New in IAM: Quickly Identify When an Access Key Was Last Used | Amazon Web Services
AWS Security Blog New in IAM: Quickly Identify When an Access Key Was Last Used Rotate access keys regularly and remove inactive users. You’ve probably heard us mention these as two AWS Identity and Access Management (IAM) security best practices. But how do you know when access keys (for an IAM user or the root account) are no longer in use and safe to delete? To help you answer this question, IA
【新機能】IAMユーザーをManagement Consoleからクロスアカウントで色々なRoleにスイッチする事ができるようになりました。 | DevelopersIO
【新機能】IAMユーザーをManagement Consoleからクロスアカウントで色々なRoleにスイッチする事ができるようになりました。 こんにちは、せーのです。今日はIAMにできたなかなか面白い機能をご紹介します。IAMで役割(Role)を予め作っておき、AWS Management ConsoleからIAMユーザーをそのRoleにスイッチさせることにより一つのユーザーで様々な役割でのアクセスが可能になる、というものです。 どういう時に使うの 普段IAMユーザーに役割を割り振る時にはその業務別で権限を分けているかと思います。例えばDeveloper(開発者)であれば開発環境には触れるけれども本番環境には触れない、運用担当であれば状態を見ることはできるけども変更することは出来ない、みたいな感じです。 でも一時的に権限を与えたい場合などがあるかと思います。本番環境にシステムをデプロイする
2015年3月 AWS IAMポリシーのチェック厳格化への対策 | DevelopersIO
ども、大瀧です。 本日、AWSより2015年3月にIAMポリシードキュメントの文法チェックが厳格化するというアナウンスがありました。具体的にどんな対策をするべきか、まとめてみました。 確認方法 まずは、対策が必要かどうかを確認します。IAMのDashboard画面(https://console.aws.amazon.com/iam/)にアクセスして、画面上部に「Fix Policy Syntax」の警告が表示されたら対策が必要、表示されなければ対策は不要です。 警告が表示されたら、早速警告文末尾にある[Fix Syntax]リンクをクリックしてPolicy Validatorを表示します。 Policy Validatorによるポリシードキュメントの修正 Policy Validatorのリストには、修正が必要なポリシー一覧が表示されます。ポリシー名をクリックすると、自動修正前と修正後の
[セッションレポート]IAM Best Practices #reinvent | DevelopersIO
この記事は AWS re:Invent 2014、SEC305-JT - IAM Best Practices - Japanese Trackのレポートです。 スピーカーはAWSのAnders Samuelsson。 レポート IAMとは? 機能でもありサービスである。誰が何をできるのかを制御する。 ユーザ、グループ、ロール、パーミッションのコントロール。 全てのサービスへのアクセスを一箇所で一元的に制御できる。 粒度が細かく、どこまでなにをするのかはみなさんが決められる。 Denyがdefault。許可を与えない限りは出来ない。 複数のユーザを作ることも、透過的に設定することもできる。 ベストプラクティスは10個あったんだけど、11個になりました。 一番最初にやること。Userを作る。CLIでもAPIでもAMCでも。 ユーザを作ったら何ができるか。権限がないので何も出来ない。 まずは権
![[セッションレポート]IAM Best Practices #reinvent | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/9f822a733dd20e28505900c2cfb90a863cdb365a/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2014%2F11%2Fre_invent_eyecatch.png)
一般のIAMユーザにMFAを設定してもらう方法 | DevelopersIO
ウィスキー、シガー、パイプをこよなく愛する大栗です。 皆さんはAWSをセキュアに利用する為に、MFA(多要素認証)を使ってManagement Consoleへログインしていますよね? でも管理者以外の一般IAMユーザを使用している方はMFAを使用していないのではないかと思います。MFAの登録にはIAMの権限が必要になるので、一般ユーザでは登録できない事がほとんどだと思います。IAM権限の設定は面倒なので、必要な権限を整理してみました。 必要な権限 以下の様なIAMポリシーを設定したグループを作成しましょう。なお"ACCOUNT-ID-WITHOUT-HYPHENS"は自分のAWSアカウントの値に置き換えて下さい。 下記ポリシーは、2015年8月時点で試したところ、上手く動かなかったようです。対応についてはIAMユーザ本人にMFAを管理してもらうためのIAMポリシーを御覧ください。 { "
AWSのAPIアクセスをMFAで保護する | DevelopersIO
よく訓練されたアップル信者、都元です。突然ですがMFA使ってますか。使ってますよね。使ってますよね! 今どき大事なAWSアカウントをパスワードでしか保護しないのが許されるのは小(自粛 さて、本エントリーですが、下記の流れの追補的な位置づけになります。 IAMによるAWS権限管理運用ベストプラクティス (1) IAMによるAWS権限管理運用ベストプラクティス (2) なので前提知識として上記を読んでおいて頂きたいのですが、忙しい方には下記引用を。 まず、AWSにおけるクレデンシャルは大きく2種類に分かれます。 Sign-In Credential:Management Consoleログインのためのクレデンシャル(要するにパスワード) Access Credentials:APIアクセスのためのクレデンシャル(要するにAPIキー) MFAは、主にManagement Consoleへのログイ
AWS CLIで仮想MFAデバイスを作成・設定【JAWS-UG CLI #3 参加レポート】 #jawsug | DevelopersIO
三井田です。 昨晩は『JAWS-UG CLI専門支部 #3 - IAM入門』に参加してきました。 JAWS-UG CLI専門支部については、甲木さんが「JAWS-UG CLI専門支部に参加しています #jawsug」で既に触れているので割愛します。 JAWS-UG CLI専門支部 #3 IAM入門 今回は4回目の勉強会ということで「#3 IAM入門」がお題でした。(#0から始まったので#3は4回目なのです) 『JAWS-UG CLI専門支部 #3 - IAM入門』にリンクのあるハンズオン資料を基にもくもくと時に雑談や相談を交えて進んでいきました。 特にIAMのハンズオンという観点で主宰の波田野さんから提起された注意点としては、次のようなものがありました。 AWSアカウントはまっさらな新規アカウントを用意した方が良い。誤操作により、同じアカウントを使っている同僚その他が突然環境を使えなくなる
プログラムではアクセスキー/シークレットキーを使わずにRoleを利用する | DevelopersIO
渡辺です。 最近は、システムの開発支援としてAWS環境構築などに関わる事が多いです。 そこで、開発者側視点で押さえておきたいAWSのノウハウや基礎知識を書いて展開してみたいと思います。 今回はEC2で動くプログラムがアクセスキー/シークレットキーを使わずにRoleを利用すべき、という話です。 Roleとは? RoleはIAMの機能のひとつで、アクセスキー/シークレットキーを使わずに各種AWSリソースにアクセスすることができます。 例えば、EC2インスタンスからS3にオブジェクトを書き込んだり、SNSにメッセージを送信したりする場合に利用できます。 アクセスキー/シークレットキーとの違い ひとことで言えば、Roleはアクセスキー/シークレットキーに比べ、キーの管理をする必要がありません。 ただし、EC2インスタンスにしか割り当てることしかできません。 キー管理が不要 アクセスキー/シークレッ
【IAM】リードオンリーのユーザーにパスワード変更を許可する方法について | DevelopersIO
はじめに こんにちは植木和樹です。先日IAMについて機能拡張のアナウンスがありました。早速、大瀧さんがブログに書いていますね。 強化されたAWS IAMパスワード管理を理解する | Developers.IO このブログ読んででふと気づいたのですが、"Allow users to change their own password"のチェックボックスは以前からありましたでしょうか? 画面に表示されているヒントには "Enables all IAM users to change their own passwords. You can allow only specific users to change their own passwords by clearing this box and allowing this action in their IAM user or group
【IAM】権限管理を疎結合!新CDP候補「assumeGroup」パターン | DevelopersIO
こんにちは、せーのです。 今回はIAMの権限管理について便利な方法をCDP候補「assumeGroup」パターンとして提案させて頂こうと思います。 どういう時に使うのか 例えばEC2のSTOP/START/REBOOTだけの権限を与えたいユーザーがいるとします。これを「operator権限」とします。 通常はIAMユーザーに直接EC2へのpolicyを書いて解決しますね。 でもそれですと他にoperator権限を付けたいユーザーがいた場合、毎回そのpolicyを書き続けないといけません。めんどいですね。 そこでIAM Groupを使ってそれを解決します。つまり、operator権限をもったIAM Group(operatorグループ)を作り、そこに権限をつけたいユーザーを所属させることで皆operator権限を持つ、という方法です。これでIAMユーザーと権限管理が分離しました。 しかしEC
強化されたAWS IAMパスワード管理を理解する | DevelopersIO
ども、大瀧です。 本日IAMの新機能としてパスワード管理の機能追加とクレデンシャルレポートの出力がリリースされました。IAMユーザーの管理をよりセキュアにする良い機能拡張だと思うので、アップデート内容をまとめてみます。 パスワード管理の機能追加 従来からIAMユーザーのパスワード設定として、最小文字数などが設定できたのですが、今回の機能拡張で設定項目が大幅に増えました!一般的なパスワード管理で必要とされる項目は一通り網羅されているのではないかと思います。設定画面は従来通り、Management ConsoleのIAMのメニューにある[Password Policy]で確認、設定出来ます。 設定名 はたらき
[IAM]スクリプトでアクセスキー・ローテーションする | DevelopersIO
はじめに こんばんは、武川です。先日弊社ブログにAWSアクセスキー・ローテーションのススメという記事がありました。こちらは手動にてコンソールを操作する手順となっていますが、折角なのでスクリプトで実行できるようにしてみました。 スクリプトとそのの実行方法について簡単に説明します。 スクリプトについて rubyで書いてみました。 #!/usr/bin/env ruby require 'rubygems' require 'aws-sdk' AWS.config({ :access_key_id => 'Please input Your Access Key', :secret_access_key => 'Please input Your secret Key', :region => 'ap-northeast-1', }) iam = AWS::IAM.new() if iam.ac
【AWSセキュリティ】簡易侵入検知のススメ | DevelopersIO
よく訓練されたアップル信者、都元です。ブログのエントリみてればわかるとおもいますが、最近AWSのセキュリティに凝ってます。 AWSにおける権限管理について知識を深め、各所に適切な設定を行って行くのは大事なことです。これが基本です。しかし、自分が管理するAWSの各種リソースについて、何らかの意図しない変更があったことにすぐ気付ける体制は整っていますでしょうか? 仮に、アクセスキーが悪意のある第三者に漏洩し、当人がその事実に気づいていないケースを考えます。悪意の第三者は、きたる攻撃のタイミングに備え、各所にバックドアを仕込もうとするでしょう。 こっそりとIAMユーザを増やしているかもしれません。 アクセスキーが1ユーザにつき2つ作れることをいいことに、自分用のキーを追加で作成しているかもしれません。 IAMロールに対するIAMポリシーを書き換えているかもしれません。 セキュリティグループにおけ
IAM Policy Statementにおける NotAction / NotResource とは? | DevelopersIO
よく訓練されたアップル信者、都元です。以前IAMによるAWS権限管理 – IAMポリシーの記述と評価論理というエントリにて、IAMポリシーの書き方を解説しました。 先のエントリで、ポリシーステートメントはEffect, Action, Resourceから成る、という説明をしました。これはこれで基本的に間違い無いのですが、Actionの代わりにNotAction、Resourceの代わりにNotResourceというキーが利用できる、ということを本日はご紹介しようと思います。 Allow-NotActionとDeny-Actionの違い ステートメントにおけるNot〜を理解するにあたって理解しなければならないのはこのテーマに尽きます。下記2つのポリシーはどう違うのでしょうか。 Allow-NotActionパターン { "Version":"2012-10-17", "Statement"
AWS管理コンソールへのアクセスをIPアドレスで制限したい | DevelopersIO
よく訓練されたアップル信者、都元です。現状、AWSの管理コンソールには、どのIPアドレスからでもログイン可能です。しかし、管理コンソールへのアクセスを社内ネットワークからのみに絞りたい、というニーズは常に一定数存在します。という時に使えるTipsを今回は軽くご紹介。 IAMポリシーによる制御 残念ながら、現状ではIPアドレス条件で「管理コンソールへのログインを出来なくする」ことはできません。しかし、IAMポリシーの記述を工夫することにより「管理コンソールへログイン出来たとしても、情報の閲覧をはじめ、各種操作が一切できない」状況にすることができます。 例えば、Administratorアクセス権限を与えるが、指定IPアドレス以外からのアクセスを全て却下する場合は、下記のようなポリシーを適用します。下記の例では、203.0.113.123/32以外からのアクセスは拒否されます。 { "Vers
IAM Roleの仕組みを追う – なぜアクセスキーを明記する必要がないのか | DevelopersIO
はじめに こんにちは。望月です。 過去に本ブログで、IAM Roleの仕組みについて都元から解説がありました。 - IAMロール徹底理解 〜 AssumeRoleの正体 IAM Roleの仕組みについて非常にわかりやすく解説されていますので、ぜひ読んでみてください。今日はもう少し利用側の観点に立ったブログを書いてみようと思います。 IAM Roleってどうやって使われてるの IAM Roleを利用する目的は、「ソースコード内にAWSのAPIキーをハードコードすることなく、AWSのAPIを叩きたい」というものが殆どだと思います。ですが、なぜIAM Roleを利用すると、アクセスキーをソースコードで指定することなくAWSのAPIが利用可能になるのでしょうか。 今日はその仕組みについて知りたくなったので、AWS SDK for Rubyのソースコードから読み解いてみました。SDKのバージョンは1
【AWSにおけるセキュリティ】冗長バーチャルMFA | DevelopersIO
よく訓練されたアップル信者、都元です。さっきはヤられました…。早速ボスに「同じネタの記事書いちゃったんですよーww」という話をしたら、想像通りのドヤ顔を頂きました。ごちそうさまでした。 さて、マジで悔しいので再びMFAネタ。 MFAを滅失した場合 前のエントリで説明した通り、アカウントのセキュリティ向上にはMFAが有効です。特にルートアカウント(非IAMアカウント)はアカウントの解約までできてしまう、最も強い権限を持っていますので、是非ともMFAを活用したいところです。 しかし、MFAというのは基本的に個人に帰属してしまいがちなデバイスです。業務で利用するAWSアカウントについて、そのルートアカウントにMFAを設定した場合、そのMFAを持ち歩くのは、恐らくそのプロジェクトの責任者ということになります。 では、その責任者がMFAと共に、何らかの事故に巻き込まれてしまった場合、どうなるでしょう
An Easier Way to Manage Your Policies | Amazon Web Services
AWS Security Blog An Easier Way to Manage Your Policies AWS recently announced a new feature of AWS Identity and Access Management (IAM): managed policies. Managed policies enable you to attach a single policy to multiple IAM users, groups, and roles (in this blog post referred to collectively as “IAM entities”). When you update a managed policy, the permissions in that policy apply to every entit
特定インスタンスタイプのEC2インスタンスが起動できないIAMユーザーを作成する | DevelopersIO
はじめに AWSを教育目的等で利用する際、利用費が高額なインスタンスタイプのEC2を起動させたくないなという場合があります。もちろん業務利用においても、オペレーションミスを防ぐために、同様の防御策を採りたいといったケースは少なく無いと思います。今回は、このような目的を達成するようなポリシーが設定されたIAMユーザーを作成したいと思います。 この記事のテクニックを利用すると特定AWSサービスの特定のAPIを特定条件でのみ禁止するようにする事ができるようになります。 GroupとUserの作成 まず最初に本記事で利用するGroupとUserを作成します。下記では「ec2-restricted」という名前でGroupを作成しています。 いったん No Permissions でGroupを作成してしまいます。権限が何もない状態です。 次に、同じ「ec2-restricted」という名前でUser
IAMによるAWS権限管理 – IAMポリシーの記述と評価論理 | DevelopersIO
よく訓練されたアップル信者、都元です。本日は、IAMユーザやロール等に与えられるポリシーについて。 IAMは、AWSの操作に関するIDと権限を管理するためのサービスです。IAMユーザ等を作ることにより、そのIDで「誰が操作を行うのか」というアイデンティティを管理し、ポリシーによって「その主体はその操作を行う権限があるのか」を管理します。 関連エンティティの整理 IAMの世界には、ユーザ・グループ・ポリシー等のエンティティが出てきますので、まずはその関係を整理しましょう。 左の方はそこそこ理解しやすいと思います。ユーザはグループに所属でき、多対多の関係があります。ロールについては別エントリIAMロール徹底理解 〜 AssumeRoleの正体を御覧ください。 各ユーザ・グループ・ロールには、複数の「ポリシー」と呼ばれるものを0個または複数個付与できます。ポリシーというのは1つのJSONドキュメ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
