IAM および AWS STS の条件コンテキストキー - AWS Identity and Access Management
JSON ポリシーの Condition 要素を使用して、すべての AWS リクエストのリクエストコンテキストに含まれるキーの値をテストできます。これらのキーは、リクエスト自体、またはリクエストが参照するリソースに関する情報を示します。ユーザーが要求したアクションを許可する前に、キーが指定された値を持っているかどうかを確認できます。これにより、JSON ポリシーステートメントが着信リクエストと照合するとき、しないときを細かく制御できます。JSON ポリシーで Condition 要素を使用する方法の詳細については、「IAM JSON ポリシー要素Condition」を参照してください。 このトピックでは、IAM サービス (iam: プレフィックス付き) および AWS Security Token Service (AWS STS) サービス (sts: プレフィックス付き) で定義およ
How to create SAML providers with AWS CloudFormation | Amazon Web Services
AWS Security Blog How to create SAML providers with AWS CloudFormation May 10, 2023:Read more updated information about creating SAML providers with AWS CloudFormation here. August 10, 2022: This blog post has been updated to reflect the new name of AWS Single Sign-On (SSO) – AWS IAM Identity Center. Read more about the name change here. June 24, 2020: We updated the first 3 paragraphs of this pos
サンドボックス、開発、テスト環境で IAM ポリシー作成を一元化および自動化する方法 | Amazon Web Services
Amazon Web Services ブログ サンドボックス、開発、テスト環境で IAM ポリシー作成を一元化および自動化する方法 本番環境に対応したアーキテクチャに移行する際、お客様のアプリケーションチームはサンドボックス環境で AWS のサービスを試して、AWS の進化していくイノベーションに対応することができます。アプリケーションチームは、さまざまな AWS のサービスとリソースにタイムリーにアクセスする必要があります。つまり、最低限の権限を与えられることを保証するメカニズムを必要とします。通常、アプリケーションチームは、定期的に Amazon Elastic Block Store のスナップショットバックアップを行う AWS Lambda 関数や、セキュリティチームが管理する一元化された情報セキュリティアカウントにイベントを送信する Amazon CloudWatch Even
アプリケーションにおける権限設計の課題 - kenfdev’s blog
日々権限設計で頭を抱えてます。この苦悩が終わることは無いと思ってますが、新しい課題にぶつかっていくうちに最初のころの課題を忘れていきそうなので、現時点での自分の中でぐちゃぐちゃになっている情報をまとめようと思い、記事にしました。 所々で「メリット」「デメリット」に関連する情報がありますが、そのときそのときには色々と感じることがあっても、いざ記事にまとめるときに思い出せないものが多々ありました。フィードバックや自分の経験を思い出しながら随時更新する予定です。 TL;DR(長すぎて読みたくない) 想定する読者や前提知識 この記事での権限とは 権限の種類 ACL(Access Control List) RBAC(Role-Based Access Control) ABAC(Attribute-Based Access Control) どの権限モデルを採用するべきか 権限を適用する場面 機能
Auth0第一歩 ~複数のAWSアカウントにSAML認証でシングルサインオン~ | DevelopersIO
おうちプロジェクトでSlack,Trello,AWS,Githubなんかを使っているのですが、メンバーが数人にも関わらずアカウント管理がめんどくさくなってしまいました。経験がある人も多いかと思います。せっかくなんでシングルサインオン(SSO)試してみるか と思い、最近グイグイきているAuth0を試すことにしました。 Auth0 Auth0はWebサービス、モバイルアプリ、IoT、社内アプリケーションの為のソリューションです 弊社のパートナーで、導入のサポートなども行っております。興味のある方は下記をご参照ください。 クラスメソッド > パートナー > 次世代認証基盤サービス「Auth0」 シングルサインオン(SSO)ログイン 単一の資格情報を使ってアプリケーションにログインすることで、様々なアプリケーションに自動的にサインインします。 使用しているサービスやアプリケーションごとに資格情報を
IAM ロール (AWS CLI) の切り替え - AWS Identity and Access Management
ロールは、必要な AWS リソースへのアクセスに使用できる一連のアクセス許可を指定します。その点では、AWS Identity and Access Management(IAM)のユーザーに似ています。ユーザーとしてサインインすると、特定の一連のアクセス許可が付与されます。ただし、ロールにはサインインされませんが、ユーザーとしてサインインした後でロールを切り替えることができます。こうすると、元のユーザーアクセス権限が一時的に無効になり、そのロールに割り当てられたアクセス権限が代わりに付与されます。ロールは、自身のアカウントのロールでも、他の AWS アカウント のロールでもかまいません。ロールとその利点、およびロールを作成して設定する方法については、「IAM ロール」および「IAM ロールの作成」を参照してください。ロールを引き受ける別の方法については、「IAM ロールを使用する」を参照
[初心者向け]AWS CLIでMFA必須のスイッチロール先のS3にアクセスしてみた | DevelopersIO
こんにちは、平野です。 まだまだAWS初心者として勉強中の身なので、基礎的な内容ですが自分の中ではこれができたことでIAMについて理解が進んだので投稿させて頂きます。 課題 スイッチロールした先のS3のバケットの中身を再帰的に全てダウンロードしたいと思ったのですが、AWS CLIからではそのS3に接続できずに困っていました。 マネジメントコンソールからならバケットを見て個別にダウンロードもできるので、CLIでできないのはただ設定が足りないだけのはず、ということで設定を調べてやってみました。 マネジメントコンソールでの状況確認 まず状況の説明のためにマネジメントコンソールからアクセスした際の様子を確認します。 「cm-hirano.shigetoshi」というIAMユーザでログインします。このアカウントをアカウントAとします。 MFA必須の設定になっていますので、入力します。 無事ログインで
![[初心者向け]AWS CLIでMFA必須のスイッチロール先のS3にアクセスしてみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/495673edbefe7b7bc5e6e9e54b2565989b893342/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2013%2F09%2Faws1.png)
IAMユーザにMFA設定を強制するにあたりiam:ListUsersが必須では無くなった話 - サーバーワークスエンジニアブログ
CS課佐竹です。 はじめに 仮想 MFA デバイス、U2Fセキュリティキー 2019年1月までのMFA強制 IAM Policy のベストプラクティス "iam:ListUsers"が問題になるシーン 実際の設定画面を確認する 現在のMFA強制 IAM Policy のベストプラクティス 新しく増えた My Security Credentials (セキュリティ認証情報) ページ 実際の設定画面を確認する DenyAllExceptListedIfNoMFA に iam:DeleteVirtualMFADevice が必要な理由 DenyAllExceptListedIfNoMFA に追加した他のActionについての説明 注意点 まとめ 2022年11月18日 追記(再掲) はじめに 皆様、IAMユーザにMFAを強制されているでしょうか? MFA とは Multi-Factor Aut
IAMによるAWS権限管理 – プロジェクトメンバーへの権限付与方針に潜む闇 | DevelopersIO
よく訓練されたアップル信者、都元です。今日もIAMです。 先日のエントリで、プロジェクトメンバーにはIAMユーザを配布しましょう、というプラクティスを示しました。ではそのIAMユーザの権限はどの程度与えれば良いのでしょうか、というのが今日のテーマ。先に断っておきますと、このエントリーは結論が出ません。非常に難しいです。では、いきましょう。 AWSは「よくあるポリシー」としていくつかのテンプレートを提供してくれています。 Administrator Policy Read Only Access Policy Power User Policy ... 上記の他に、UI上で様々なポリシーテンプレートが利用できるようになっています。これらの権限をいくつか見ていきましょう。 プロジェクトメンバー全員にAdministratorAccess権限を与えると… AdministratorAccessと
AWS運用専門の勉強会「Ops JAWS#13」で「IAMの運用 ベストプラクティス」というタイトルで登壇してきました #jawsug #opsjaws | DevelopersIO
森永です。 Ops JAWS#13で「IAMの運用 ベストプラクティス」というタイトルで登壇しました。 スライド まとめ IAMロールは最高 アクセスキーはつらい ログは必ずとる 上記を守るだけでだいぶ楽になります。権限の管理などは組織に合わせて適切なものを検討しましょう!
Capital Oneデータ漏洩経路の考察
2019年8月に発生した Capital Oneのデータ漏洩事件に関する各種報道等の情報からそのデータ漏洩経路を考察する。FBIの起訴状、CapitalOneの公式発表のほか、インターネット上で報道されている各種情報から考察をしており、内容には推測も含まれる。 なお本考察は個人的な調査に基づくものであり、いかなる公式発表でもなく、技術的な観点から事象や対策について検討したものである。 漏洩したデータS3バケットに保存されていたデータが漏洩した。また非公式な情報では、Twitterで犯行を告知しているメッセージから読み取るに、EBS Volume Snapshotも漏洩した可能性がある。 取得したというデータのリスト (KrebsOnSecurityより)主な漏洩の流れ構成ミスがあったWAF (Reverse Proxyとも)を利用され、その後にS3バケット内にあったデータなどが漏洩した。
「ゼロトラスト」が働き方を変える~次世代のセキュリティモデル~
昨今「デジタルワークプレイス」が注目を集めています。 働く場所・就業時間の制約、コラボレーションのあり方を見直し、働きやすい環境を追求する取組みです。 そのためには、自社が信頼したITや人的リソースのみを使う「鎖国」の発想から、自社の外にある新しいITを使いこなし、社外リソースと交流する「開国」へと発想の展開が必要です。 慢性的な人材不足の中、企業にとって働き方改革は待ったなしといえます。しかしそういった文脈で「開国」を促進するとはいえ、セキュリティ事故を助長することは決して許されません。 ゆえに、今こそ、セキュリティ担当者主導の「改革」が求められています。 本記事では、デジタルワークプレイス時代に即した、次世代セキュリティモデルとして注目されている「ゼロトラストモデル」を中心に紹介します。 働き方改革! こんなことが世間で声高に叫ばれてから、数年が経つ。 労働時間の観点でも、個人的な実感
AWSのIAMユーザにMFA設定を強制する方法 - VTRyo Blog
ども。セキュリティ周りも担当するマンのRyoです。 スタートアップだと色々任せてくれるのでやはり楽しいですね。 AWSのセキュリティ状態、大丈夫ですか? IAMユーザがMFA設定をしていない MFAの設定を強制する IAMポリシーの作成 ポリシーのテスト おわりに 参考 AWSのセキュリティ状態、大丈夫ですか? AWSはマネージドでセキュリティ関係をやってくれる便利なリソースがあります。 WAF GuardDuty Trusted Advisor このあたり利用して、DDos攻撃対策や脅威検知をしています。 ただ、僕も言われて気づいたのですが「セキュリティって攻撃とか脅威だけじゃないよね?足元も確認しような」です。 今回はIAMなどの操作を理解している前提でお話していきます。 IAMユーザがMFA設定をしていない IAMグループで最強権限を持っているAdministratorのメンバーの一
AWS Organizationsによるマルチアカウント戦略とその実装 - クラウドワークス エンジニアブログ
SREチームの @tmknom です。ジョジョ5部のアニメ化に興奮を隠せない今日このごろです。 みなさん、AWS Organizationsは使ってますか? クラウドワークスでも最近使い始めました。AWS Organizations、超絶便利です。こんなに便利なのに、意外と公開されてる事例が少なくて、ぐぬぬってなります。というわけで、使い始めたばかりですが、サクッと公開してみます。他の会社さんも、公開してくれ!! AWS Organizations マルチアカウント戦略 先行事例の調査 コンセプト策定 Terraform戦略 Terraformモジュールによる共通化 インフラテンプレート VPCのIPアドレス空間 メールアドレスの管理ポリシー OU(Organizational Unit)の責務 管理用AWSアカウントの責務 Masterアカウントによるアカウント管理 組織 OU(Orga
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://www.noovolari.com/
Scenario - Identity Round Robin
Well-Architected Framework Security Pillar Deep Dive ~セキュリティからはじめるより良い設計~
PenTesterが知っている危ないAWS環境の共通点
AWS アカウント管理とセキュリティ監査自動化 | BLOG - DeNA Engineering
TerraformによるAWSマルチアカウント管理 in eureka, Inc.
