IAM ロールを使用して実行されたアクションを担当する ID を簡単に特定
AWS Identity and Access Management (IAM) により、AWS CloudTrail ログを表示するときに、IAM ロールによって実行される AWS アクションの担当者を簡単に特定できるようになりました。IAM ポリシーに新しいサービス固有の条件 sts:RoleSessionName を追加すると、IAM プリンシパル (ユーザーまたはロール) やアプリケーションが IAM ロールを引き受けるときに設定する必要があるロールセッション名を定義できます。AWS は、IAM ロールがアクションを実行するときに AWS CloudTrail ログにロールセッション名を追加するため、アクションを実行したユーザーを簡単に特定できます。 たとえば、製品の料金データを AWS アカウントの Amazon DynamoDB データベースに保存し、社内の別の AWS アカウ
AWS CLIでSwitch Role してさらに Switch Role してみた。(ロールの連鎖:Role chaining) | DevelopersIO
AWS CLIでSwitch Role してさらに Switch Role してみた。(ロールの連鎖:Role chaining) ユーザーからRoleにスイッチロールすることはよくあるのですが、RoleからRoleにスイッチロールする方法と指定の仕方はわかりにくかったので、まとめてみました。 福岡オフィスの梶原です。 先日、福岡オフィスでこんな会話がありました。 「スイッチロールしたいけどできないんですよね。」 「できるでしょ。」 「いや、正確にはユーザからはスイッチロールできるんですけど、スイッチロールしてからスイッチロールできなくて。」 「できないでしょ。スイッチロール元のユーザーで制限かかってるから」 「えー、そうなんですかー」 (わいがや) 「スイッチロール元を制限したいんですけど、それをロールにできないんですか?」 (わいがや) 「え、できた・・・CLIだけど」 ということで、
[AssumeRole] アクセスキーが漏洩しても被害が最小限になるIAMユーザでCloudFormationにデプロイする方法 | DevelopersIO
IAMユーザ & IAMロールを作成 デプロイ用のIAMユーザと付与するIAMポリシーについて このユーザ自身に与える権限は、AssumeRoleできる権限のみです。 そのため、万が一このIAMユーザのアクセスキーが流出しても、流出したアクセスキーでは実質何もできません。 デプロイ用のIAMユーザがAssumeRoleするIAMロールについて 「デプロイ用のIAMユーザ」がAssumeRoleする(引き受ける)「IAMロール」です。 今回作成するIAMロールには下記の権限を付与しますが、必要に応じて変更してください。 S3バケットの作成権限 S3オブジェクトの作成権限 お試しデプロイとしてAWS SAMを使うため、S3の権限も付与(Lambdaコードのアップロードをするため) CloudFormationのデプロイ準備に必要な権限 「CloudFormation用のIAMロール」はclou
![[AssumeRole] アクセスキーが漏洩しても被害が最小限になるIAMユーザでCloudFormationにデプロイする方法 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/3a9299c22c271be79f273b6db38d8ba6bc81bd1c/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2021%2F05%2F8823428add162ea6925215296ff8c67f.png)
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
