AWS SSO管理者がユーザーの作成するIAMロールの権限を制限する方法 | DevelopersIO
AWS SSO 管理者が AWS アカウント利用者に対して、 IAM ロールを作成する際に指定したポリシーを Permissions Boundary に割り当てることを強制することで権限を制限する方法を紹介します。 ユーザーを一元的に管理する AWS SSO の管理者と AWS アカウントの利用者が分かれている場合に、利用者が IAM ロール 作成時に付与できる権限を制限したい場合があります。 本ブログでは、利用者に対して IAM ユーザーの作成を禁止する次のシナリオを想定し、解決策の一つとして Permissions boundary を用いて IAM ロール作成時に付与できる権限を制限する方法を紹介します。 AWS SSO 管理者がユーザーを一元的に管理する AWS SSO 管理者は利用者にユーザーを払い出し、IAM ユーザーの作成権限は与えない AWS SSO 管理者は利用者に対し
Permissions Boundaryでガードレールを設けてAWS CDKを安全に使う - RAKSUL TechBlog
こんにちは。今年8月に発足したラクスル事業本部 HoE(※)室 でインターンをしています、灰原です。 HoE室では、プロダクト開発チームの生産性を可視化するのための社内システムを開発しています。このシステムはAWS上にサーバーレスアプリケーションとして構築しました。構築の際に問題となったのが、新たにAWSリソースを追加する際に発生する、インフラチームと開発者側とのコミュニケーションコストです。この記事では、迅速な開発と堅牢な統制を両立させるために、AWS CDKとPermissions Boundaryを組み合わせて利用する方法をご紹介します。 ※ HoE:Head of Engineering AWS CDKの導入 前述の社内システムは、大まかに以下のようなアーキテクチャになっています。Lambda関数でGitHubやClickUpなどのAPIを叩いてその結果をS3に保存し、Glueを通
最低限のガードレールを考慮したシンプルな IAM 設計を CloudFormation でデプロイする | DevelopersIO
IAM 設計において、かんたんなガードレールや誤操作防止を考慮し、IAM リソースを1つずつ CloudFormation で構築する機会があったのでご紹介します。 ちゃだいん(@chazuke4649)です。 IAM 設計において、かんたんなガードレールや誤操作防止を考慮し、IAM リソースを1つずつ CloudFormation で構築する機会があったのでご紹介します。 前回ブログの発展版となりますので、よければ以下前回ブログもご覧ください。 「ガードレール」という概念については、以下記事を眺めてもらえれば掴めてくるかと思います。 AWS Security Roadshow Tokyo 2019午前セッションレポート | Developers.IO [レポート] アクセス管理の信頼性 (Access Control Confidence) #SEC316 #reinvent | Dev
スイッチロール先の本番・開発アカウントにてIAMロール、ポリシー、パーミッションバウンダリーを作ってみた | DevelopersIO
スイッチロール先の本番・開発アカウントにてIAMロール、ポリシー、パーミッションバウンダリーを作ってみた AWS IAM の機能の中でも割とマイナーなPermissions Boundary(パーミッションバウンダリー)。今回はこれを活用してみました。 ちゃだいん(@chazuke4649)です。 今日はスイッチロールを前提とした本番・開発アカウント用のIAMロール・ポリシー・パーミッションバウンダリーを考えてみたのでご紹介します。 今回ブログの発展版もありますので、よければ以下続編ブログもご覧ください。 どういうこと? 構成図 解説 AWS環境の中に複数の環境を持つ場合、複数のアカウントに分けて運用することで一定のメリットを享受することができます。詳しくはこちらをご覧ください。今回は上図の様に、中央管理用のAWSアカウントにIAMユーザーを一元管理し、実際に構築・開発・運用する環境はAW
IAM Permissions boundary(アクセス権限の境界)で明示的に許可していないアクションでも条件次第で実行できるということを評価論理の流れを眺めて再認識してみた | DevelopersIO
コンバンハ、千葉(幸)です。 突然ですが問題です。 以下の条件があったとします。 同一の AWS アカウントに S3 バケット A と IAM ユーザー A が存在する IAM ユーザー A の Permissions boundary には AWS 管理ポリシーViewOnlyAccessが設定されている ここで、IAM ユーザー A が S3 バケット A に対してPutObjectを実行したいとします。(補足しておくと、ViewOnlyAccessにはPutObjectの Allow は含まれていません。) 以下のうち、アクションの結果について最も適切に説明しているものを選択してください。 IAM ユーザー A の Permissions policy で適切な Allow が設定されていればアクションは成功する S3 バケット A のバケットポリシーで適切な Allow が設定され
Permissions Boundaryによる利用者へのIAM権限移譲と権限昇格の防止 - Qiita
なぜ必要? 社内のAWS環境の全体管理者が、AWS利用者(インフラエンジニアやDeveloper)に対してIAMの権限を移譲したいケースがあります。例えばマルチアカウントで運用していて、利用者のアカウント内ではサービスに必要なIAM Roleは管理者に申請せずに自分で作成して欲しいというような場合です。いちいち管理者に必要なIAM RoleとPolicyを申請していたら開発のスピードが落ちるし、管理者の運用負荷もバカにならないからです。 一方で、IAM Roleを作成可能にしてしまうと、利用者に与えられている権限や禁止したい操作を超えたIAM Roleを作成してスイッチすることができるようになります。これはガバナンスの観点でよろしくないという判断になる場合があります。指定したIAM PolicyしかIAM Roleにアタッチできないようにすることもできますが、事前に必要なポリシーをリストア
[新機能]IAMの委譲権限を制限可能なPermissions Boundaryが登場したので試してみた | DevelopersIO
新機能としてIAMの委譲権限を制限可能なPermissions Boundaryが登場したので試してみました。 にしざわです。ブログというか新機能について触るのも久々な感じですが、大好きなサービスの1つであるIAMサービスに、"Permissions Boundary"という新たな機能が登場したので、試してみたいと思います。ほぼ下記のドキュメントのシナリオ通りなのですが、よりシンプルに説明できるように少し設定を変えながら試した結果をご紹介します。 AWS Developer Forums: Delegate Permission Management to Employees by Using IAM Permissions Boundaries Permissions Boundaries for IAM Identities - AWS Identity and Access Mana
![[新機能]IAMの委譲権限を制限可能なPermissions Boundaryが登場したので試してみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/7ba1034b9360dd6b5d9f1c5c3fa68ed286fc549d/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2014%2F05%2FIAM.png)
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
