How to use Google Workspace as an external identity provider for AWS IAM Identity Center | Amazon Web Services
AWS Security Blog How to use Google Workspace as an external identity provider for AWS IAM Identity Center January 25, 2024: This post is no longer current. Please see this tutorial for the updated info. March 21, 2023: We modified the description of a permission set in the Introduction. March 8, 2023: We updated the post to reflect some name changes (G Suite is now Google Workspace; AWS Single Si
最低限のガードレールを考慮したシンプルな IAM 設計を CloudFormation でデプロイする | DevelopersIO
IAM 設計において、かんたんなガードレールや誤操作防止を考慮し、IAM リソースを1つずつ CloudFormation で構築する機会があったのでご紹介します。 ちゃだいん(@chazuke4649)です。 IAM 設計において、かんたんなガードレールや誤操作防止を考慮し、IAM リソースを1つずつ CloudFormation で構築する機会があったのでご紹介します。 前回ブログの発展版となりますので、よければ以下前回ブログもご覧ください。 「ガードレール」という概念については、以下記事を眺めてもらえれば掴めてくるかと思います。 AWS Security Roadshow Tokyo 2019午前セッションレポート | Developers.IO [レポート] アクセス管理の信頼性 (Access Control Confidence) #SEC316 #reinvent | Dev
aws_iam_openid_connect_providerのthumbprint_listの計算方法 - Qiita
GitHub ActionsがOIDCプロバイダとして使えるようになりました。 これによりAWSのアクセスキーを埋めることなくロールベースでのアクセスができるようになりました。やったね。 この話自体はなぜか公式リリース前にサンプルコードが出回ったりして、みんなサンプルコードコピペして動いた〜って話題になってたので今さら感があるかもですが、例えばTerraformでaws_iam_openid_connect_providerの設定をするならこんなかんじでしょうか。 resource "aws_iam_openid_connect_provider" "github" { url = "https://token.actions.githubusercontent.com" client_id_list = ["sts.amazonaws.com"] thumbprint_list = ["
AWSのIAMってなんやねん
自己紹介 どもども、フリーランスエンジニアとして働いている井上弥風です。 ずっとバックエンドメインで仕事をしてきたのですが、インフラ側がヨワヨワ過ぎたので勉強を始めました IAMってなんやねん、ロールなのかポールなのかロールケーキなのかマンホールなのかよく分からなかったので深掘りします 対戦よろしくお願いします 初めに 記事の内容 当記事では「AWSのIAMとは何か」から始まり、IAMを更生する4つの要素の説明、IAMの重要性やセキュリティ管理の方法を学びます 文章による説明だけではなく、実際にAWSマネジメントコンソールでIAMを利用して学習を深めていくため、IAMの基礎知識をしっかりと学習することができると思います 記事のゴール 記事のゴールは下記の内容をしっかりと理解することです IAMとは何か IAMで登場する概念の理解(ユーザー、グループ、ロール、ポリシー...) 実際にAWSマ
AWS活用のガードレール「IAM」の「Permissions Boundary」でアクセス境界を設定するには
AWS活用のガードレール「IAM」の「Permissions Boundary」でアクセス境界を設定するには:AWSチートシート 「Amazon Web Services」(AWS)活用における便利な小技を簡潔に紹介する連載「AWSチートシート」。今回は、「AWS IAM」の「Permissions Boundary」を利用したアクセス境界の設定について。 「Amazon Web Services」(AWS)活用における便利な小技を簡潔に紹介する連載「AWSチートシート」。 利用者によるAWSリソースに対するアクセスと認証を管理する「AWS Identity and Access Management」(IAM)は、AWSを使うなら最初に学習、利用するサービスの一つといっていいほど基本的なサービスです。 多くの人にとっては「IAMユーザー」「IAMグループ」「IAMロール」「IAMポリシー
「AWS IAMだけでなんとかする、 最低限のガードレール」というタイトルで #AKIBAAWS で登壇しました | DevelopersIO
ちゃだいん(@chazuke4649)です。 先日 【8/17(火)リモート開催】AKIBA.AWS ONLINE #06 – AWS IAM 編- にて、AWS IAMについて登壇しました。その際のスライド資料や動画を共有します。 スライド資料 動画 ※アップロードが完了次第更新します 補足情報 基本的に今回の発表は以下ブログを元ネタとし、一部抜粋して紹介しています。合わせてこちらのブログもどうぞ。
こんにちは。エンジニアの小川です。 キッチハイクでは定期的に社内勉強会を開催しています。 私も先日「IAMのきほん」というタイトルで発表をいたしました。 今回は発表スライドの共有とともに、発表の背景、IAMの学び方を補足したいと思います。 スライドはこちらです。 speakerdeck.com 発表の背景 発表の背景にはIAMを学ぶ上での第一歩がなかなかないのでは、という課題意識がありました。 IAMはAWSにおいてセキュリティを維持するうえで非常に重要でありながら、書籍などでまとまった分量が割かれていることはあまりないように感じています。 一方でIAMのアクセスキー / シークレットキーを奪われて、不正請求されてしまったなどのケースは後を絶ちません。 なんとなく扱いに不安を覚えながらも、どうしていいかわからずそのままになってしまう・・・、そんな状況になりやすいのではないか、と個人的には思
IAM Identity Centerを使って複数アカウント管理する。(その1:IAM Identity Centerでのログイン) - Qiita
IAM Identity Centerを使って複数アカウント管理する。(その1:IAM Identity Centerでのログイン)AWSSSOaws-ssoIAM_Identity_Center はじめに 仕事で初めてIAM Identity Centerを使う機会があり、使ってみたらマルチアカウントの管理が想像以上にやりやすかったので、紹介しようと思います。 【次】IAM Identity Centerを使って複数アカウント管理する。(その2:CLIでのアクセスと管理の委任) IAM Identity Centerとは AWS Single Sign-onの後継サービスとなり、AWS Organizationsで複数アカウントを運用している環境で各ユーザを集約管理し、各アカウントへのログインを簡単に行えるようにするためのサービスです。 前提として、AWS Organizationsを使
OpenSSLで作った自己署名証明書でIAM Roles Anywhereを使ってみた | DevelopersIO
OpenSSLのプライベート認証局の出番では? こんにちは、のんピ(@non____97)です。 皆さんはIAM Roles Anywhereを使いたいなと思ったことはありますか? 私はあります。 先人が既にアクセスキーを発行せずにAWS CLIを叩けることを検証しています。 せっかくなので、OpenSSLで作った自己署名証明書でもIAM Roles Anywhereを使えるのか検証してみます。 いきなりまとめ OpenSSLで作った自己署名証明書でもIAM Roles Anywhereは使える 証明書の秘密鍵はパスフレーズを解除しておく必要がある IAM Roles Anywhereで使用する証明書の要件はよく確認しよう Trust model in AWS Identity and Access Management Roles Anywhere - IAM Roles Anywher
eksctlを使わずterraformを使ってIAM Roles for Service Accounts - Qiita
https://aws.amazon.com/jp/blogs/news/introducing-fine-grained-iam-roles-service-accounts/ 最近EKSにServiceAccountに紐付いたrole arnでIAM権限を付与する仕組みが実装されました 非の打ち所のないような公式ドキュメントで、eksctlを使う場合は上のドキュメントを読んでいただければ完璧に理解できると思います、この記事ではeksctlではなくterraformを使って IAM Roles for Service Accounts を使用する手順を記載します * 東京リージョンで作成することを想定しています source code: https://github.com/keiSunagawa/qiita/tree/master/eks-sa-2-iam そもそも何ができるようになっ
GCPの拒否ポリシーが有能なので使用方法を解説します(IAMロールの権限制御) # GoogleCloud | DevelopersIO
1. IAMと拒否ポリシーの概要 IAM(Identity and Access Management)とは Google CloudのIAMポリシーは、デフォルトでは許可を指定するポリシーです。 よって、リソースに対するユーザーやグループ、サービスアカウントへの権限付与を明示的に許可することになります。 IAMロール周りの記事は過去に短く解説しているので、拝見下さい。 【Google Cloud:IAMのイメージについてざっくりまとめてみた】 拒否ポリシーとは IAMポリシーに対して、拒否ポリシーはこの挙動を反転させるものです。 つまり、ユーザーが特定のリソースに対して行うことができる操作を明示的に制限(拒否)します。 【公式から引用】 Identity and Access Management(IAM)拒否ポリシーを使用すると、Google Cloud リソースへのアクセスにガードレ
IAM Access Analyzer を利用して、アクセスアクティビティに基づいて IAM ポリシーを生成し、最小限の権限のアクセス許可を簡単に実装する | Amazon Web Services
Amazon Web Services ブログ IAM Access Analyzer を利用して、アクセスアクティビティに基づいて IAM ポリシーを生成し、最小限の権限のアクセス許可を簡単に実装する 2019 年に AWS Identity and Access Management (IAM) Access Analyzer がリリースされ、既存のアクセス許可の設定状況を分析することで、意図しないパブリックおよびクロスアカウントアクセスを削除できるようになりました。2021 年 3 月、IAM Access Analyzer は、ポリシーの作成中にセキュリティで機能的なアクセス許可を設定するのに役立つポリシー検証機能を追加しました。そして、IAM Access Analyzer はさらに一歩進み、ポリシーを生成します。IAM Access Analyzer を使用して、AWS Clo
AWS Organizations & IAM Identity Center利用をオススメしてみる(AWS Organizations活用のリアル補足) - STORES Product Blog
プロダクト基盤本部 SREの藤原です。 2022/12/13にSTORES Tech Talk AWS Organizations活用のリアルにて登壇いたしました。 本エントリはその補足です。 登壇内容について speakerdeck.com 当日は、AWS OrganizationsとIAM Identity Center, Terraformを連携した権限管理と題して、15分ほどトークを担当いたしました。 弊社におけるAWS OrganizationsとIdentity Center導入の経緯を説明した上で、oktaをIdPとした実際の構成、Terraformを組み合わせた運用について解説しました。 具体的なトーク内容については、リンクしているスライドを参照してください。 本エントリの経緯 本エントリを書いた経緯ですが、イベント当日にAWSを検証のために個人利用している場合のプラクティ
【モンスト まとめ】✖️【雑談】今週のモンスト出来事まとめ&ブログを書いている時に聴いてる音楽その13。【Iam Sam】 - coltのモンストまとめノート
ども。coltです。 いつも読んでいただきありがとうございます😊 やっと試験からのプレッシャーから解放されて(元々そんなにプレッシャー感じてたか?) 少し気持ちが緩み気味であります。 このままだとダラダラと休日を過ごしてしまいそうなので、ちゃんと机に座ってPCと向き合ってみることにします。 今週、こんな事ありましたよ。モンスト超個人的まとめ。10/18〜10/24編。 新イベント【鋼鉄の誓い2〜希望の乙女〜】スタート 新コンテンツ【秘海の冒険船】出航!! 光属性【怪傑 ゾロ】獣神化実装!! 選抜!7周年人気投票ガチャ開幕!! モンストまとめ colt的 ブログ更新のオトモに聴きたいオススメの曲をご紹介。13回目。 今週聴いてた音楽はコレ。 【I Am Sam / アイ・アム・サム】って? 【I Am Sam / アイ・アム・サム】のサウンドトラックについて とりあえず見てみて!! まとめ
AWS IAM の結果整合性を避けるためセッションポリシーを用いてポリシーの動作確認を行う | DevelopersIO
IAM ポリシーを変更するとそれが伝播するまで待つ必要があります。IAM ポリシーはそのままにして、セッションでのみ有効なセッションポリシーを変更しながら使えばその影響を回避できます。 IAM リソース変更の即時反映を期待してはだめ コンバンハ、千葉(幸)です。 AWS IAM は結果整合性が採用されています。 *1 言い換えれば、変更が即時に反映されることは保証されていません。例えば以下の操作を行ったとします。 IAM ユーザー A に唯一アタッチされた IAM ポリシー P に、EC2 操作を許可する権限を追加する IAM ユーザー A の認証情報を利用して EC2 の操作を行う このとき無条件に 2 が成功することを期待したくなりますが、1 からの実行間隔が短いと失敗することもあります。最終的には結果整合性により「成功する」に収束しますが、数秒なり数分間なりは 1 の変更前の権限で評
(初心者向け) AWSのアカウントを守るために最低限やっておきたいことまとめ ( IAMメイン ) - Qiita
はじめに これまで業務でAWSを触る機会もあったのですが、1からアカウントを運用するなどは経験がなく基本的な部分が抜けているなと感じたので、自身の知識の確認も含めて、AWSアカウントを安全に利用するためのセキュリティの基礎中の基礎をまとめてみました。 対象読者 AWSアカウントを開設してばかりの方 AWS IAMの設定内容に自信がない方 IAM ベストプラクティスで推奨されている内容をさくっと確認したい方 AWSにおけるセキュリティの考え方 AWSはさまざまな便利なサービスをクラウドサービスとして提供してくれていますが、クラウドサービスだからといってセキュリティのあらゆる部分をAWSが担保してくれるわけではありません。 セキュリティに関してAWSがどの範囲は責任を持ってくれるのか、また利用者側がどの範囲のセキュリティを検討しなくてはいけないのかは「責任共有モデル」という形で明示されています
AWS IAM が WebAuthn と Safari ブラウザをサポートし、セキュリティキーによる多要素認証が可能になりました
今まで出来なかったとすると、革命的に便利になる気がする>< それともAADとかCloud Identityでセキュリティキー使えてる系とは違う話なのかな?
概要 AWS IAM Identity Center 昔はAWS SSOと呼ばれていたました これを使うことで、複数AWSアカウントのIAMを統一的に管理することができます 複数アカウントのIAM管理手法はいくつかあります スイッチロールによる管理との比較、メリットについては 株式会社PLAN-Bさんがまとめてくれています 下記記事がとても分かりやすいと思います IAM Identity Centerは既存のIAMユーザーと競合しないので、段階的に一部のユーザーだけ試してみるといった運用も可能です 同じユーザー名でも問題ありません 今回は以下のようにaccountA、accountBに存在するyamasitaアカウントをIAM Identity Centerのyamasitaに移行するまでの設定をやってみます 以下のようにログインのURLが変わりますが、ログイン後の使用感は変わりません 実
IAM で MFA デバイスを複数登録が可能となった影響で MFA 強制の IAM ポリシーに修正が必要です - サーバーワークスエンジニアブログ
カスタマーサクセス部 佐竹です。 本日は、以下のアップデートに関する運用上の注意点のお知らせです。IAM ポリシーで、IAM User に MFA デバイスの設定を強制されている場合に、本アップデートによる影響がありましたので周知のために記載しております。 aws.amazon.com はじめに アップデートの影響 IAM ポリシーへの影響 修正が必要な個所 ${aws:username} 発生するエラー 修正後の IAM ポリシー json 注意点やその他のご連絡事項 影響を受けないお客様 まだ全ての AWS アカウントが複数の MFA デバイス登録に対応していない 2台目の MFA デバイス登録からエラーが発生する場合 1台目の MFA デバイス登録からエラーが発生する場合 MFA デバイス名は AWS アカウント内で一意でなければならない 修正後はアスタリスク (*) で問題はないの
Pikeを使ってTerraform実行ユーザー用の最小限のIAMポリシーを生成する | DevelopersIO
「terraform apply を実行するユーザーやロールにも最小限の権限を付与するようにしたい。」 Terraformで色々管理しているから、Terraform実行ユーザーの権限は強めにしているけど少し不安。最小限の権限を割り当てる方法はないかな? そんな時には、Pikeを使ってみるのもいいかもしれません。 Pikeとは 一言で言うと、TerraformのコードからTerraform実行に必要な最小限のIAMポリシーを生成してくれるツールです。 JamesWoolfenden/pike: Pike is a tool for determining the permissions or policy required for IAC code Terraform実行用IAMユーザー・IAMロールの権限 例えば、TerraformでAWSインフラを管理しているとします。 terrafor
イラストで理解するIAMロール
はじめに 先日、AWSのアクセス制御についてのプレゼンを行いました。 その際、ポリシーが増える場合、どのように対応すれば良いですか?という質問を頂きました。 そこで、ポリシーを管理するためのIAMロールの説明がうまくできませんでした。 ポリシーやロールは普段から触ることも多いですが、そのメリットをちゃん理解できていなかったことを自覚しました。 そこで、AWSのIAMロール周りのことを聞かれて「ドキッ」とする、そんな私のような方は是非読んでみて下さい。 概要 この記事ではIAMロールの利点に焦点を当てているので、あまり細かい仕組みの説明はしておりませんので、あしからず。 ポリシー ポリシーってなに? そもそも、ポリシーってなんでしょう? ポリシーがあって何がいいんでしょう? では、まずポリシーがない状況を考えましょう。 ポリシー(権限)が無いと、誰でも、いつでも、なんでも、操作できるという状
Register as a new user and use Qiita more conveniently You get articles that match your needsYou can efficiently read back useful informationYou can use dark themeWhat you can do with signing up
AWS IAM Identiy Center利用環境下で、メンバーアカウントのCodeCommitのリポジトリをクローンしたみた | DevelopersIO
AWS IAM Identiy Center利用環境下で、メンバーアカウントのCodeCommitのリポジトリをクローンしたみた はじめに IAM Identiy Center利用環境下で、メンバーアカウントのCodeCommitのリポジトリをクローンしてみました。 IAM Identiy Center利用環境下で、CodeCommitのリポジトリをクライアント端末にクローンする場合、IAMユーザーの永続的な認証情報であるアクセスキーを使うのではなく、IAM Identity Centerから払い出される一時的な認証情報を利用する方がよいです。 今回は、AWS CLIからIAM Identity Centerとの認証後にCodeCommitのリポジトリをクローンする手順をまとめました。 事前設定 IAM Identiy Centerの設定 IAM Identiy Centerは設定済み 許
Amazon Web Services ブログ SaaSテナント分離をAWS IAMとABACで実装する方法 この記事は、How to implement SaaS tenant isolation with ABAC and AWS IAMを訳したものです。 マルチテナントアプリケーションにおいては各テナントのリソースが他のテナントからアクセスできないように設計を行う必要があります。AWS Identity and Access Management (IAM) は多くの場合、この目的を達成するための重要な要素となりえます。一方で、IAMを用いることによる課題の一つとして、テナント分離を実現するのに必要な IAM ポリシーの数と複雑さが急速に拡大することにより分離モデルの規模と管理性に影響を与えることが挙げられます。IAM の 属性ベースのアクセスコントロール (ABAC) の仕組みはこ
ユーザーが IAM の認証情報を使用して Amazon RDS for MySQL の DB インスタンスを認証できるようにするにはどうすればよいですか? MySQL を実行している Amazon Relational Database Service (Amazon RDS) データベース (DB) インスタンスに接続したいと考えています。ネイティブの認証方法の代わりに AWS Identity and Access Management (IAM) の認証情報を使用したいと考えています。 簡単な説明 ユーザーは、IAM ユーザーまたはロールの認証情報と認証トークンを使用すれば Amazon RDS の DB インスタンスまたはクラスターに接続するこができます。IAM データベース認証は、以下の理由から、ネイティブな認証方法よりも安全です。 IAM データベース認証トークンは、AWS の
Amazon Web Services ブログ Amazon EFS の新機能 – IAM 認証とアクセスポイント アプリケーションを構築または移行する際に、多くの場合、複数の計算ノード間でデータを共有する必要があります。 多くのアプリケーションはファイル API を使用し、Amazon Elastic File System (EFS) では AWS でそれらのアプリケーションを簡単に使用できます。他の AWS サービスおよびオンプレミスリソースからアクセスできる、スケーラブルでフルマネージド型の Network File System (NFS) を提供します。 EFS は、中断することなく、オンデマンドでゼロからペタバイトまで拡張します。また、ファイルを追加および削除すると自動的に拡大および縮小を行い、容量をプロビジョニングして管理する必要性を取り除きます。これを使用することにより、
TerraformでAWSのOIDCできるIAM Roleを作成しGitHubの設定まで一気に済ませる - Qiita
概要 TerraformではAWSなどのクラウドサービスのみならず、GitHubのリソースの管理もできます。 本記事ではTerraformを使ってGitHub ActionsからOpenID ConnectでAssume RoleできるIAM Roleの作成をします。 また、TerraformでGitHub Actionsのシークレットに作成したRoleのarnを登録するところまで一括でやります。 参考 https://zenn.dev/kou_pg_0131/articles/gh-actions-oidc-aws https://docs.github.com/en/actions/deployment/security-hardening-your-deployments/configuring-openid-connect-in-amazon-web-services https:
IAMのWeb Identity Federationの理解にPlaygroundを試したら捗った | DevelopersIO
IAMのWeb Identity Federationが便利そうだけどどういう仕組みかがよくわからないってなりませんか。 用語がたくさんあったり若干入り組んでいるので私は苦しみました。苦しみながら ドキュメント を読んでいたらWeb Identity Federation Playgroundが理解に役立つと書いてありました。 なので実際に試してみました。 Web Identity Federationとは AWSリソースにアクセスするにはアクセスキーが必要になりますよね。 AWS CLIとかでアクセスキーを使用するのであればIAM ユーザーを作成して設定すれば問題ないですが、モバイルアプリやWebアプリに対して直接アクセスキーを埋め込むことは推奨できる行為ではありません。 また独自のIDをAWS側で管理したりカスタムサインインコードを書くのも非常に手間です。 これらの問題をさけつつAWS
IAMベストプラクティスにほぼほぼ準拠したIAMユーザ・グループ作成と、MFA デバイスの自己管理を許可するポリシーの取り扱い注意点 - Qiita
IAMベストプラクティスにほぼほぼ準拠したIAMユーザ・グループ作成と、MFA デバイスの自己管理を許可するポリシーの取り扱い注意点AWSSecurityIAMTerraform 1. はじめに AWS マネジメントコンソール作業で使用するIAMグループ や IAMユーザーの設計や作成フローを、IAM ベストプラクティス を参考にして見直してみる。 けど、IAMグループ や IAMユーザー の作成に関する IAM ベストプラクティス をすべて採用するのは窮屈なので、採用するものを決めて My IAM プラクティスを作成してみる。 そして、My IAM プラクティスに準拠したIAM グループ、IAMユーザーの作成フローを構築してみる。 例として、新規に参画したAWS マネジメントコンソール作業者で、開発チームのAさんの IAM ユーザーを作成してみる。 あと、IAMポリシーとIAMグループを
IAMのベストプラクティス!rootユーザのアクセスキーはできるだけ削除していきましょう | DevelopersIO
みなさん!rootユーザのアクセスキー、使ってませんか? AWSのユーザのアクセスキー/シークレットキー(以下、アクセスキー)が漏洩すると、その所持する権限に応じて様々な被害が生じます。 参考: 【実録】アクセスキー流出、攻撃者のとった行動とその対策 | Developers.IO 中でもrootユーザは何でもできる最強の権限を持つため 万一そのアクセスキーが悪意ある者の手に渡ってしまうと、 AWSアカウントのrootメールアドレス変更 root含む全ユーザのログインパスワード変更 大事なシステムが稼働しているAWSアカウント解約 マイニングなど、リソースの不正利用によるクラウド破産 S3に保存した機密情報流出 などなど、とっても恐ろしいことが起こってしまいます。(※下2つはroot権限でなくとも起こりえます) 弊社にも、まれにrootユーザのアクセスキー漏洩事故、およびそれに伴うAWSア
AWS SSOのIAM RoleからAssume RoleできるIAM Roleを作成する | DevelopersIO
AWS SSOを使う時、ユーザーは各アカウントにできたIAM RoleにAssume Roleすることで各アカウントで操作ができるようになります。 このあたりについての詳細は以下を御覧ください。 AWS SSOを図解してみた | DevelopersIO さて今回は、AWS SSOユーザーがAssume RoleするためのIAM Role、この特定のRoleからさらにAssume Roleできる別アカウントのIAM Roleを作成したいと思います。 以下は、このRoleの信頼ポリシー(=Assume Roleできるエンティティを定義するポリシー)をどのように設定するか、という話です。 ガバガバで設定する { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:
AWS IAM Identity Center now supports automated user provisioning from Google Workspace
Customers can now connect their Google Workspace to AWS IAM Identity Center (successor to AWS Single Sign-On) once and manage access to AWS accounts and applications centrally, in IAM Identity Center. This integration enables end users to sign in using their Google Workspace identity to access all their assigned AWS accounts and applications. The integration helps administrators simplify AWS acces
大阪オフィスのちゃだいんです。 IAMのカスタムポリシーを1から作るぞってなったら、みなさんどうしてますか? ポリシーを最初から作るの、なかなか骨が折れますよね。 今日は、私の作成方法を紹介してみようと思います。(もっといい方法があるって場合はこっそり教えてください) 要件 例えば、このようなIAMポリシーを作成したいとします。 対象はIAMユーザー AWS Systems Manager の Run Command の実行のみ許可 実行するコマンドのタイプを自己所有のドキュメントのみに限定し CLIでもマネジメントコンソールからでも可能 自己アカウント内のEC2に対して、すでに作成済みのスクリプトのみを実行する権限だけ与えたい。そんな場合と仮定します。 1. まず、類似したポリシーのサンプルが公式ドキュメントにないか検索する これはいわゆる検索力が物を言います。 AWSドキュメントの中に
「AWS初心者のしくじり」1Passwordを利用したIAM ユーザの2要素認証設定(MFA) | DevelopersIO
はじめに 『最後まで気を抜くな!』 ~~「家に帰るまでが遠足です。 皆さん気を付けて帰りましょう・・・」 小学生の頃、遠足の帰りに教頭先生に言われた言葉を思い出した。~~ そんなしくじりと、その後の試行錯誤の体験です。 こんにちは、上山(かみやま)です。 前職では社内のセキュリティに関わる規定やルール、システム開発・導入の際の支援などしており、 AWSなどのクラウド上で構築したサービスについても扱うことが多く、やれ「IPアドレス制限してね」とか、 「2要素認証設定してね」などと言っていましたが、自身で直接設定した経験はゼロ。 そんなAWS初心者が当社で初めてAWSを触った実体験を、同じようにAWS初心者の皆様へほんの少しですが共有できればと思います。 今回のお題:1Passwordを利用した仮想MFAデバイス設定 今回は、複数のIDやパスワードを管理することができるアプリ「1Passwor
【小ネタ】GitHub Actions用のIAMロールをAWSマネジメントコンソールから作成する際の注意点 | DevelopersIO
GitHub Actionsで利用するIAMロールの信頼関係には、Conditionとして "token.actions.githubusercontent.com:sub" で組織とリポジトリとジョブ環境名を指定する必要があります。 コンサル部のとばち(@toda_kk)です。 先月、GitHub ActionsがOpenID Connect(OIDC)に対応したことが発表されました。 実はそれ以前から対応は進んでおり、公式なアナウンスはないものの、ちらほらと「試してみた」系の記事が上がっていました。 具体的には、AWS IAMのIDプロバイダーを利用することで、GitHub ActionsにAWSユーザーにアクセスキーなど永続的なクレデンシャルを渡すことなく、IAMロールをベースとした権限管理によってAWSリソースの操作ができるようになる、という内容です。 2021年現在、GitHub
AWS IAM の知っておくべき話と知らなくてもいい話 でチョークトークスタイルで登壇しました #devio2023 | DevelopersIO
「AWS IAM の知っておくべき話と知らなくてもいい話」をしました。当日あまりできなかった「知らなくてもいい話」をこの場で少しだけさせてください。 コンバンハ、千葉(幸)です。 2023/7/7 , 7/8 に行われた Developers IO 2023 にて、「AWS IAM の知っておくべき話と知らなくてもいい話」というタイトルで登壇しました。 AWS IAM の知っておくべき話と知らなくてもいい話 AWS IAMはAWSを利用する上で避けて通れないサービスです。使ったことがない、という方はいないと思います。そんなIAMについて、正解はないけどみんなどんな設計してるの?という話と、つまずきがちな複雑な評価論理の話と、知らなくてもいい裏側の話をします。皆さんのIAMライフをちょっとだけ豊かにすることを目指します。 クラスメソッド株式会社 AWS事業本部コンサルティング部 マネージャー
Cloud9は、ブラウザのみでコードを記述できるクラウドベースのIDE(統合開発環境)です。 Cloud9ではデフォルトで、AWS Managed Temporary Credentials(以降、AMTCと呼ぶ)が有効になっています。 これが有効になっていることで、AWSマネジメントコンソールへログインしたユーザーと同等の権限をもつ一時クレデンシャルキーが自動で発行され、すぐにCloud9上のシェルでAWS CLIを利用できます。 AMTCについて詳しく知りたい方は弊社ブログをご覧ください。 AWS Cloud9環境で利用できる一時クレデンシャル『AWS Managed Temporary Credentials』について調べてみた | Developers.IO このブログの中でも触れられているのですが、AMTCを利用する場合、IAM等に対する一部のアクションが制限されています。 Cl
はじめに こんにちは。大阪オフィスの林です。 タイトルの通りなのですが本エントリは、AWS環境で各種リソースやサービスに対する管理者権限を与えつつも、IAMユーザーの作成や変更に関する操作を禁じたいというピンポイントのユースケースにお答えする内容となっています。 デフォルトのポリシーでIAMReadOnlyAccessもありますが、ロールやポリシーの操作にも制限が掛かってしまうので、IAMユーザーの作成、変更に対する操作だけを禁止したいというユースケースに本エントリを参考にして頂ければと思います。 やってみた ポリシー作成 IAMのダッシュボード左メニューから「ポリシー」-「ポリシーの作成」を選択します。 「JSON」タブから下記のJOSNをコピペして次のステップに進みます。 { "Version": "2012-10-17", "Statement": [ { "Effect": "Al
IAMインスタンスプロファイルって?
概要 AWSリソースにIAMポリシー権限を渡すときはIAMポリシーがアタッチされているIAMロールを作成し、そのIAMロールをAWSリソースに付与することで付与されたAWSリソースは他のリソースへの操作権限が与えられます。 ですがEC2を作成する画面にIAMロールをアタッチする箇所がなく、IAMインスタンスプロファイルを設定する箇所が存在します。 AWS CLIでもパラメータにIamInstanceProfileという項目があり、Arnにもinstance-profileと記載されています。 aws ec2 describe-instances --query "Reservations[].Instances[].IamInstanceProfile.Arn" [ "arn:aws:iam::XXXXXXXXXXXX:instance-profile/Yuta20210911" ] この
【Security Hub修復手順】[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります | DevelopersIO
皆さん、お使いのAWS環境のセキュリティチェックはしていますか? 当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。 本記事の対象コントロール [IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります [IAM.3] IAM users' access keys should be rotated every 90 days or less 前提条件 本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容です。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。 コントロールの説明 このコントロールは、IAMユーザーのアクティブなアクセスキーが90日以内に適切
![【Security Hub修復手順】[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/b5eb18f96ede2cf98d82eb160ccfa87db6695ef1/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2023%2F08%2Faws-security-hub.png)
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
社内勉強会でIAMの基本について話しました - KitchHike Tech Blog
AWS IAM Identity CenterでIAMアカウントを統一する
個人でやっている AWS IAM の運用 - Qiita
SaaSテナント分離をAWS IAMとABACで実装する方法 | Amazon Web Services
ユーザーが IAM の認証情報を使用して Amazon RDS に接続できるようにする方法
Amazon EFS の新機能 – IAM 認証とアクセスポイント | Amazon Web Services
[初心者向け] IAMカスタムポリシーを最初から作る方法の一つ | DevelopersIO
Cloud9からIAM Roleの権限でAWS CLIを実行する | DevelopersIO
管理者権限を与えつつIAMユーザーまわりの操作だけ禁止するIAMポリシー | DevelopersIO