まだPCにIAMアクセスキー保存してるの? ベスプラに沿って、AWS CLIやSDKから安全に開発しよう! - Qiita
AWSで開発をする際に必須のわりには、CLIやSDKからAWSアカウントへのアクセス設定ってかなり複雑ですよね。 私も未だによく混乱しては調べ直しているので、改めてベスプラを整理してまとめておきます。 AWS Organizations & IAM Identity Centerが使える場合 理由がなければこちらを採用しましょう。 個人検証用のAWSアカウントでも、用途ごとにアカウントをつど発行して使い捨てにできるので、安全ですし便利です。 理想的なアクセス方式 個人用IAM IICユーザー(Assume Role権限のみ) -> Assume Roleを実施(MFA認証必須) -> 作業対象AWSアカウント(作業に必要なIAMロールを利用) 補足: IAM IICとは? IAMユーザーとは別に、IIC自体にユーザーアカウントを作成することができます。このIICユーザーには、IAMポリシー
Amazon QuickSight 向けの IAM ポリシーの例 - Amazon QuickSight
QuickSight IAM コンソール管理用の IAM アイデンティティベースのポリシー 次の例は、QuickSight IAM コンソール管理アクションに必要な IAM 権限を示しています。 { "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "quicksight:*", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:CreatePolicyVersion", "iam:DeletePolicyVersion", "iam:GetPolicyVersion", "iam:ListPolicy
Centrally manage root access in AWS Identity and Access Management (IAM) - AWS
Today, AWS Identity and Access Management (IAM) is launching a new capability allowing customers to centrally manage their root credentials, simplify auditing of credentials, and perform tightly scoped privileged tasks across their AWS member accounts managed using AWS Organizations. Now, administrators can remove unnecessary root credentials for member accounts in AWS Organizations and then, if n
[アップデート] IAM Access Analyzer の未使用のアクセス分析でアカウント/タグを除外指定して検出範囲をカスタマイズ出来るようになりました | DevelopersIO
[アップデート] IAM Access Analyzer の未使用のアクセス分析でアカウント/タグを除外指定して検出範囲をカスタマイズ出来るようになりました いわさです。 IAM Access Analyzer を使うと IAM リソースの様々な分析を行うことが出来ます。 機能のひとつに未使用の IAM ユーザーやロール、権限を検出する機能があります。 未使用の IAM リソースの存在に気がつくことが出来て良いのですが、こちらは追加料金の発生する有償オプションとなっており、有効化にあたっては少し注意が必要です。 リソースあたり 0.20 USD/月 が発生します。例えば、AWS Organizations 導入環境など大量の IAM リソースが存在する環境に対して有効化した場合、次のように地味に無視出来ない料金になってきたりします。 必要な範囲だけ検出対象に出来るように コストをどうにかす
![[アップデート] IAM Access Analyzer の未使用のアクセス分析でアカウント/タグを除外指定して検出範囲をカスタマイズ出来るようになりました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/d9b0757ba79f96ee58bb889729ea29a3e5d93548/height=288;version=1;width=512/https%3A%2F%2Fimages.ctfassets.net%2Fct0aopd36mqt%2Fwp-thumbnail-7bf2dfb6b7a0dd9b7561e87b396ccdc3%2F018019c86ac567eceba7268550750d9f%2Faws-iam)
IAM アクセスアナライザーの未使用アクセス分析の範囲をカスタマイズ - AWS
お客様は、Identity and Access Management (IAM) Access Analyzer の未使用アクセス検出結果を使用して、アカウントまたは AWS 組織内の IAM ロールとユーザーに付与された権限超過アクセスを特定します。お客様はオプションでニーズに合わせて分析をカスタマイズできるようになりました。お客様は、分析から除外するアカウント、ロール、ユーザーを選択し、特定の領域に焦点を当てて、未使用アクセスを特定して修正することができます。アカウント ID などの識別子を使用したり、ロールタグを使用して構成をスケールしたりできます。アナライザーの監視対象範囲をアカウントとロールのサブセットに限定することで、お客様は検出結果の確認を合理化し、未使用アクセス分析の使用コストを最適化できます。お客様はいつでも構成を更新して分析範囲を変更できます。この新サービスでは、IA
AWS Support アプリへのアクセスの管理 - AWS Support
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 AWS Support アプリへのアクセスの管理 AWS Support アプリウィジェットへのアクセス許可を取得したら、AWS Identity and Access Management (IAM) ロール も作成する必要があります。このロールは、AWS のサービス API や Service Quotas など、他の AWS Support のアクションをユーザーに代わって実行します。 続いて、このロールに IAM ポリシーをアタッチし、これらのアクションを実行するために必要なアクセス許可を、このロールに付与します。このロールは、サポートセンターコンソールで Slack チャンネル設定を作成する際に選択します。 Slack チャンネルのユーザーは、IAM ロー
IAM Access AnalyzerをSlackに通知する(Security Hubを添えて) | DevelopersIO
こんにちは。たかやまです。 IAM Access AnalyzerをSlackに通知する方法をご紹介したいと思います。 IAM Access Analyzerの内容を直接Chatbotで通知することはできますが、Security Hubを使うとより快適に通知ができるので今回はSecurity Hub経由の設定をご紹介します。 また、IAM Access AnalyzerはIAM Roleとその他リソースで検知の仕方が少し異なります。このあたりはEventBridgeの設定でご説明していきます。 このブログではEventBridgeでIAM Roleのフィルタリングをしますが、以下のブログで紹介するアーカイブルールを使ったほうがSecurity Hubでのイベント管理もしやすくなりおすすめです。 構成図 Security Hubを経由するメリット Security Hubを経由することで通知
AWS IAM の結果整合性を避けるためセッションポリシーを用いてポリシーの動作確認を行う | DevelopersIO
IAM ポリシーを変更するとそれが伝播するまで待つ必要があります。IAM ポリシーはそのままにして、セッションでのみ有効なセッションポリシーを変更しながら使えばその影響を回避できます。 IAM リソース変更の即時反映を期待してはだめ コンバンハ、千葉(幸)です。 AWS IAM は結果整合性が採用されています。 *1 言い換えれば、変更が即時に反映されることは保証されていません。例えば以下の操作を行ったとします。 IAM ユーザー A に唯一アタッチされた IAM ポリシー P に、EC2 操作を許可する権限を追加する IAM ユーザー A の認証情報を利用して EC2 の操作を行う このとき無条件に 2 が成功することを期待したくなりますが、1 からの実行間隔が短いと失敗することもあります。最終的には結果整合性により「成功する」に収束しますが、数秒なり数分間なりは 1 の変更前の権限で評
Policies and permissions in AWS Identity and Access Management - AWS Identity and Access Management
Policies and permissions in AWS Identity and Access Management Manage access in AWS by creating policies and attaching them to IAM identities (users, groups of users, or roles) or AWS resources. A policy is an object in AWS that, when associated with an identity or resource, defines their permissions. AWS evaluates these policies when an IAM principal (user or role) makes a request. Permissions in
認証情報レポートで不要なIAMユーザー・アクセスキーを棚卸ししてみた | DevelopersIO
こんにちは!AWS事業本部のおつまみです。 みなさん、IAMユーザー・アクセスキーを棚卸ししたいと思ったことはありますか?私はあります。 検証をしていると、いつの間にか溜まってしまうIAMユーザーやアクセスキー。 不要なIAMユーザー・アクセスキーを放置することはセキュリティ的に危険です。 特にアクセスキー漏洩は不正利用に繋がる恐れがあります。 そこで今回はIAMの認証情報レポートを使用し、不要なIAMユーザー・アクセスキーを棚卸しする方法をご紹介します。 IAMロールやIAMポリシーの棚卸方法を知りたい方はこちらのブログもご参考ください。 AWSアカウントの認証情報レポートとは AWSアカウントの認証情報レポートは、IAMで管理されているユーザ認証情報の一覧を提供する機能です。 これにより、ユーザーの資格情報やパスワード、アクセスキー、MFA(多要素認証)設定などを確認することができます
[AWS]認証情報レポートを出力してIAMユーザーの棚卸しをする | DevelopersIO
コンニチハ、千葉です。 IAMユーザを棚卸して安全なAWSアカウント管理を!、こちらにIAMユーザーの棚卸しが書かれていますが 今回は認証情報レポートという機能を使って、IAMユーザーのアクセスキー、パスワードの棚卸しをしてみました。アカウントが大量にある場合は、かなり有用ではないかと思います。 AWSアカウントの認証情報レポートとは AWSアカウント内の全てのユーザーとユーザーの認証情報ステータス(MFA、最終ログイン時間、パスワード利用有無等)をCSVでダウンロードできます。 レポートは4時間ごとに1回作成となります。 レポート作成 レポートダウンロード(1から4時間は1で作成されたレポートがダウンロードされる) 4時間後にレポート作成した場合は1に戻る のような感じになるかと思います。つまり、追加直後のIAMユーザーはレポートに出力されない場合もあるので注意となります。 やってみた
![[AWS]認証情報レポートを出力してIAMユーザーの棚卸しをする | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/7ba1034b9360dd6b5d9f1c5c3fa68ed286fc549d/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2014%2F05%2FIAM.png)
AWS アカウント の認証情報レポートを生成します。 - AWS Identity and Access Management
アカウントのすべてのユーザーと、ユーザーの各種認証情報 (パスワード、アクセスキー、MFA デバイスなど) のステータスが示された認証情報レポートを生成し、ダウンロードできます。認証情報レポートは、AWS Management Console、AWS SDK、コマンドラインツール、または IAM API から取得できます。 認証情報レポートを使用して、監査やコンプライアンスの作業を支援することができます。このレポートを使用して、パスワードやアクセスキーの更新など、認証情報ライフサイクルの要件の効果を監査できます。外部の監査人にこのレポートを提供することも、監査人が直接このレポートをダウンロードできるようにアクセス権限を付与することもできます。 認証情報レポートは、4 時間ごとに 1 回生成できます。レポートをリクエストすると、IAM はまず AWS アカウント について過去 4 時間以内に
AWS IAM で障害が起こったらどうなるの? AWS IAM のレジリエンス(復元力)に関する記述がドキュメントに追記されていた | DevelopersIO
コンバンハ、千葉(幸)です。 AWS サービスで広範囲の障害が起こったときにどう備えるか?は AWS を利用する上では避けて通れない課題です。 例えば Amazon EC2 であれば、アベイラビリティゾーン(AZ)単位での障害に備えてマルチ AZ 構成にしておく、リージョン単位の障害に備えて別リージョンにバックアップを退避させておく、などの構成が思いつきます。 では AWS IAM で障害が起こったときに備えてどうすべきか?改めて問われると難しい問題です。わたしはぼんやりと「そもそも障害が起こることはないんじゃないか?そもそも AWS IAM における障害って何?」という思いを抱いていました。 そんな折、いつものように AWS IAM のドキュメントの更新履歴を眺めていると IAM のレジリエンスに関する更新が行われていることに気がつきました。 Document history for I
IAM の評価論理をやんわり押さえるセッション「やんわり押さえよう IAM の評価論理」で登壇しました #devio2021 | DevelopersIO
【やんわり】(副詞) ━ものやわらかであるさま。おだやかなさま。 (デジタル大辞泉より) コンバンハ、千葉(幸)です。 皆さんは IAM の評価論理って難しいと思っていませんか? 実は…… … …… ……… その通り、難しいんです。 やれアインディティベースポリシーとリソースベースポリシーだの、アカウントをまたぐまたがないだの、ガードレールがどうだの、暗黙的だの明示的だの、覚えることがたくさんあって難しいです。 詳細な内容は必要に迫られたときに考えるとして、「だいたいこういうことでしょ」とやんわり理解する状態を本セッションでは目指していきます。 セッションの雰囲気 これが…… こうなる感じ雰囲気のセッションです。 セッションで学べること 章ごとにサマリを描きます。 1. IAM JSON ポリシー IAM のポリシータイプは 6 つあること IAM JSON ポリシーの構成要素として Ef
Strategies for achieving least privilege at scale – Part 1 | Amazon Web Services
AWS Security Blog Strategies for achieving least privilege at scale – Part 1 Least privilege is an important security topic for Amazon Web Services (AWS) customers. In previous blog posts, we’ve provided tactical advice on how to write least privilege policies, which we would encourage you to review. You might feel comfortable writing a few least privilege policies for yourself, but to scale this
[速報] IAM Access Analyzer が 未使用の IAM プリンシパルに対する推奨事項をプレビューで表示するようになりました #AWSreInforce | DevelopersIO
こんにちは! AWS 事業本部コンサルティング部のたかくに(@takakuni_)です。 フィラデルフィアで開催されている AWS re:Inforce 2024 に参加しています。 Keynote にて、 IAM Access Analyzer が未使用の IAM プリンシパルに対する推奨事項を表示するアップデートが発表されました。 プレビューでのリリースのため、 GA の際に仕様変更が伴う可能性がございます。 概要 以前から IAM Access Analyzer では、未使用の IAM のリストアップができていました。 IAM Access Analyzer now simplifies inspecting unused access to guide you toward least privilege 今回はこの機能に加えて、使っていない IAM をどうすればいいのかについて推
![[速報] IAM Access Analyzer が 未使用の IAM プリンシパルに対する推奨事項をプレビューで表示するようになりました #AWSreInforce | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/8f9dc121f0ac77ef316c713f616fcbd2ccb908d1/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2024%2F06%2Fb72ca6bcb7f92ecaece647976862d0f5.png)
[アップデード]IAM Access Analyzerのカスタムポリシーチェックでパブリックアクセスと重要リソースアクセスのチェックが追加されました! #AWSreInforce | DevelopersIO
[アップデード]IAM Access Analyzerのカスタムポリシーチェックでパブリックアクセスと重要リソースアクセスのチェックが追加されました! #AWSreInforce IAM Access Analyzerの自動推論を利用したチェックが強化されました!単純なdiffが難しいポリシーの設定で間違いないかという担保を得るために活用しましょう! こんにちは、臼田です。 みなさん、アクセス権限のチェックしてますか?(挨拶 今回はAWS re:Infore 2024にてIAM Access Analyzerのカスタムポリシーチェックが拡張されたので解説します。 AWS IAM Access Analyzer now offers policy checks for public and critical resource access - AWS IAM Access Analyzer
![[アップデード]IAM Access Analyzerのカスタムポリシーチェックでパブリックアクセスと重要リソースアクセスのチェックが追加されました! #AWSreInforce | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/d1ac42cfd4e5f0a287ed5db0380a987866b4dde2/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2024%2F06%2Feyecatch_awsreinforce2024_1200x630.png)
Jumpアカウント環境でIPアドレス制限を行う方法 | DevelopersIO
マルチアカウントの IAM ユーザーを一つのアカウントに集約した Jump アカウントを利用している環境において、マネジメントコンソールの IP アドレス制限を実現する方法を 2 つ紹介します。 IAM ユーザー/グループを一つのアカウントに集約する Jump アカウント(別名、踏み台アカウント)を利用している環境において、AWS の利用を送信元 IP アドレスにより制限する方法を 2 つ紹介します。 Jump アカウントとは、複数の AWS アカウントを運用している場合において、ユーザー管理の効率化のために IAM ユーザー/グループを集約したアカウントです。AWS Single Sign-On を利用するための条件である AWS Organizations を利用していない環境でも構築することができます。 https://d0.awsstatic.com/events/jp/2017/
Amazon QuickSight のアクセス許可に関するエラーのトラブルシューティング
Share Your AWS re:Post Experience - Quick 3 Question Survey and Earn a re:Post Badge Help us improve AWS re:Post! We're interested in understanding how you use re:Post and its impact on your AWS journey. Please take a moment to complete our brief 3-question survey 簡単な説明 Amazon QuickSight のアクセス許可を編集すると、次のエラーのいずれかが表示されることがあります。 「The role used by QuickSight for AWS resource access was modified to an
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Workshop Studio