イラストで理解するIAMロール
はじめに 先日、AWSのアクセス制御についてのプレゼンを行いました。 その際、ポリシーが増える場合、どのように対応すれば良いですか?という質問を頂きました。 そこで、ポリシーを管理するためのIAMロールの説明がうまくできませんでした。 ポリシーやロールは普段から触ることも多いですが、そのメリットをちゃん理解できていなかったことを自覚しました。 そこで、AWSのIAMロール周りのことを聞かれて「ドキッ」とする、そんな私のような方は是非読んでみて下さい。 概要 この記事ではIAMロールの利点に焦点を当てているので、あまり細かい仕組みの説明はしておりませんので、あしからず。 ポリシー ポリシーってなに? そもそも、ポリシーってなんでしょう? ポリシーがあって何がいいんでしょう? では、まずポリシーがない状況を考えましょう。 ポリシー(権限)が無いと、誰でも、いつでも、なんでも、操作できるという状
IAMユーザーに特権を一時的に付与する簡易承認ワークフローをSystems Manager (Automation) で実装してみた | DevelopersIO
IAMユーザーに特権を一時的に付与する簡易承認ワークフローをSystems Manager (Automation) で実装してみた はじめに 中山(順)です 先日、Systems ManagerのAutomationでAWSのAPIをたたけるようになりました。 AWS Systems Manager から直接 AWS API をたたけるようになりました! 今回、これを使ってIAMユーザーに特権を一時的に付与する簡易承認ワークフローを作ってみました。 この記事では、以下の流れで動かすまでの流れを紹介していきます。 要件を決める 実装方針を決める 実装する 動かす 想定要件 以下のような要件を設定しました。 指定したIAM Userに対して、一時的に特権を付与したい 特権を付与したい時間帯を指定したい 特権の付与には上長の承認が必要 実装方針 これらの要件を実現するために何の機能を利用するか
【AWS】Amazon S3をFTP/SFTPサーバーのように使ってみた | DevelopersIO
今回の課題 こんにちは植木和樹です。本日のお題は「現在運用しているFTP/SFTPサーバーをAmazon S3でリプレースしたい」です。 外部関係業者とのファイルのやりとりにFTP/SFTPサーバーを使っているケースは数多くあると思います。社内にあまったパソコンにLinuxをインストールしてFTPサーバーを自前で運用していることもあるかもしれません。しかしデータのバックアップやハードウェアの故障などで手を取られている担当者の方がいらっしゃるのではないでしょうか。 そんな時はAmazon S3。99.999999999% の堅牢性と、99.99% の可用性を提供するストレージサービスです。 しかしFTPは長い運用実績の歴史があるサービスです。FTPで求められる様々な運用ニーズにS3はどこまで応えられるでしょうか?今回はその点を検証してみました。 FTPに求められる要望 以下にいくつかの代表的
[AWS]マネージメントコンソールにIP制限をしつつ、一部利用できない機能も利用できるようにする | DevelopersIO
コンニチハ、千葉です。 AWSマネジメントコンソール利用時に、コンプライアンス要件によりIP制限をしたい場合があります。 しかし、マネジメントコンソールにIP制限すると、思わぬエラーが発生し操作できなくなる場合があります。 こちらのドキュメントにも記載があります。 aws:SourceIp 条件キーは、リクエストの送信元である IP アドレスに解決します。リクエストが Amazon EC2 インスタンスから送信された場合、aws:SourceIp はインスタンスのパブリック IP アドレスに評価されます。 引用元 つまり、APIリクエストの種類は2種類あり ユーザー側からのリクエスト AWSがユーザーの変わりにリクエスト 2はCloudFromationのようなAWS環境を自動構成するようなサービスで、ユーザーが作成した定義に従ってCloudFormationサービスがEC2のようなサービ
![[AWS]マネージメントコンソールにIP制限をしつつ、一部利用できない機能も利用できるようにする | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/7ba1034b9360dd6b5d9f1c5c3fa68ed286fc549d/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2014%2F05%2FIAM.png)
IAMをコード管理するMiamを使ってみた | DevelopersIO
Miamとは? Miamとは、AWSアカウントのIAM情報をコード管理出来るツールです。 使い勝手はRoute53とほぼ同様なので、AWS環境をコード管理していると重宝出来ると思います。 GitHub Maim 使い方 Miamをインストール % gem build miam.gemspec % gem install miam-0.2.4.beta8.gem % gem list miam *** LOCAL GEMS *** miam (0.2.4.beta8) ※本記事執筆時、gem install miamでインストールを行った所少し古いバージョンがインストールされ、 そのバージョンで作業を実施すると、パスワードポリシーのエラーが表示されました。 そのため、今回は0.2.4 beta8を使用しております。 Miamオプション Usage: miam [options] -p, --
【やってみた】利用者毎にEC2に自動でタグ付け - サーバーワークスエンジニアブログ
サーバーワークス カスタマーサポート課 伊藤です。 いつもはZabbixの記事を中心にお送りしておりますが、 今回はEC2への自動タグ付けについてお知らせします。 教育現場や、社内のリソース管理など1つのAWSアカウントを複数人で使う場合、IAMのポリシーでConditionパラメータを指定することで、特定のタグを持ったリソースだけを操作するという手法がよく使われます。 ですが、このタグを付け忘れる事などがよくあります。 そこで今回は、EC2インスタンスを作成したユーザー情報を自動的にタグに設定し、そのそのタグが付いているリソースだけを操作可能とする方法をご紹介します。 この手法は、AWSのSecurity Blogで紹介されているものです。 設定方法 CloudFormation による展開 CloudFormation template をダウンロードして、CloudFormation
AWS IAM編~サポートセンターへのアクセスを制限するポリシー~
こんにちは!Narimasaです! 今回は、AWS IAMのインラインポリシーを使ってサポートセンターへのアクセスを制限する手順について紹介します。 サポートセンターへのアクセス制限をする意義 IAMユーザーの管理ポリシーを使って「AdministratorAccess」や「PowerUserAccess」の権限を設定している場合、 サポートセンターへの問い合わせに対して制限がかかっていない状態となります。 その為 「部署毎にIAMユーザー割り振っているけど、問い合わせ管理用ユーザーは別に作りたい」 「協力会社にPowerUserAccess権限を渡しているけど、勝手にサポートへの問い合わせをされると困る」 というように、PowerUserAccess等にしているけど、問い合わせは制限したい場合に有効です。 設定手順 制限をかけたいIAMユーザーの管理画面を開き、画面下部の「インラインポリ
AWS Black Belt Online Seminar AWSサービスの権限管理
1. 【AWS Black Belt Online Seminar】 AWSサービスの権限管理 アマゾン ウェブ サービス ジャパン株式会社 プロフェッショナルサービス コンサルタント 山辺真行 2016.6.21 2. 自己紹介 名前 山辺真行 所属 アマゾン ウェブ サービス ジャパン株式会社 プロフェッショナルサービス本部 コンサルタント 好きなAWSサービス AWS Identity and Access Management (IAM) Amazon Route 53 2 3. AWS Black Belt Online Seminar とは • AWSJのTechメンバがAWSに関する様々な事を紹介するオンラインセミナーです 【火曜 12:00~13:00】 主にAWSのソリューションや 業界カットでの使いどころなどを紹介 (例:IoT、金融業界向け etc.) 【水曜 18:
Now Available: Get Even More Details from Service Last Accessed Data | Amazon Web Services
AWS Security Blog Now Available: Get Even More Details from Service Last Accessed Data In December, AWS Identity and Access Management (IAM) released service last accessed data, which shows the time when an IAM entity (a user, group, or role) last accessed an AWS service. This provided a powerful tool to help you grant least privilege permissions. Starting today, it’s easier to identify where you
見直すなら今!AWSアカウント セキュリティの基本を総点検 - サーバーワークスエンジニアブログ
これから新規で構築する際は、IAMベストプラクティスに準じた設計を行いますよね。当然ですよね。 でも、こんなAWSアカウントありませんか? 短納期を実現するためにスピード優先で構築したAWSアカウント 他の会社が構築したAWSアカウントを引き継いで運用中 AWSに理解のない担当者が初期設定をしたAWSアカウントを利用中 定期的なセキュリティの見直しをしていない2年以上前のAWSアカウント 便利だからこそきちんとしたセキュリティの設計と運用がAWSは重要です。 桜が咲く前に一度AWSのセキュリティを見なおしてみませんか? ■念のための操作ログチェック 大丈夫だと信じて疑いたくないけれど、念のためチェックをしましょう。 確認1:ルートアカウントで通常操作を行っていない いかいずれかの方法で確認をしてください。 確認方法1 CloudTrailからCloudWatch Logsへログ配信設定をし
stsAssumeRoleについて|ハンズラボ株式会社
ホッピーを燃料に書いています、ブログ大好き吉田です。 卒論のCodeCommitすごいですね!まだ見ていない方はぜひここ!を確認してください。 今回は権限委譲のお話です 少し違う話をします 僕はハンズラボに入ってから業務でAWSを使用しました。 個人でAWSを使用していると「他のアカウントに権限を移譲する」なーんてことまず考えません。 だって移譲するもなにも自分のアカウントしか無いわけですから。 しかし エンタープライズで使ってるとそうではありません。 コンソリデーティットビリングみたいに個人利用では無縁な話がゴロゴロと転がっています 個人で使っていると想像もしないのですが、もしAWSのアカウントが50個も100個もあったらどうしますか? 1個1個請求が来ても困りますよね? だから請求を一つのアカウントにまとめる(一括請求)。これは分かります。 でも、50個も100個もあったら何が「大変」
AWS 権限管理のベストプラクティスについて考えてみた | はったりエンジニアの備忘録
AWS は Management Console や API ですべて操作できます(Direct Connect など一部例外もあります)。データセンターの物理的なセキュリティなどは AWS が責任を負うところで、ユーザーはまったく意識する必要はありません。 その代わり、OS やミドルウェアの管理、アプリケーションの設計や実装、適切な権限管理などはユーザーが責任を負うところです。 今回はあまり取り上げられないけど、すごく大事な権限管理についてまとめてみました。自分が仕事で関わっているプロダクトで権限管理を見直すときに調べたことをベースにしていますが、もっと良いプラクティスがあればぜひ教えてください。 AWS アカウントは使わない 普段の運用で AWS アカウントは使いません。 AWS アカウントとは、最初にサインアップするときに作られるアカウントです。 このアカウントは Linux で言う
AWS Solutions Architect ブログ
AWS Identity and Access Management(IAM)は最近、複数のエンティティ(IAMユーザーやグループ、ロール)に対して一つのアクセスコントロールポリシーをアタッチできる管理ポリシーの提供を開始しました。 管理ポリシーはユーザーが他のエンティティに対するポリシーやパーミッションを管理する際、緻密できめの細かい制御を提供します。 例えば、ユーザーがどの管理ポリシーを特定のエンティティに対してアタッチもしくはデタッチできるか管理することができます。 この特性を使用して、制限付きIAM管理者を作成することで管理責任を委任することができます。 これらの管理者はユーザーやグループ、ロールを作成することができますが、制限された管理ポリシーを用いたアクセスしか許可することができません。 この記事では制限付きIAM管理者の作り方をご紹介します。 この記事の内容を行うに当たり、あ
IAMアカウントをIPアクセス制限するときの注意点 | DevelopersIO
IAMアカウントはIPアクセス制限ができます IAMアカウントは、AWSアカウントの子アカウントとして複数作成することができます。また、セキュリティ設定が多くあります。ここで、ポリシーの指定でIPアクセス制限を付けることができます。しかし、設定を間違えると全く意味をなさなくなってしまいますので、この設定方法について注意点を紹介しようと思います。 アクセスキーとシークレットキー セキュリティ証明書 パスワード 二要素認証でバイス パーミッション:ユーザポリシー パーミッション:グルップポリシー IAMポリシーの設定 IAMポリシーでは、詳細なアクセス制限を付けることができます。たとえば、グループポリシーとして全てのサービスに対する読み込み権限を付与して、ユーザポリシーとしてEC2操作権限を付ける等です。 設定の特徴としては、「許可の足し算」をしていくという考え方が分かりやすいかもしれません。
IAM JSON ポリシー要素のリファレンス - AWS Identity and Access Management
JSON ポリシードキュメントは要素で構成されます。要素は、ポリシーで使用する一般的な順番で記載されています。要素の順番は重要ではありません (たとえば、Resource 要素を Action 要素の前にもってくることなどが可能です)。ポリシーで、あらゆる Condition 要素も特定する必要はありません。JSON ポリシードキュメントの全体構造と目的については「JSON ポリシー概要」をご覧ください。 一部の JSON ポリシーの要素は相互排他的です。つまり、両方を使用するポリシーを作成することはできません。たとえば、Action と NotAction を同じポリシーステートメントで使用することはできません。相互排他的な他のペアには Principal/NotPrincipal や Resource/NotResource があります。 ポリシーに取り入れる詳細は各サービスによって異
AWS 請求を使用したアイデンティティベースのポリシー - AWS 請求
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 AWS 請求を使用したアイデンティティベースのポリシー デフォルトでは、ユーザーとロールには請求リソースを作成または変更するアクセス許可はありません。また、、 AWS Command Line Interface (AWS CLI) AWS Management Console、または AWS API を使用してタスクを実行することはできません。IAM 管理者は、リソースで必要なアクションを実行するための権限をユーザーに付与する IAM ポリシーを作成できます。その後、管理者はロールに IAM ポリシーを追加し、ユーザーはロールを引き受けることができます。 これらサンプルの JSON ポリシードキュメントを使用して、IAM アイデンティティベースのポリシーを作成する
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
404 | Developers.IO
Security Day IAM Recommended Practices
AWS Identity and Access Management
サーバーワークス エンジニアブログ トップページURLの変更について - サーバーワークスエンジニアブログ
