インフラエンジニアのみつの（@kotatsu360）です。 この記事はVASILY Advent Calendar 201710日目の記事です。 この記事では、AWSのIAMでAssumeRoleする権限周りを一撃でつくるCloudFormationテンプレートをまとめます。ご査収ください。 CloudFormationが作る環境のイメージ このドキュメントの目的 IAMは調べれば調べるほど情報が断片的になる。あとJSON書くの面倒(一一 ) CloudFormationならYAMLで書けるし再現性がある。テンプレートにまとめようヽ(ﾟ∀ﾟ)ﾉ ﾊﾟｯ☆ AssumeRoleとは 役割ごとに必要な権限を持ったIAMロールを作っておく 開発 運用 請求 監査 etc... IAMロールごとに「自分の権限を使うことを許可する」対象を設定しておく 開発用のロールはエンジニアAとBとCと... I

コーヒーと DiveDeep が好きな木谷映見です。 皆さん、IAM を利用する際、「AssumeRole」というアクションを目にしたことはありますか？恐らく多くの方がかなりの回数目にしているのではないでしょうか。 私は特にこの「AssumeRole」というアクションが大好きです。目立たないけれど、いつもたくさんのサービスの裏で活躍している究極の縁の下の力持ち、いいやつですよね。 本日は AssumeRole について DiveDeep していきます。 IAM ロールはかぶると力を得る帽子 AssumeRole とは アイデンティティベースのポリシー リソースベースのポリシー IAM ロールの信頼ポリシー IAM ユーザーが引き受ける（かぶる）場合 例外 AWS リソースが引き受ける（かぶる）場合 IAM ロールを「引き受ける」「かぶる」とは さいごに 参考 ひとりごと IAM ロールはか

コーヒーが好きな木谷映見です。 今日はスイッチロールの概念と設定方法についてまとめていきます。 スイッチロールとは？ ざっくりとしたイメージ 真面目なイメージ スイッチロールのイメージ 「帽子をかぶって力を得る」 IAM ポリシーの種類 アイデンティティベースのポリシー リソースベースのポリシー IAM ロールの信頼ポリシー sts:AssumeRole とは IAM ロールに付与されるポリシー スイッチロールをする際の権限まとめ スイッチロールの手順 スイッチ元アカウントA での準備① スイッチ先アカウントB での準備 スイッチ元アカウントA での準備② スイッチ元アカウントAからスイッチ先アカウントへスイッチロールする スイッチロールのユースケース 参考 具体的な設定方法を知りたい方は「スイッチロールの手順」をご参照ください。 スイッチロールとは？ ざっくりとしたイメージ 「人んちの帽

はじめに SCSの学習でIAMの奥深さに感動した勢いのまま書く。 注意：個人的な解釈であって絶対的に正しいものではない。 また、個人の責任において記載しているが抜け漏れや間違いがある可能性はあることを理解の上で読んで頂きたい。 正確な解釈は公式ドキュメントのポリシーとアクセス許可を参照。 とはいえこんな長ったるいの読んでられねえし、他ブログ記事の内容も個人的にいまいち腑落ちしなかったため書き残すことにした。 結論 面倒なんで 許可 前提で書く。 当たり前だがサービスが違う。(STSとIAM) 書く場所が違う。 iam:PassRoleは基本的にアイデンティティベースのポリシーに記載する。 sts:AssumeRoleはリソースベースのポリシーに記載する。 後で補足する。 アクションの内容が違う。 iam:PassRoleは あるIAMRoleをEC2インスタンスやLambda関数などのリソ

今回の課題 以下の前回の記事の機能を実装する際に、権限まわりでエラーが発生してしまったので解決した方法を記録する。 また、一応は解決できたが、解決できた理由がイマイチ理解できていなかったため、色々調査することにした。 発生した問題を解決する 前提 使用している権限 Lambdaにはpractice-Lambda-RDStoS3-role-idais11pというロールで権限が渡されている。 S3にアクセスや操作をできるようにするための権限(s3:GetObjectやs3:DeleteObjectなど)を持ったポリシーをアタッチしている。 こちらのロールの信頼されたエンティティは以下となっている。(Lambda実行時にAssumeRoleによって、ロールが所持しているポリシーの権限をLambdaが使える) import json import boto3 import time from bo

DevelopersIO 2021 Decadeでビデオセッションを公開しました。 概要 CloudFormationをデプロイするユーザのアクセスキーが漏れてしまったら？と心配するあなたへ。 AssumeRoleを活用すれば、アクセスキーが漏洩しても被害が最小限になるIAMユーザでデプロイできます。 動画 スライド コメンタリー テーマ選定の理由は、自分が知りたかったから ある程度、AWSを使っていると、画面ボタンポチポチではなく、Infrastructure as Code(IaC)で管理することが多くなります。AWSでIaCを実現するツールはいくつかあります。 AWS CloudFormtaion AWS SAM AWS CDK Serverless Framework Terraform そして、これらのIaCツールとIAMユーザの「アクセスキー」は、切っても切り離せない関係です（

IAMユーザ & IAMロールを作成 デプロイ用のIAMユーザと付与するIAMポリシーについて このユーザ自身に与える権限は、AssumeRoleできる権限のみです。 そのため、万が一このIAMユーザのアクセスキーが流出しても、流出したアクセスキーでは実質何もできません。 デプロイ用のIAMユーザがAssumeRoleするIAMロールについて 「デプロイ用のIAMユーザ」がAssumeRoleする（引き受ける）「IAMロール」です。 今回作成するIAMロールには下記の権限を付与しますが、必要に応じて変更してください。 S3バケットの作成権限 S3オブジェクトの作成権限 お試しデプロイとしてAWS SAMを使うため、S3の権限も付与（Lambdaコードのアップロードをするため） CloudFormationのデプロイ準備に必要な権限 「CloudFormation用のIAMロール」はclou

さて、皆様はIAMにどのようなイメージをお持ちでしょうか。プロジェクトに関わる複数人で1つのAWSアカウントを扱う時、各メンバーに配布するアカウントを作れる機能。そして、その気になればアカウントをグループ分けし、権限を厳密に管理できる機能。といったところかと思います。 上記のユースケースで出てきた主なエンティティ（要素）はUserとGroupですね。IAMのManagement Consoleで見てみると、IAMはこれらの他にRoleやIdentity Providerというエンティティによって構成されているようだ、ということがわかります。今日はRoleにフォーカスを当てて、その実態を詳しく理解します。 IAM Role IAM Roleを使うと、先に挙げたIAMのユースケースの他に、下記のようなことが出来るようになります。 IAM roles for EC2 instancesを使ってみ

コーヒーが好きな emi です。 現在 DevelopersIO 2023 のイベントが各地でオフライン開催されていますが、実は YouTube でのビデオセッションも公開されています。今回私は「IAM ロールはエクスカリバー～イメージでつかむ IAM ロールの世界～」というタイトルで投稿しました。 30 分のゆるめ動画ですが、セキュリティに関して一歩踏み込んだ内容も言及しています。2 倍速で息抜きにご覧ください。 概要 AWS サービスやアプリケーションに対して操作権限を持たせることができる「IAM ロール」をエクスカリバーに例え、概念や利用意義を解説しました。 AWS リソースを様々なキャラクターに例え、Amazon Polly に声の出演をお願いしました。 選ばれし勇者の声 Amazon Polly – ニューラル 日本語 Takumi 敵の声 Amazon Polly – ニューラ

はじめに AssumeRoleとはなんぞや！ そう、私はAWSを利用している中でAssumeRoleという言葉の意味がイマイチピンと来ていない人でした。そんな中、会社のAWSマスターさんから色々教わり、AssumeRoleとはなんぞやをやっと(私なりに)理解しました。サンキュー、AWSマスターさん。 要は、AssumeRoleとはなんぞや AssumeRoleとはAWS STSのサービスの1機能のことを指していて、IAMロールに設定した権限を一時的に使えるようにTokenを発行する行為や！ なので、「○○するためにAssumeRoleする」と言う言葉の使い方で通じる。 AWS STS(Security Token Service)は「AWSサービスに対して何かしら操作したい時に、一時的に操作する権利(Token)を発行する」シンプルなサービス。 正確にいうと一時的な認証情報「アクセスキー」

はじめに 先日IAMロールについての記事を書いていた際に、AsumeRoleについて調べていました。 調べれば調べるほど、あれ？ここどうなってるんだろう？と疑問が湧いてきたので一つずつ解決していきます。 少し長いですが、よければ気になったところだけでも見てってください。 概要図 まずは以前の記事で書いたIAMロールを使った一時認証の図です。 用語 では、いくつか用語があるのでなんとなく理解していきましょう。 STS Security Token Service(STS) これは一時的な認証情報を発行してくれるサービスです。 AssumeRole Assumeとは「引き受ける」みたいな意味です。 Assume Role、つまりIAM RoleをAssume(引き受ける)するということです。 AssumeRoleというRoleが存在している訳ではありません。(コレ重要) AssumeRoleは

タイトルのように設定を行う際に、2つの点でいつも混乱するので備忘録的にまとめる。 同一AWSアカウントのロールと、違うアカウント（クロスアカウント）のロールとで必要な設定内容が異なる 名前も役割もよく似たPassRoleと設定内容が異なる AssumeRoleとは STS（Security Token Service）の提供するAPIアクションの一つ。 通常利用するユーザロールやサービスロールではアクセスできないAWSリソースへアクセスできるよう、別のロールの権限でアクションを実行するための一時的なセキュリティ認証情報（アクセスキーID、シークレットアクセスキー、およびセキュリティトークン）を生成する。 これで、あるロールが別のロールを「引き受け（assume）」、権限を得ることができる。 この機能を活用し、IAMロールごとに単体で持つAWSリソースへのアクセス権限を分散させ、あるロールに

コンバンハ、千葉（幸）です。 皆さんは、 PassRole と AssumeRole についてきちんと理解ができていますか？どちらも IAM ロールに関するものですね。 私はカラダ（ボディ）の調子がいい時は思い出せるのですが、雨が降っている日や、ちょっと疲れて気を抜いた時にはすぐ分からなくなってしまいます。 ということで、イメージとして脳に刻み付けることによって忘れられなくしてやろうと思いました。 そこで出来上がったのが以下です。 間違えました。以下です。 あ、でもやっぱり忘れづらいのはこちらかもしれませんね。 どうですか？もう忘れられなくなりましたね？ 先にまとめ IAM ロールには以下ポリシーを設定できる アイデンティティベースポリシー Permissions boundary 信頼ポリシー AWS リソースに IAM ロールを引き渡す際には PassRole の権限が必要 PassR

クラウドの運用者に焦点を当てた、技術者向けの新しいテックイベント「Cloud Operator Days Tokyo 」。ここで株式会社カサレアルの新津氏が「これやったの誰？」をテーマに登壇。自動化したオペレーションに対して生じた疑問と学びについて紹介します。 自己紹介と今回のテーマ 新津佐内氏（以下、新津）：みなさん、こんにちは。株式会社カサレアルの新津佐内と言います。本日は「これやったの誰？」というタイトルのお話をします。 「これやったの誰？」についてですが、DevOpsと合わせて自動化を進めていく中で、自動化したオペレーションに対しても生じたこの疑問に、実業務の中であらためて向き合ってみました。上記事例の詳細と現時点での我々の答えを紹介します。 まず本日お話しする内容ですが、スライドに書かれているような基盤の運用担当者のユースケースに関わるお話になります。どのようなユースケースかとい

はじめに 先日、AWSのアクセス制御についてのプレゼンを行いました。 その際、ポリシーが増える場合、どのように対応すれば良いですか？という質問を頂きました。 そこで、ポリシーを管理するためのIAMロールの説明がうまくできませんでした。 ポリシーやロールは普段から触ることも多いですが、そのメリットをちゃん理解できていなかったことを自覚しました。 そこで、AWSのIAMロール周りのことを聞かれて「ドキッ」とする、そんな私のような方は是非読んでみて下さい。 概要 この記事ではIAMロールの利点に焦点を当てているので、あまり細かい仕組みの説明はしておりませんので、あしからず。 ポリシー ポリシーってなに？ そもそも、ポリシーってなんでしょう？ ポリシーがあって何がいいんでしょう？ では、まずポリシーがない状況を考えましょう。 ポリシー(権限)が無いと、誰でも、いつでも、なんでも、操作できるという状

AWSでロールを扱う際、iam:PassRole と sts:AssumeRole の両方が説明に出てくることが多い。どちらもロールを使えるようにするために必要なアクションだが、いまいち違いがわからなかったので改めて調べてみた。 iam:PassRole まず iam:PassRole は、ユーザに対して付与するアクセス許可ポリシーで指定できるアクションである。 例えばAWS Batchを使うとき、ジョブの内容に応じたアクセス許可ポリシーをロールに付与しておき、そのロールをAWS Batchで指定しておく必要がある。ジョブが作成されると、AWS Batchがロールを使ってジョブの内容を実行する。 このとき、もしユーザ自身が aws batch submit-job コマンド等でジョブを登録する場合、 iam:PassRole アクション内で当該ロールをResourceに指定したポリシーを作

EC2インスタンスやLambda関数にはIAMロールをアタッチすることができます。 ゆるいIAMポリシーを採用していると、STS 可能な任意のIAMロールを利用できてしまいます。 この問題を解決するために、IAMロールとロールを利用するAWSサービスのペアを制限する方法を紹介します。 AWSサービスに渡すIAMロールを制限する 例えば、EC2 インスタンスに特定のIAMロールのみアタッチ出来るようにするには、次のように定義します。 { "Version": "2012-10-17", "Statement": [ { "Sid": "IAMPassRoleForEC2", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::12345:role/EC2Role", "Condition": {