Amazon EKS Pod Identity simplifies IAM permissions for applications on Amazon EKS clusters | Amazon Web Services
AWS News Blog Amazon EKS Pod Identity simplifies IAM permissions for applications on Amazon EKS clusters Starting today, you can use Amazon EKS Pod Identity to simplify your applications that access AWS services. This enhancement provides you with a seamless and easy to configure experience that lets you define required IAM permissions for your applications in Amazon Elastic Kubernetes Service (Am
AWS IAMの属人的な管理からの脱却【DeNA TechCon 2021】/techcon2021-19
AWSをはじめとするクラウドプラットフォームの普及に伴い、DevとOpsの境目はかなり曖昧になっています。その中でもIAMの管理は設定によっては権限昇格を引き起こしかねないことから、その管理権限は慎重な管理になりがちです。結果的に、IAMは属人的な管理を行っている組織が多いのではないでしょうか。 一方で、DevとOpsの境目がどんどん曖昧になっていく中で、IAMロールやIAMユーザーを自由に作りにくい状況があると大変不便です。IAM関係のトライ・アンド・エラーが手軽に行えないことから、開発速度の鈍化を引き起こしたり、アーキテクチャ設計の上で運用上の足かせとなったりといったことが起こります。 また、それらの問題を回避しようとした結果として、IAMロールやIAMユーザーの使い回しが横行しはじめるなど、結果的に最小権限の原則が守られなくなっていくことも少なくはないのではないでしょうか。最小権限の
GCP の IAM をおさらいしよう
この記事は Google Cloud Japan Customer Engineer Advent Calendar 2019 の 6日目の記事です。 TL;DR本記事ではGoogle Cloud Platform (GCP) での ユーザーや権限を管理する IAM について整理していきます。 はじめにクラウドを使う上で、ユーザー管理や権限管理は重要ですよね。GCP を使う際に、どのようにユーザー管理できるのか、権限管理や認証を整理してみようと思います。GCP では権限管理を Identity and Access Management( IAM )というもので管理しています。IAMでは、誰が、どのような操作を、何に対して行えるかというものを定義・管理します。これによりアカウントの追加・削除や権限付与がシンプルになり、管理が容易になります。 IAMのユーザーと権限GCP で利用できるアカウ
STSで一時クレデンシャルを発行する | DevelopersIO
Switch Role先の環境で作業はしたい。だけど、アクセスキーを発行しないとツールが使えない。Switch Role先の環境でIAM ユーザを作るわけにもいかない...。 こんな感じで困ったことありませんか。そんな時にAWS STSを知っていればなんとか対処できます。自分が手間取ったのでどう対処したかを書きます。 STSとは AWS Security Token Serviceの略称で、一時的な認証情報を発行します。 発行される認証情報は、「アクセスキー」、「シークレットキー」、「セッショントークン」の3つが発行されます。 スイッチロールの際にもSTSを使用してスイッチ先の各種リソースにアクセスしてるので、認証情報さえ取り出せばうまいことアクセスキーが使えそうですね。 Assume Role 読んで字のごとく、IAM Roleの権限を引き受けます。STSのこれを呼び出せば、認証情報が取
EKSでIAMユーザをアクセスコントロール (RBAC) - Qiita
Kubernetes3 Advent Calendar 2018 に空きがあったのでぶっこんでみました。 EKSでIAMユーザ or ロールによるRBACについて、AWSのドキュメントでは分かりにくかったので、まとめときます。 概要 EKSでは、IAMユーザー、もしくはIAMロールにRBACによる制限を適用できます。(IAMグループにはできないっぽい) https://docs.aws.amazon.com/ja_jp/eks/latest/userguide/add-user-role.html ここにあるとおり、aws-authというConfigMap を編集して、IAMユーザorロールをgroupsに紐付けるという手順で行うようです。 この groups については、上のドキュメントでは system:masterしか書かれていないので分かりにくいですが、k8sの方でロールを紐づけた
AWS を安全に使うために(IAM のベストプラクティス) | DevelopersIO
セキュリティインシデントを止めるには IAM から。IAM の正しい使い方を一度覚えればセキュリティリスクは低減できます。AWS のドキュメント「IAM のベストプラクティス」をできるだけ具体的に解説してみましたのでご一読ください。 はじめに AWS を利用するにあたり、セキュリティをいかに確保するかが最優先事項となります。 今回は AWS を利用する際に一番最初に設定するであろう IAM で必要な設定について、AWS が推奨しているベストプラクティスに添って可能な限り分かり易く説明していきます。 IAM とは AWS の操作をより安全に行うため、AWS リソースへのアクセスを制御するためのサービスです。 IAM により、複数のユーザーに AWS リソースへの安全なアクセスを簡単に提供できます。 とある会社の場合 例として以下のような会社を定義します。 社長 x 1人 部長 x 2人(営業
AWSコンソールのログイン用アカウントをIAMのベストプラクティスに従って作成してみた(設定編) | DevelopersIO
はじめに AWSチームのすずきです。 1つのAWSアカウントを複数の関係者で利用する環境で、AWSコンソールのログイン用アカウント(IAMユーザ)を AWSが公開しているベストプラクティスに従って作成する機会がありました。 多要素認証(MFA)や接続元IPアドレス制限などによる不正なログインの抑止と、 管理者権限が行使された際の通知を、AWSのサービスを利用して実現する方法について紹介させていただきます。 AWS Identity and Access Management ユーザーガイド: IAM のベストプラクティス 方針 AWSコンソールの認証パスワードが漏洩した場合でも、悪意をもった第三者によるシステム影響を抑える事を目標とします。 AWSの標準サービスを利用し、システムコストの発生や、管理者、作業者の作業効率が低下を抑えた対策をとる事とします。 AWS環境が不正に利用された場合で
中規模プロジェクトでの GCP権限管理(アクセス制御)ベストプラクティス - Qiita
GCP(Google Cloud Platform)の開発・運用者へ付与する権限の管理について、現状のベストプラクティスを考えてみました。 ※Googleが推奨する権限管理の形とは異なる部分があります。あくまで個人の考えたベストプラクティスですので、ご了承下さい。 目次 はじめに なぜ権限管理が必要なのか どうしたいのか GCPの権限管理 アクセスする主体と役割の管理方法 アクセス対象と権限の管理方法 GCP権限周りの困りポイント・注意すべきポイント こんな運用もあり 現状のベストプラクティス ←時間のない人はこちら コード化して管理する 運用してみて良かったこと・課題と今後 おわりに はじめに GCPの権限管理(IAM)周りについての基礎知識はこちら。 Cloud IAM 概念 Google Cloud Platform(GCP)のCloud IAM Qiita記事, GSuiteやCl
IAMロール徹底理解 〜 AssumeRoleの正体 | DevelopersIO
さて、皆様はIAMにどのようなイメージをお持ちでしょうか。プロジェクトに関わる複数人で1つのAWSアカウントを扱う時、各メンバーに配布するアカウントを作れる機能。そして、その気になればアカウントをグループ分けし、権限を厳密に管理できる機能。といったところかと思います。 上記のユースケースで出てきた主なエンティティ(要素)はUserとGroupですね。IAMのManagement Consoleで見てみると、IAMはこれらの他にRoleやIdentity Providerというエンティティによって構成されているようだ、ということがわかります。今日はRoleにフォーカスを当てて、その実態を詳しく理解します。 IAM Role IAM Roleを使うと、先に挙げたIAMのユースケースの他に、下記のようなことが出来るようになります。 IAM roles for EC2 instancesを使ってみ
AWS IAMポリシーを理解する | DevelopersIO
はじめに こんにちは、川原です。 AWSのIAMサービスでは、各AWSサービスへの操作をアクセス制御するために「ポリシー」という概念があります。 AWSのドキュメントを読んでいると、ポリシーにはいくつか種類があることに気付くかと思います。本ブログではそれらのポリシーについて整理してみたいと思います。 ポリシーの基本 ポリシーは基本的に、「誰が」「どのAWSサービスの」「どのリソースに対して」「どんな操作を」「許可する(許可しない)」、といったことをJSON形式で記述します。 記述したポリシーをユーザー(IAMユーザー、IAMグループ、IAMロール)や、AWSリソースに関連づけることで、アクセス制御を実現しています。 例えば、以下のJSONはAWS側で用意しているAmazonS3ReadOnlyAccessという名前のポリシーです(後述するユーザーベースポリシーのAWS管理ポリシーに該当)。
AWSアカウントを取得したら速攻でやっておくべき初期設定まとめ - Qiita
AWSアカウントを作成したら最初にやっておきたいことをまとめてみた。 あわせて読みたい 本記事の内容を含めた最新の手順は、下記の書籍にまとまっている。 クラウド破産を回避するAWS実践ガイド AWSアカウント(ルートアカウント)の保護 AWSアカウントが乗っ取られると詰むので、真っ先にセキュリティを強化する。 AWSアカウントへ二段階認証を導入 AWSアカウントでのログインは、AWSアカウント作成時のメールアドレス・パスワードだけでできてしまう。心許ないにもほどがあるので、まずは二段階認証を設定しよう。 IAMのページを開く https://console.aws.amazon.com/iam/home 「ルートアカウントのMFAを有効化」を選択して、「MFAの管理」ボタンをクリック 「仮想MFAデバイス」にチェックが入っていることを確認し、「次のステップ」ボタンをクリック 注意書きを読ん
Check! はじめての Fluentd 〜 IAMロールで Amazon EC2 と S3 間をセキュアに - Qiita
Check! はじめての Fluentd 〜 IAMロールで Amazon EC2 と S3 間をセキュアにAWSFluentdEC2IAM こんにちは、[cloudpack][] の @dz_ こと[大平かづみ][]です。 Prologue - はじめに 今回は、Fluentd から Amazon S3 へのログを送ってみます。 S3 への出力は、デフォルトで out_s3 プラグインが用意されています。セキュアな通信にするには、Credentials ( aws_key_id と aws_sec_key ) を設定すればよいのですが、設定ファイルに Creadentials を記載するのは、セキュリティやメンテナンスの点で不便です。 そこで、AWSが提供する AWS IAM の機能を利用して、Amazon EC2 インスタンスと Amazon S3 の通信を制限し、上記を実現してみたい
IAM認証によるRDS接続を試してみた | DevelopersIO
IAM認証用ユーザの作成 RDSインスタンスが作成出来たら、次の作業を行います。 マスターユーザでRDSに接続 IAM認証用のユーザ作成 まず、RDSに接続できるEC2にアクセスします。対象のEC2のAWS CLIをアップデートしておきます。 $ sudo pip install -U awscli $ aws --version aws-cli/1.11.81 Python/2.7.12 Linux/4.4.41-36.55.amzn1.x86_64 botocore/1.5.44 RDS for MySQLに接続します。 $ mysql -h iamtest.xxxxxxxxxxxx.ap-northeast-1.rds.amazonaws.com -u mymaster -p Enter password: Welcome to the MySQL monitor. Commands
AWS IAM Policies in a Nutshell
Introduction In this post we're going to go through an explanation and tutorial of IAM policies. The long, deep, dark of AWS documentation can sometimes (understatement) overcomplicate concepts. In fact, it's so generally overly wordy and jumbled, and of course this is all my opinion, that it results in a ton of copy-paste mania. I've tried my best to keep it brief and simple in order to reduce th
[アップデート]既存のEC2にIAM Roleを付与できるようになりました! | DevelopersIO
大栗です。 先程既存のEC2に対してIAM Roleを設定することができるようになりました!早速試してみます。 New! Attach an AWS IAM Role to an Existing Amazon EC2 Instance by Using the AWS CLI Attach an IAM role to your existing Amazon EC2 instance 2017年3月6日現在 Management ConsoleでもIAM Roleの設定が可能になっています。 [アップデート] EC2コンソールで既存のEC2インスタンスに対してIAM Roleをアタッチ、変更ができるようになりました IAM Roleとは? IAM Roleとは、AWSのサービスに対してアクセス権限を付与する機能です。IAM Roleでは対象サービスのみにアクセス権限を設定できアクセスキ
![[アップデート]既存のEC2にIAM Roleを付与できるようになりました! | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/58278067871ebaae68a873315f4dd4b9b78f6b5a/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2014%2F05%2FAmazon_EC2.png)
『GCPのCloud IAMを試してみた』
(2019/04 追記 この記事の情報は古いです。今では、GCPのIAMでも IAM Custom Roles によってカスタマイズしたロールが作れたり、Cloud IAM Conditions が登場してリソースの制限がしやすくなったりしています。また、メディア管轄のAWS Organizationsの活用については 「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018 もご覧ください) メディア事業(アメーバなど)を中心にAWS/GCPを担当している柿島大貴です。前回は、Google Cloud Platform(GCP)の各プロジェクトでコストを追える環境を作る を書きました。前回の続報としては、一部には使ってもらいつつも、可視化の部分で cloudyn を検証中です。 今回は、GCPのリソースの認可の話になります。GCPの利
Terraforming未対応の既存リソースも自力でtfstateを書いてTerraform管理下に入れる - Qiita
はじめに AWSのクラウドリソースをコードで管理するためにTerraformを使ってます。 Terraformは新規にリソースを作成するのには良いのですが、Terraformを使ってると既存リソースも管理したくなるのが人情です。 現状Terraform自体にはその機能はなく、それを補完するものとしてTerraformingがあります。 Terraformingの使い方については、以前以下のような記事を書きました。 Terraformingで既存のIAMユーザをTerraform管理下に入れる しかしながらTerraformingも完璧ではなく、Terraformが対応しているすべてのリソースタイプに対応しているわけでもないです。 これを書いてる現在の最新版のterraforming v0.8.0ではaws_iam_policy_attachment とか使いたいのだけど対応していない(´・
AWSアカウント取得後、はやる気持ちをグッと堪えてまずやっておくこと - Qiita
はじめに 認証に必要な情報は不正利用されてしまうと、大事故(ものすごい請求額)に繋がります。 事故がおきないようにどうするべきか。予兆をどう検知するか。おきてしまった時にどう追跡するのか。を考えておく必要があります。 AWSのサービスを早速バリバリ使ってみるぜ!という気持ちをぐっとこらえてやっておきたい設定をリストアップしました。 新しいAWSアカウントを利用する機会があったので、この記事を書きながらやってみましたが長めにみても30分あれば設定は終わります。 ルートアカウントのMFAの有効化 rootアカウントは超強力なので絶対にMFAを有効にすること。 ハードウェアデバイスで実施し、金庫に保管するくらいの勢いが良いと思います。 ハードウェアデバイスは$20くらいで購入が可能です。参考:Multi-Factor Authentication 最低でも仮想MFAを設定しておきましょう。私がい
CodeCommit のGitリポジトリにIAM Roleで接続する | DevelopersIO
渡辺です。 2015年はAnsible, CodeDeploy, CodeCommitといった開発周りのプロダクトを色々と触ってきましたが、良い感じで整備されてきたなぁという印象があります。 環境構築からビルドまで全自動で走り、フルマネージドでサーバが動くというのは10年前どころか5年前でも中々難しいところでした。 数年後には「常識」になっているかもしれません。 さて、前回のエントリー(CodeCommitのGitリポジトリへの接続方法)では、IAMユーザを利用してCodeCommitのGitリポジトリに接続する方法を紹介しました。 CodeCommitのGitリポジトリへには、CodeCommitへのアクセス許可を持つIAMユーザを用意し、SSHの公開鍵を登録してSSH接続を行うか、アクセスキーを発行してHTTPS接続を行います。 これは、開発マシンなどから、CodeCommitのGit
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
