認証情報レポートで不要なIAMユーザー・アクセスキーを棚卸ししてみた | DevelopersIO
こんにちは!AWS事業本部のおつまみです。 みなさん、IAMユーザー・アクセスキーを棚卸ししたいと思ったことはありますか?私はあります。 検証をしていると、いつの間にか溜まってしまうIAMユーザーやアクセスキー。 不要なIAMユーザー・アクセスキーを放置することはセキュリティ的に危険です。 特にアクセスキー漏洩は不正利用に繋がる恐れがあります。 そこで今回はIAMの認証情報レポートを使用し、不要なIAMユーザー・アクセスキーを棚卸しする方法をご紹介します。 IAMロールやIAMポリシーの棚卸方法を知りたい方はこちらのブログもご参考ください。 AWSアカウントの認証情報レポートとは AWSアカウントの認証情報レポートは、IAMで管理されているユーザ認証情報の一覧を提供する機能です。 これにより、ユーザーの資格情報やパスワード、アクセスキー、MFA(多要素認証)設定などを確認することができます
[AWS]認証情報レポートを出力してIAMユーザーの棚卸しをする | DevelopersIO
コンニチハ、千葉です。 IAMユーザを棚卸して安全なAWSアカウント管理を!、こちらにIAMユーザーの棚卸しが書かれていますが 今回は認証情報レポートという機能を使って、IAMユーザーのアクセスキー、パスワードの棚卸しをしてみました。アカウントが大量にある場合は、かなり有用ではないかと思います。 AWSアカウントの認証情報レポートとは AWSアカウント内の全てのユーザーとユーザーの認証情報ステータス(MFA、最終ログイン時間、パスワード利用有無等)をCSVでダウンロードできます。 レポートは4時間ごとに1回作成となります。 レポート作成 レポートダウンロード(1から4時間は1で作成されたレポートがダウンロードされる) 4時間後にレポート作成した場合は1に戻る のような感じになるかと思います。つまり、追加直後のIAMユーザーはレポートに出力されない場合もあるので注意となります。 やってみた
![[AWS]認証情報レポートを出力してIAMユーザーの棚卸しをする | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/7ba1034b9360dd6b5d9f1c5c3fa68ed286fc549d/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2014%2F05%2FIAM.png)
AWS アカウント の認証情報レポートを生成します。 - AWS Identity and Access Management
アカウントのすべてのユーザーと、ユーザーの各種認証情報 (パスワード、アクセスキー、MFA デバイスなど) のステータスが示された認証情報レポートを生成し、ダウンロードできます。認証情報レポートは、AWS Management Console、AWS SDK、コマンドラインツール、または IAM API から取得できます。 認証情報レポートを使用して、監査やコンプライアンスの作業を支援することができます。このレポートを使用して、パスワードやアクセスキーの更新など、認証情報ライフサイクルの要件の効果を監査できます。外部の監査人にこのレポートを提供することも、監査人が直接このレポートをダウンロードできるようにアクセス権限を付与することもできます。 認証情報レポートは、4 時間ごとに 1 回生成できます。レポートをリクエストすると、IAM はまず AWS アカウント について過去 4 時間以内に
AWS IAM で障害が起こったらどうなるの? AWS IAM のレジリエンス(復元力)に関する記述がドキュメントに追記されていた | DevelopersIO
コンバンハ、千葉(幸)です。 AWS サービスで広範囲の障害が起こったときにどう備えるか?は AWS を利用する上では避けて通れない課題です。 例えば Amazon EC2 であれば、アベイラビリティゾーン(AZ)単位での障害に備えてマルチ AZ 構成にしておく、リージョン単位の障害に備えて別リージョンにバックアップを退避させておく、などの構成が思いつきます。 では AWS IAM で障害が起こったときに備えてどうすべきか?改めて問われると難しい問題です。わたしはぼんやりと「そもそも障害が起こることはないんじゃないか?そもそも AWS IAM における障害って何?」という思いを抱いていました。 そんな折、いつものように AWS IAM のドキュメントの更新履歴を眺めていると IAM のレジリエンスに関する更新が行われていることに気がつきました。 Document history for I
IAM の評価論理をやんわり押さえるセッション「やんわり押さえよう IAM の評価論理」で登壇しました #devio2021 | DevelopersIO
【やんわり】(副詞) ━ものやわらかであるさま。おだやかなさま。 (デジタル大辞泉より) コンバンハ、千葉(幸)です。 皆さんは IAM の評価論理って難しいと思っていませんか? 実は…… … …… ……… その通り、難しいんです。 やれアインディティベースポリシーとリソースベースポリシーだの、アカウントをまたぐまたがないだの、ガードレールがどうだの、暗黙的だの明示的だの、覚えることがたくさんあって難しいです。 詳細な内容は必要に迫られたときに考えるとして、「だいたいこういうことでしょ」とやんわり理解する状態を本セッションでは目指していきます。 セッションの雰囲気 これが…… こうなる感じ雰囲気のセッションです。 セッションで学べること 章ごとにサマリを描きます。 1. IAM JSON ポリシー IAM のポリシータイプは 6 つあること IAM JSON ポリシーの構成要素として Ef
[速報] IAM Access Analyzer が 未使用の IAM プリンシパルに対する推奨事項をプレビューで表示するようになりました #AWSreInforce | DevelopersIO
こんにちは! AWS 事業本部コンサルティング部のたかくに(@takakuni_)です。 フィラデルフィアで開催されている AWS re:Inforce 2024 に参加しています。 Keynote にて、 IAM Access Analyzer が未使用の IAM プリンシパルに対する推奨事項を表示するアップデートが発表されました。 プレビューでのリリースのため、 GA の際に仕様変更が伴う可能性がございます。 概要 以前から IAM Access Analyzer では、未使用の IAM のリストアップができていました。 IAM Access Analyzer now simplifies inspecting unused access to guide you toward least privilege 今回はこの機能に加えて、使っていない IAM をどうすればいいのかについて推
![[速報] IAM Access Analyzer が 未使用の IAM プリンシパルに対する推奨事項をプレビューで表示するようになりました #AWSreInforce | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/8f9dc121f0ac77ef316c713f616fcbd2ccb908d1/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2024%2F06%2Fb72ca6bcb7f92ecaece647976862d0f5.png)
[アップデード]IAM Access Analyzerのカスタムポリシーチェックでパブリックアクセスと重要リソースアクセスのチェックが追加されました! #AWSreInforce | DevelopersIO
[アップデード]IAM Access Analyzerのカスタムポリシーチェックでパブリックアクセスと重要リソースアクセスのチェックが追加されました! #AWSreInforce IAM Access Analyzerの自動推論を利用したチェックが強化されました!単純なdiffが難しいポリシーの設定で間違いないかという担保を得るために活用しましょう! こんにちは、臼田です。 みなさん、アクセス権限のチェックしてますか?(挨拶 今回はAWS re:Infore 2024にてIAM Access Analyzerのカスタムポリシーチェックが拡張されたので解説します。 AWS IAM Access Analyzer now offers policy checks for public and critical resource access - AWS IAM Access Analyzer
![[アップデード]IAM Access Analyzerのカスタムポリシーチェックでパブリックアクセスと重要リソースアクセスのチェックが追加されました! #AWSreInforce | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/d1ac42cfd4e5f0a287ed5db0380a987866b4dde2/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2024%2F06%2Feyecatch_awsreinforce2024_1200x630.png)
Jumpアカウント環境でIPアドレス制限を行う方法 | DevelopersIO
マルチアカウントの IAM ユーザーを一つのアカウントに集約した Jump アカウントを利用している環境において、マネジメントコンソールの IP アドレス制限を実現する方法を 2 つ紹介します。 IAM ユーザー/グループを一つのアカウントに集約する Jump アカウント(別名、踏み台アカウント)を利用している環境において、AWS の利用を送信元 IP アドレスにより制限する方法を 2 つ紹介します。 Jump アカウントとは、複数の AWS アカウントを運用している場合において、ユーザー管理の効率化のために IAM ユーザー/グループを集約したアカウントです。AWS Single Sign-On を利用するための条件である AWS Organizations を利用していない環境でも構築することができます。 https://d0.awsstatic.com/events/jp/2017/
Amazon QuickSight のアクセス許可に関するエラーのトラブルシューティング
Amazon QuickSight で発生する AWS リソースのアクセス許可に関するエラーをトラブルシューティングする方法を教えてください。 簡単な説明 Amazon QuickSight のアクセス許可を編集すると、次のエラーのいずれかが表示されることがあります。 「The role used by QuickSight for AWS resource access was modified to an un-recoverable state outside of QuickSight, so you can no longer edit AWS resource permissions in QuickSight.」 「We were unable to update QuickSight permissions for AWS resources.Either you are
AWS リソースで一時的な認証情報を使用する - AWS Identity and Access Management
一時的な認証情報を使用して、AWS または AWS CLI API(AWS SDKを使用)を使用して AWS リソースのプログラム要求を行うことができます。一時的な認証情報は、IAM ユーザーの認証情報など、長期的なセキュリティ認証情報を使用するのと同じアクセス許可を提供します。ただし、いくつか違いがあります。 一時的セキュリティ認証情報を使用して呼び出しを行うときは、一時的な認証情報と共に返されるセッショントークンを呼び出しに含める必要があります。AWS はセッショントークンを使用して、一時的セキュリティ認証情報を検証します。 一時的な認証情報は、指定した期間が過ぎると失効します。一時認証情報が有効期限切れになると、その認証情報を使用する呼び出しはすべて失敗するため、新しい一時認証情報を生成する必要があります。一時的な認証情報は、最初に指定された間隔を超えて延長または更新することはできま
AWS IAM PolicyのForAllValuesを勘違いしてた件 - LayerX エンジニアブログ
LayerX Fintech事業部(※)で、ガバナンス・コンプラエンジニアリングをしている 鈴木 (@ken5scal )です。 ※三井物産デジタル・アセットマネジメントに出向しています。 今回は、AWS IAMポリシーの条件における「ForAllValues」の仕様を誤って理解していたことから、安全でないアクセス制御を実装していたという内容です。もし同様の勘違いをされている方がいたら参考になれば幸いです。 ユースケース AWS IAMユーザーを、ロールの trust policy がユーザーのタグで制御するケースで考えます。 具体的には、「Group A あるいは Group B」に所属し、且つ「Admin」権限のあるユーザーのみが行使できる役割「AdminABRole」があるとしましょう。 この場合、Group と Admin のタグが存在し、下記のようなパターン(※)が考えられます。
AWS KMS S3バケットをSSE-KMSで暗号化しファイルのアップロード・ダウンロードするときにKMSへ必要なIAMポリシーを確認してみた | DevelopersIO
AWS KMS S3バケットをSSE-KMSで暗号化しファイルのアップロード・ダウンロードするときにKMSへ必要なIAMポリシーを確認してみた SSE-KMS暗号化したS3バケットに対してファイルのアップロード、ダウンロードに必要なIAMポリシーを考えていました。S3バケットへの操作権限と、KMSのキーポリシーがデフォルトの場合はSSE-KMS暗号化したS3バケットの場合はKMSへの操作権限も必要です。KMSに必要なIAMポリシーについて失敗した例を元にKMSのIAMポリシーに着目した覚書です。 書き残したかったこと ファイルのアップロードは暗号化するためにkms:Decryptと、kms:GenerateDataKeyの2つ許可が必要です。 ファイルのダウンロードは復号するためにkms:Decryptの許可が必要です。 IAMポリシーサンプル { "Version": "2012-10-
ステップ 2: AWS Glue 用の IAM ロールを作成する - AWS Glue
ユーザーに代わり他のサービスを呼び出す際に AWS Glue が引き受けることができる、IAM ロールのアクセス許可を付与する必要があります。これには、AWS Glue で使用するすべてのソース、ターゲット、スクリプト、および一時ディレクトリでの Amazon S3 へのアクセスが含まれます。クローラ、ジョブ、および開発エンドポイントによって許可が必要です。 AWS Identity and Access Management (IAM) を使用してアクセス権限を提供できます。AWS Glue に渡す IAM ロールにポリシーを追加します。 用に IAM ロールを作成するには AWS GlueAWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。 左のナビゲーションペインで
IAM ポリシーエレメント: 変数 - AWS Identity and Access Management
序章 IAM ポリシーでは、アクセスを制御する特定のリソースに対して名前を指定することが多くのアクセションで許可されています。例えば、以下のポリシーでは、ユーザーは、marketing プロジェクトの S3 バケット amzn-s3-demo-bucket 内のオブジェクトの一覧表示、読み取り、および書き込みができます。 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["s3:ListBucket"], "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket"], "Condition": {"StringLike": {"s3:prefix": ["marketing/*"]}} }, { "Effect": "Allow", "Action": [
MariaDB、MySQL、および PostgreSQL の IAM データベース認証 - Amazon Relational Database Service
AWS Identity and Access Management (IAM) データベース認証を使用して、DB インスタンスを認証できます。IAM データベース認証には、MariaDB、MySQL、および PostgreSQL を使用します。この認証方法では、DB インスタンスに接続するときにパスワードを使用する必要はありません。代わりに、認証トークンを使用します。 認証トークンは、Amazon RDS がリクエストに応じて生成する一意の文字列です。認証トークンは、AWS 署名バージョン 4 を使用して生成されます。各トークンには 15 分の有効期間があります。認証は IAM を使用して外部的に管理されるため、ユーザー認証情報をデータベースに保存する必要はありません。引き続きスタンダードのデータベース認証を使用することもできます。トークンは認証にのみ使用され、確立後のセッションには影響
A short note on AWS KEY ID
which yields 80 bits of data, or 10 bytes. The account ID fits well within 5 bytes, however, that data is shifted by one bit! (skewing Aidan’s original calculation a bit, pun much intended)putting it all together into a python script: import base64 import binascii def AWSAccount_from_AWSKeyID(AWSKeyID): trimmed_AWSKeyID = AWSKeyID[4:] #remove KeyID prefix x = base64.b32decode(trimmed_AWSKeyID) #ba
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Workshop Studio
Strategies for achieving least privilege at scale – Part 1 | Amazon Web Services
20分で分かるIAM全機能 /20240621-aws-summit-iam
CodeShield - Simplify AWS IAM Security