IAMによるAWS権限管理 – プロジェクトメンバーへの権限付与方針に潜む闇 | DevelopersIO
よく訓練されたアップル信者、都元です。今日もIAMです。 先日のエントリで、プロジェクトメンバーにはIAMユーザを配布しましょう、というプラクティスを示しました。ではそのIAMユーザの権限はどの程度与えれば良いのでしょうか、というのが今日のテーマ。先に断っておきますと、このエントリーは結論が出ません。非常に難しいです。では、いきましょう。 AWSは「よくあるポリシー」としていくつかのテンプレートを提供してくれています。 Administrator Policy Read Only Access Policy Power User Policy ... 上記の他に、UI上で様々なポリシーテンプレートが利用できるようになっています。これらの権限をいくつか見ていきましょう。 プロジェクトメンバー全員にAdministratorAccess権限を与えると… AdministratorAccessと
IAMロール徹底理解 〜 AssumeRoleの正体 | DevelopersIO
さて、皆様はIAMにどのようなイメージをお持ちでしょうか。プロジェクトに関わる複数人で1つのAWSアカウントを扱う時、各メンバーに配布するアカウントを作れる機能。そして、その気になればアカウントをグループ分けし、権限を厳密に管理できる機能。といったところかと思います。 上記のユースケースで出てきた主なエンティティ(要素)はUserとGroupですね。IAMのManagement Consoleで見てみると、IAMはこれらの他にRoleやIdentity Providerというエンティティによって構成されているようだ、ということがわかります。今日はRoleにフォーカスを当てて、その実態を詳しく理解します。 IAM Role IAM Roleを使うと、先に挙げたIAMのユースケースの他に、下記のようなことが出来るようになります。 IAM roles for EC2 instancesを使ってみ
AWSアクセスキー・ローテーションのススメ | DevelopersIO
よく訓練されたアップル信者、都元です。AWSにおけるクレデンシャルには大きく「管理コンソールにログインするためのパスワード(Sign-In Credentials)」と「APIアクセスを行うためにAPIキー(Access Credentials)」の2種類があることをご紹介しました。そして、前者Sign-In Credentialsのセキュリティを強固なものにする手段として、MFAの活用についてもご紹介しました。 本当は怖いアクセスキー しかし実は本当に怖いのは、後者Access Credentialsのセキュリティです。アクセスキーはMFAによる保護に向いていません。設定を工夫すれば、「MFAによる認証を経なければアクセスキーを使えないようにする」ことも可能です。しかし、一般的には「プログラムが使う認証情報」であることが多いため、MFAの認証コードがなければAPIが叩けない、というのは受
IAMによるAWS権限管理運用ベストプラクティス (2) | DevelopersIO
よく訓練されたアップル信者、都元です。前回(昨日)はAWSのクレデンシャルとプリンシパルを整理し、「開発運用スタッフ」が利用するクレデンシャルについてプラクティスを整理しました。今回はAWS上で稼働する「システム」が利用するクレデンシャルについてのプラクティスを整理しましょう。 システムが利用するクレデンシャル システムが利用するとはどういうことかといいますと、要するに「ユーザがアップロードしたファイルをS3に保存する」だとか「S3バケットに保存されたファイル一覧を取得して表示する」だとか、そういう操作をするシステムを作ることです。このようなシステムでは、APIキーを利用しますね。 AWSのAPIキーには、これもまた大きく分けて2種類があります。 long lived credentials (永続キー) short lived session credentials (一時キー) 皆さん
IAMによるAWS権限管理運用ベストプラクティス (1) | DevelopersIO
よく訓練されたアップル信者、都元です。AWSにはIAMという権限管理のサービスがあります。AWSを専門としている我々にとっては当たり前の知識なのですが、皆さんはこの機能を上手く使えているでしょうか。 AWSにおけるクレデンシャルとプリンシパル まず、AWSにおけるクレデンシャルは大きく2種類 *1に分かれます。 Sign-In Credential:Management Consoleログインのためのクレデンシャル(要するにパスワード) Access Credentials:APIアクセスのためのクレデンシャル(要するにAPIキー) また、プリンシパル(ログインする主体、ユーザ名等)にも大きく2種類 *2があります。 AWSアカウント IAMユーザ これらの組み合わせとして「AWSアカウントのパスワード」「AWSアカウントのAPIキー」「IAMユーザのパスワード」「IAMユーザのAPIキー
AWS News Blog
AWS Weekly Roundup: Anthropic’s Claude 3 Opus in Amazon Bedrock, Meta Llama 3 in Amazon SageMaker JumpStart, and more (April 22, 2024) AWS Summits continue to rock the world, with events taking place in various locations around the globe. AWS Summit London (April 24) is the last one in April, and there are nine more in May, including AWS Summit Berlin (May 15–16), AWS Summit Los Angeles (May 22),
AWS IAM Now Supports Amazon, Facebook, and Google Identity Federation | Amazon Web Services
AWS News Blog AWS IAM Now Supports Amazon, Facebook, and Google Identity Federation Jeff Wierer, Principal Product Manager on the AWS Identity and Access Management (IAM) team sent along a guest post to introduce a powerful new federation feature. — Jeff; In a previous blog post we discussed how AWS Identity and Access Management (IAM) supports identity federation by allowing developers to grant t
20120201 aws meister-reloaded-iam-and-billing-public
1. AWSマイスターシリーズ Reloaded ~IAM & Consolidated Billing~ 2012年01月30日 片山 暁雄( @c9katayama ) ソリューションアーキテクト 2. Agenda IAMの概要 IAMの操作・設定方法 Identity Federation Consolidated Billing Consolidated Billingの使い方 まとめ Copyright © 2011 Amazon Web Services 4. IAM(AWS Identity and Access Management) AWS利用者の認証と、アクセスポリシーを管理する仕組み AWS操作のためのグループ・ユーザーの作成が可能 「EC2インスタンスの起動」や「このS3へのPUT」のような、AWS操作 に対するアクセス制御を行える ユーザーとグループで管
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
