx
Temporary elevated access management with IAM Identity Center | Amazon Web Services
AWS Security Blog Temporary elevated access management with IAM Identity Center AWS recommends using automation where possible to keep people away from systems—yet not every action can be automated in practice, and some operations might require access by human users. Depending on their scope and potential impact, some human operations might require special treatment. One such treatment is temporar
G-gen の堂原です。 当記事では、Terraform を用いて Google Cloud (旧称 GCP) の Identity and Access Management (IAM) を管理する際に、注意すべき点について紹介します。 はじめに google_xxx_iam の使い分け google_project_iam_xxx の使い分けと注意点 google_project_iam_policy google_project_iam_binding google_project_iam_member はじめに 改めて、当記事では Terraform を用いて Google Cloud の IAM を管理する際に注意すべき点として、 具体的には google_project_iam_policy、google_project_iam_binding 及び google_projec
IAM ポリシー未設定の IAM ユーザーが生成した S3 署名付き URL (presigned URL) を使ってオブジェクトを Get できるのはなぜか | DevelopersIO
IAM ポリシー未設定の IAM ユーザーが生成した S3 署名付き URL (presigned URL) を使ってオブジェクトを Get できるのはなぜか コンバンハ、千葉(幸)です。 突然ですが以下のようなケースを考えてください。 IAM ポリシーがアタッチされていない IAM ユーザーが存在する 当該 IAM ユーザーが特定の S3 バケット内のオブジェクトに対する署名付き URL を生成する 生成された URL を用いて任意の利用者がオブジェクトを Get する 上記を実現したいと考えたときに必要となる設定が何か、皆さんは思いつくでしょうか。なお、 IAM ユーザーと S3 バケットは同一の AWS アカウントに存在するものとします。 「そもそも IAM ポリシーが無いのに署名付き URL を生成できるの?」という部分から引っかかる方もいるかと思いますが、実はできます。このエント
はじめに AWSを初めて学習して難しいと感じたIAMについて、自分なりの理解を書いてみました。 同じような初心者の方でも読みやすいように、なるべく平易な言葉で書くことを心掛けています。 対象者 これからAWSを学習したい初心者 IAMって何なのか、なんとなく理解したい方 そもそも何のためにそんな機能があるの?という疑問を持っている方 IAMとは IAMとは、「Identity and Access Management」の略で、その名のとおり、IDとアクセス権を管理する機能です。IAMを使用すれば、誰がどのサービスにアクセスできるのかを、許可または拒否することができます。全ての人が全てのサービスやデータに対してアクセス権を持つというのは安全ではありません。必要な人に、必要最低限の権限のみを付与することが推奨されています。 そもそもなぜ管理機能が必要なの? IT未経験の自分がAWSを勉強して
[AWS × Terraform] plan できるけど apply できない GitOps な IAM ユーザーポリシーの設定方法 | DevelopersIO
ちゃだいん(@chazuke4649)です。 AWS × Terraform 構成にて、terraform plan 等はできるけど terraform apply 等はできない GitOps な IAM ユーザーポリシーを試してみました。 ※ ちなみにここで言う"GitOps"は、Kubernetesに限らず、TerraformなどのIaCツールでGitHubリポジトリのみを信頼できるソースとし、インフラCI/CDすることを指しています(使い方間違ってたら教えてください) 前段 前提 前提を要約します。 環境 Terraform: v1.0.10 aws provider: v3.67.0 TerraformによるインフラCI/CD構成 チーム開発のため、ローカルからは変更できず、GitHub経由でしか変更しない運用という設定 バックエンドはリモートステート先としてS3バケット、排他制御
![[AWS × Terraform] plan できるけど apply できない GitOps な IAM ユーザーポリシーの設定方法 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/573618488ac830dec2e57349ca02e8492988cbc6/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2021%2F02%2F1603728356-blog-library-product-terraform.jpg)
AWS IAM が WebAuthn と Safari ブラウザをサポートし、セキュリティキーによる多要素認証が可能になりました
AWS Identity and Access Management (IAM) は、サポートされているすべてのブラウザ全体で、強力でフィッシングに強い認証のための Web Authentication (WebAuthn) 標準をサポートするようになりました。WebAuthn は、FIDO U2FAPI を継承する FIDO2 仕様の一部であり、パブリックキー暗号化に基づくセキュリティキーを用いた安全な多要素認証が可能です。 この機能は、既存の多要素認証 (MFA) 機能を拡張し、最新のインターネットブラウザや FIDO に準拠した認証機能との互換性を確保するものです。Mozilla、Opera、Firefox、Chrome などの主要ブラウザに加え、Safari ブラウザも認証とセキュリティキーの登録に対応しました。FIDO U2F セキュリティキーなど、すでに FIDO 準拠の認証機
AWSを学び始めた皆さん。 学習は順調に進んでいますか? AWSはたくさんサービスがあって、1つ1つのサービスを学ぶのに苦労しますよね。 そこで本記事では「IAM」について、初心者にわかりやすいよう図解付きで解説していきます。 結論として、このようにまとめることができます。 今はまだ分からなくても全然大丈夫です! 本記事を読んだ後に「IAMってこういうサービスなんだなぁ」って思ってもらえれば嬉しいです。 またなんとなくIAMを分かっているつもりの方も「理解できていなかった」と思うポイントが隠されているかもしれません..! AWSを学んでいる方の参考になれば嬉しいです!それではどうぞ!
はじめに AWSアカウント設計で環境毎(開発、検証、本番)に分けて権限分離を行うパターンをよく採用します。環境毎にIAMユーザーを環境毎に作成すると、ユーザーの追加、パスワードや権限の変更、ユーザーの無効削除が負担となる為、スイッチロールを利用しています。スイッチロールは便利なので設定方法の記事を多く見るので利用されている方も多数いらっしゃると思っています。ただ、スイッチロールを導入した後の運用をどうするか?この悩みがなかなか解決できなかったのでスイッチロールの運用について考えてみました。 AWSアカウント設計の構成例 AWSアカウントを環境毎に分割した設計例は、以下の通りです。 登場人物と役割は、以下の通りです。 Adminメンバー:すべての環境にすべての操作が可能 開発メンバー:開発、検証環境にアクセス可、操作制限あり 運用メンバー:本番環境にアクセス可、操作制限あり 登場人物毎にIA
[アップデート] サービスプリンシパルを含む IAM ポリシーの管理を簡素化する AWS グローバル条件キーが追加されました | DevelopersIO
aws:PrincipalIsAWSService のユースケース 例えば以下のようなケースを想定してください。 各種サービスプリンシパルからのアクセスは許可したい ユーザーやプログラムからのアクセスは以下に限定したい 特定の VPC エンドポイント経由 特定の送信元 IP アドレス 上記以外からのアクセスについては拒否したい、という要件です。 今回のアップデートで追加された条件キーを使用する場合、S3 バケットポリシーの Deny ステートメントは以下のような書き方をするだけで済みます。 { "Effect": "Deny", "Principal": "*", "Action": [ "s3:PutObject", "s3:GetObject", "s3:GetBucketAcl", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::myBu
![[アップデート] サービスプリンシパルを含む IAM ポリシーの管理を簡素化する AWS グローバル条件キーが追加されました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/55e5ee85a70b0b6893eeca79750f0d06a94b8595/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Famazon-s3.png)
はじめに IAMユーザを利用者へ引き渡す際に「絶対に多要素認証(MFA)の設定を入れてくださいね!!」と伝えても、 そのユーザが本当にMFAを有効化してくれたのか、その確認や催促に手間がかかるときがあります。 そんな手間を省くため、引き渡すIAMユーザには予め MFAを利用していないと権限に制限がかかる仕組みを仕込んでおくことができます。 概要 IAMユーザに以下の権限を付与すれば完了です。 (1) MFAを設定・有効化するための権限 (2) MFAを利用していない場合、(1)以外すべてのアクションを拒否する権限 (3) 本来許可したい権限 (2)の設定では、IAMポリシーのContdition要素を使ってMFA利用有無による条件分岐を設定します。 (3)で許可された権限であっても、 MFAを利用していない場合は(2)による明示的な拒否設定が上回り、利用することができなくなる仕組みです。
津久田重吾 on Twitter: "「チェキストの皆さん、ロシア大使館職員の皆さん。仕事はしんどくないですか? 一日が終わるとつらくなりませんか? 政治亡命についてのアドバイスが必要ならご連絡を。一緒にコーヒーでも飲みましょう!」 ストックホルムのロシア大使館の前に… https://t.co/jhRRsT8IAm"
「チェキストの皆さん、ロシア大使館職員の皆さん。仕事はしんどくないですか? 一日が終わるとつらくなりませんか? 政治亡命についてのアドバイスが必要ならご連絡を。一緒にコーヒーでも飲みましょう!」 ストックホルムのロシア大使館の前に… https://t.co/jhRRsT8IAm
この記事は新野淳一氏のブログ「Publickey」に掲載された「AWS IAMがWebAuthnに対応。多要素認証の要素として利用可能に」(2022年6月8日掲載)を、ITmedia NEWS編集部で一部編集し、転載したものです。 米AWS(Amazon Web Services)は、「AWS IAM」(AWS Identity and Access Management)が「WebAuthn」に対応したことを発表しました。 AWS IAMは以前から多要素認証に対応しており、今回この多要素認証の要素の1つとしてWebAuthnが使えるようになりました。つまりパスワードを入力した上で、追加の認証を行う多要素認証にWebAuthnが加わったことになります。 WebAuthnは、パスワードレス技術の標準化団体であるFIDO Alliance(ファイドアライアンス)が策定したFIDO2仕様の構成要
AWS Single Sign-onがAWS IAM Identity Centerになりました! | DevelopersIO
AWS Single Sign-on (AWS SSO) が AWS IAM Identity Center になりました。マネジメントコンソールで新しい設定画面を見る限り、AWS IAM Identity Center は AWS Single Sign-On の後継サービスの位置づけとなります。ざっくりと変更点を調べてみました。 AWS のブログでも紹介されています。 何が変わったのか 始めにまとめです。 現時点では、技術的な機能は変更されていない sso identitystoreなどの API、名前空間は下位互換性維持のため、変更されていない マネジメントコンソールを確認してみる 新しい設定画面を画面を見てみます。 メニューの構成は、AWS SSO のときからあまり変わっていないようです。関連コンソールとして、AWS IAM サービスへのリンクが追加されているくらいでしょうか。 冒
IAM Identity Center 認証 AWS CLI を使用して を設定する - AWS Command Line Interface
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 IAM Identity Center 認証 AWS CLI を使用して を設定する このトピックでは、 AWS IAM Identity Center (IAM Identity Center) AWS CLI で を設定して、 AWS CLI コマンドを実行するための認証情報を取得する方法について説明します。IAM Identity Center でユーザーを認証して、 config ファイルを介して AWS CLI コマンドを実行するための認証情報を取得するには、主に 2 つの方法があります。
このアクション、タグベースの認可 ないし リソースレベルのアクセス許可 に対応してる? IAM ポリシービジュアルエディタでお手軽に確認しちゃおう | DevelopersIO
このアクション、タグベースの認可 ないし リソースレベルのアクセス許可 に対応してる? IAM ポリシービジュアルエディタでお手軽に確認しちゃおう IAM のアクションが対応しているリソースタイプ、条件キーを網羅的に確認するのはリファレンスが便利ですが、ちょっとした確認にはビジュアルエディタも便利です。 コンバンハ、千葉(幸)です。 私は AWS を触り始めてからかれこれ5年ほど経とうとしていますが、これまで IAM ポリシーを作成する際には「それっぽいベースを拾ってきてからの気合の JSON 直編集一本勝負」でしか闘ってきませんでした。それしか知らなかったのです。 正確に言うとビジュアルエディタという存在自体は知っていたのですが、「そんなハイカラなものは私には合わないであろうきっと」、その一心で使うのを避けてきました。 このたび戯れにビジュアルエディタを触ってみたところ、意外と便利ではこ
こんばんわ、札幌のヨシエです。 今回は以前に書いたECSで利用するIAMロールのFargate版をまとめてみました。 結果を先に書くとEC2よりも検討するロールは少なくなりました、詳細なところはEC2に書いているので以下のURLを参照いただければと思います。 ECS(EC2)で利用するIAMロールを整理する どういうIAMロールが存在するのか? EC2と同様に列挙してみました。 ロール名 役割 備考
【AWS IAM Identity Center】ユーザー管理でよく使いそうな作成/削除系操作をAWS CLIでやってみる | DevelopersIO
【AWS IAM Identity Center】ユーザー管理でよく使いそうな作成/削除系操作をAWS CLIでやってみる 「ユーザー作成/削除」または「ユーザー棚卸し」といった IAM Identity Center の日々の運用作業は、 マルチアカウント環境がスケールするにつれて増えてくると思います。 だんだんマネジメントコンソールで作業することが辛くなってくるのでは無いでしょうか。 そんな運用の辛さを軽減するために、ぜひAPIは活用していきたいです。 以下アップデートから、 AWS IAM Identity Center (旧 AWS Single-Sign On) の IDストアに対してAPIから参照・更新ができるようになっています。 2022/08/31 - AWS SSO Identity Store - 15 new 4 updated api methods 本ブログではユ
[アップデート] AWS Transfer Family の認証要素にソース IP が利用できるようになったので、ソース IP に応じた IAM ロールの切り替えをやってみた | DevelopersIO
[アップデート] AWS Transfer Family の認証要素にソース IP が利用できるようになったので、ソース IP に応じた IAM ロールの切り替えをやってみた 先日のアップデートで AWS Transfer Family のカスタム ID プロバイダー利用時に認証要素としてソース IP が利用できるようになりました。 AWS Transfer Family enables Source IP as a factor for authorization 何がうれしいのか? セキュリティグループでえぇんちゃうの? このアップデートを最初に見たときの感想です。 AWS Transfer for SFTP がリリースされた当初はソース IP による制限が欲しい!という声をたくさん聞きましたが VPC エンドポイントに対応、EIP に対応などのアップデートにより送信元の制限はすでに実
![[アップデート] AWS Transfer Family の認証要素にソース IP が利用できるようになったので、ソース IP に応じた IAM ロールの切り替えをやってみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/c7dcc36016be4bf890d3968457c3d963d1e8cd5e/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2020%2F06%2Faws-transfer-family.png)
技術三課の杉村です。これからAWSを本格的に利用していこうと思っている方のために、AWSにおけるセキュリティの基本であるAWSアカウントとIAM (Identity and Access Management)の違いについて解説します。 AWSビギナーの方でも理解いただけるよう表現を抽象化したり、あえて深く説明していない部分もありますが、まずは概要を理解するためのものとお考えください。 1. AWSアカウント 1-1. AWSアカウントとは AWSアカウント(エーダブリューエスアカウント)は、身近な言葉で言うと「テナント」です。 AWSを利用したい、と思ったときは、まずAWSもしくはAWSのパートナーから "テナント" すなわちAWSアカウントを払い出してもらいます。 アカウントという言葉からは「Active Directoryのアカウント」のように個人に紐づくアカウントを想像してしまう方
IAM Identity Center 環境で各 AWS アカウントへのログインを一時的に許可する簡易承認ワークフローを作ってみた | DevelopersIO
IAM Identity Center 環境で各 AWS アカウントへのログインを一時的に許可する簡易承認ワークフローを作ってみた IAM Identity Center 環境で各 AWS アカウントへのログインを一時的に許可する簡易承認ワークフローの作ってみました。 承認されると対象のアカウントにログイン出来るようになる仕組みです。 1. はじめに お疲れさまです。とーちです。 AWS アカウントへのログインを承認制にして、一時的にログインを許可したいという需要はそれなりにあるんじゃないかと思います。 以下のブログで、IAM ユーザに対して一時的に特権を付与するワークフローが紹介されていますが、AWS Organizations 及び IAM Identity Center を使っている環境下で実現するとしたらどうなるかを考えてみたのでご紹介したいと思います。 システム要件 以下のような
OpenSSLで作った自己署名証明書でIAM Roles Anywhereを使ってみた | DevelopersIO
OpenSSLのプライベート認証局の出番では? こんにちは、のんピ(@non____97)です。 皆さんはIAM Roles Anywhereを使いたいなと思ったことはありますか? 私はあります。 先人が既にアクセスキーを発行せずにAWS CLIを叩けることを検証しています。 せっかくなので、OpenSSLで作った自己署名証明書でもIAM Roles Anywhereを使えるのか検証してみます。 いきなりまとめ OpenSSLで作った自己署名証明書でもIAM Roles Anywhereは使える 証明書の秘密鍵はパスフレーズを解除しておく必要がある IAM Roles Anywhereで使用する証明書の要件はよく確認しよう Trust model in AWS Identity and Access Management Roles Anywhere - IAM Roles Anywher
【AWS IAM】Condition の条件キーやポリシー変数は可用性を意識しよう!という話 | DevelopersIO
突然ですが問題です あなたはAWS環境の管理者です。 IAMロールに付与したタグベース で、 EC2インスタンス開始/停止を制御しようと試みています。 現状 利用者ロールに割り当てている権限は PowerUserAccess 相当です。 以下のポリシーを追加で付与して制御を実現しました。 { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": ["ec2:StartInstances", "ec2:StopInstances"], "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringNotEquals": { "aws:PrincipalTag/Project": "${aws:ResourceTag/Project}" }}}
AWS IAM の結果整合性を避けるためセッションポリシーを用いてポリシーの動作確認を行う | DevelopersIO
IAM ポリシーを変更するとそれが伝播するまで待つ必要があります。IAM ポリシーはそのままにして、セッションでのみ有効なセッションポリシーを変更しながら使えばその影響を回避できます。 IAM リソース変更の即時反映を期待してはだめ コンバンハ、千葉(幸)です。 AWS IAM は結果整合性が採用されています。 *1 言い換えれば、変更が即時に反映されることは保証されていません。例えば以下の操作を行ったとします。 IAM ユーザー A に唯一アタッチされた IAM ポリシー P に、EC2 操作を許可する権限を追加する IAM ユーザー A の認証情報を利用して EC2 の操作を行う このとき無条件に 2 が成功することを期待したくなりますが、1 からの実行間隔が短いと失敗することもあります。最終的には結果整合性により「成功する」に収束しますが、数秒なり数分間なりは 1 の変更前の権限で評
How to use Google Workspace as an external identity provider for AWS IAM Identity Center | Amazon Web Services
AWS Security Blog How to use Google Workspace as an external identity provider for AWS IAM Identity Center January 25, 2024: This post is no longer current. Please see this tutorial for the updated info. March 21, 2023: We modified the description of a permission set in the Introduction. March 8, 2023: We updated the post to reflect some name changes (G Suite is now Google Workspace; AWS Single Si
概要 AWS IAM Identity Center 昔はAWS SSOと呼ばれていたました これを使うことで、複数AWSアカウントのIAMを統一的に管理することができます 複数アカウントのIAM管理手法はいくつかあります スイッチロールによる管理との比較、メリットについては 株式会社PLAN-Bさんがまとめてくれています 下記記事がとても分かりやすいと思います IAM Identity Centerは既存のIAMユーザーと競合しないので、段階的に一部のユーザーだけ試してみるといった運用も可能です 同じユーザー名でも問題ありません 今回は以下のようにaccountA、accountBに存在するyamasitaアカウントをIAM Identity Centerのyamasitaに移行するまでの設定をやってみます 以下のようにログインのURLが変わりますが、ログイン後の使用感は変わりません 実
最低限のガードレールを考慮したシンプルな IAM 設計を CloudFormation でデプロイする | DevelopersIO
IAM 設計において、かんたんなガードレールや誤操作防止を考慮し、IAM リソースを1つずつ CloudFormation で構築する機会があったのでご紹介します。 ちゃだいん(@chazuke4649)です。 IAM 設計において、かんたんなガードレールや誤操作防止を考慮し、IAM リソースを1つずつ CloudFormation で構築する機会があったのでご紹介します。 前回ブログの発展版となりますので、よければ以下前回ブログもご覧ください。 「ガードレール」という概念については、以下記事を眺めてもらえれば掴めてくるかと思います。 AWS Security Roadshow Tokyo 2019午前セッションレポート | Developers.IO [レポート] アクセス管理の信頼性 (Access Control Confidence) #SEC316 #reinvent | Dev
aws_iam_openid_connect_providerのthumbprint_listの計算方法 - Qiita
GitHub ActionsがOIDCプロバイダとして使えるようになりました。 これによりAWSのアクセスキーを埋めることなくロールベースでのアクセスができるようになりました。やったね。 この話自体はなぜか公式リリース前にサンプルコードが出回ったりして、みんなサンプルコードコピペして動いた〜って話題になってたので今さら感があるかもですが、例えばTerraformでaws_iam_openid_connect_providerの設定をするならこんなかんじでしょうか。 resource "aws_iam_openid_connect_provider" "github" { url = "https://token.actions.githubusercontent.com" client_id_list = ["sts.amazonaws.com"] thumbprint_list = ["
AWSのIAMってなんやねん
自己紹介 どもども、フリーランスエンジニアとして働いている井上弥風です。 ずっとバックエンドメインで仕事をしてきたのですが、インフラ側がヨワヨワ過ぎたので勉強を始めました IAMってなんやねん、ロールなのかポールなのかロールケーキなのかマンホールなのかよく分からなかったので深掘りします 対戦よろしくお願いします 初めに 記事の内容 当記事では「AWSのIAMとは何か」から始まり、IAMを更生する4つの要素の説明、IAMの重要性やセキュリティ管理の方法を学びます 文章による説明だけではなく、実際にAWSマネジメントコンソールでIAMを利用して学習を深めていくため、IAMの基礎知識をしっかりと学習することができると思います 記事のゴール 記事のゴールは下記の内容をしっかりと理解することです IAMとは何か IAMで登場する概念の理解(ユーザー、グループ、ロール、ポリシー...) 実際にAWSマ
AWS活用のガードレール「IAM」の「Permissions Boundary」でアクセス境界を設定するには
AWS活用のガードレール「IAM」の「Permissions Boundary」でアクセス境界を設定するには:AWSチートシート 「Amazon Web Services」(AWS)活用における便利な小技を簡潔に紹介する連載「AWSチートシート」。今回は、「AWS IAM」の「Permissions Boundary」を利用したアクセス境界の設定について。 「Amazon Web Services」(AWS)活用における便利な小技を簡潔に紹介する連載「AWSチートシート」。 利用者によるAWSリソースに対するアクセスと認証を管理する「AWS Identity and Access Management」(IAM)は、AWSを使うなら最初に学習、利用するサービスの一つといっていいほど基本的なサービスです。 多くの人にとっては「IAMユーザー」「IAMグループ」「IAMロール」「IAMポリシー
「AWS IAMだけでなんとかする、 最低限のガードレール」というタイトルで #AKIBAAWS で登壇しました | DevelopersIO
ちゃだいん(@chazuke4649)です。 先日 【8/17(火)リモート開催】AKIBA.AWS ONLINE #06 – AWS IAM 編- にて、AWS IAMについて登壇しました。その際のスライド資料や動画を共有します。 スライド資料 動画 ※アップロードが完了次第更新します 補足情報 基本的に今回の発表は以下ブログを元ネタとし、一部抜粋して紹介しています。合わせてこちらのブログもどうぞ。
こんにちは。エンジニアの小川です。 キッチハイクでは定期的に社内勉強会を開催しています。 私も先日「IAMのきほん」というタイトルで発表をいたしました。 今回は発表スライドの共有とともに、発表の背景、IAMの学び方を補足したいと思います。 スライドはこちらです。 speakerdeck.com 発表の背景 発表の背景にはIAMを学ぶ上での第一歩がなかなかないのでは、という課題意識がありました。 IAMはAWSにおいてセキュリティを維持するうえで非常に重要でありながら、書籍などでまとまった分量が割かれていることはあまりないように感じています。 一方でIAMのアクセスキー / シークレットキーを奪われて、不正請求されてしまったなどのケースは後を絶ちません。 なんとなく扱いに不安を覚えながらも、どうしていいかわからずそのままになってしまう・・・、そんな状況になりやすいのではないか、と個人的には思
IAM Identity Centerを使って複数アカウント管理する。(その1:IAM Identity Centerでのログイン) - Qiita
IAM Identity Centerを使って複数アカウント管理する。(その1:IAM Identity Centerでのログイン)AWSSSOaws-ssoIAM_Identity_Center はじめに 仕事で初めてIAM Identity Centerを使う機会があり、使ってみたらマルチアカウントの管理が想像以上にやりやすかったので、紹介しようと思います。 【次】IAM Identity Centerを使って複数アカウント管理する。(その2:CLIでのアクセスと管理の委任) IAM Identity Centerとは AWS Single Sign-onの後継サービスとなり、AWS Organizationsで複数アカウントを運用している環境で各ユーザを集約管理し、各アカウントへのログインを簡単に行えるようにするためのサービスです。 前提として、AWS Organizationsを使
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IAMロールを使用して一時クレデンシャルを使用する(AWS SSOは使用しない) - NRIネットコムBlog
IAM初心者がAWS CLIでスイッチロールするまで | DevelopersIO
TerraformでGoogle CloudのIAMを管理する際の注意点 - G-gen Tech Blog
IT未経験の初心者がIAMを理解しようとしてみた | DevelopersIO
【AWS初学者向け・図解】IAMとは?現役エンジニアがわかりやすく解説
【IAM】スイッチロールの運用について考えてみた | DevelopersIO
多要素認証(MFA)するまで使えません!なIAMユーザを作成してみた | DevelopersIO
AWS IAMが「WebAuthn」に対応 多要素認証の要素として利用可能に
ECS(Fargate)で利用するIAMロールを整理する | DevelopersIO
AWSアカウントとは?IAMとは?【ビギナー向け】 - サーバーワークスエンジニアブログ
AWS IAM Identity CenterでIAMアカウントを統一する
社内勉強会でIAMの基本について話しました - KitchHike Tech Blog