初めてのAssumeRole | DevelopersIO
まだまだ使ったことの無いAWSサービスが多い菅野です。 今回はサービスではないのですが、AssumeRoleという機能を初めて使ったのでまとめてみました。 案件としては別AWSアカウントに存在するS3バケットにファイルを保存する事が目的なのですが、 保存するだけでしたらバケットポリシーで別アカウントのIDを許可するという方法があります。 ただ、その方法だとファイルの所有者が「ファイルをアップロードしたAWSアカウント」になってしまいますので、 トラブルにならないように、AssuemRoleを使うことでファイルの所有者がS3バケットを持つアカウントとなるようにします。 今回の目標 別アカウントのS3バケットにファイルを保存する AssumeRoleにより権限の委譲を行い、S3バケットへの保存許可を得る 作業が完了した時には、以下のようなイメージになります 大まかな作業の流れ 【S3バケットを
SAML 2.0 フェデレーション - AWS Identity and Access Management
AWS は SAML 2.0 (Security Assertion Markup Language) を使用した ID フェデレーションをサポートします。これは、多くの ID プロバイダー (IdP) により使用されているオープンスタンダードです。この機能はフェデレーションシングルサインオン (SSO) を有効にします。したがって、組織内の全員について IAM ユーザーを作成しなくても、ユーザーは AWS Management Console にログインしたり、AWS API オペレーションを呼び出したりできるようになります。SAML を使用すると、カスタム ID プロキシコードの書き込みの代わりに IdP のサービスを使用できるため、AWS を使用してフェデレーションを構成するプロセスを簡素化できます。 IAM フェデレーションは次のユースケースをサポートします。 組織のユーザーまたは
IAM ロールを切り替える (AWS) - AWS Identity and Access Management
############################################################################### # function iam_create_user_assume_role # # Scenario to create an IAM user, create an IAM role, and apply the role to the user. # # "IAM access" permissions are needed to run this code. # "STS assume role" permissions are needed to run this code. (Note: It might be necessary to # create a custom policy). # # Returns: #
IAM ロールに切り替える (AWS CLI) - AWS Identity and Access Management
ロールは、必要な AWS リソースへのアクセスに使用できる一連のアクセス許可を指定します。その点では、AWS Identity and Access Management(IAM)のユーザーに似ています。ユーザーとしてサインインすると、特定の一連のアクセス許可が付与されます。ただし、ロールにはサインインされませんが、ユーザーとしてサインインした後でロールを切り替えることができます。こうすると、元のユーザーアクセス権限が一時的に無効になり、そのロールに割り当てられたアクセス権限が代わりに付与されます。ロールは、自身のアカウントのロールでも、他の AWS アカウント のロールでもかまいません。ロールとその利点、およびロールを作成して設定する方法については、「IAM ロール」および「IAM ロールの作成」を参照してください。ロールを引き受ける別の方法については、「ロールを引き受けるための各種方法
[AssumeRole] アクセスキーが漏洩しても被害が最小限になるIAMユーザでCloudFormationにデプロイする方法 | DevelopersIO
IAMユーザ & IAMロールを作成 デプロイ用のIAMユーザと付与するIAMポリシーについて このユーザ自身に与える権限は、AssumeRoleできる権限のみです。 そのため、万が一このIAMユーザのアクセスキーが流出しても、流出したアクセスキーでは実質何もできません。 デプロイ用のIAMユーザがAssumeRoleするIAMロールについて 「デプロイ用のIAMユーザ」がAssumeRoleする(引き受ける)「IAMロール」です。 今回作成するIAMロールには下記の権限を付与しますが、必要に応じて変更してください。 S3バケットの作成権限 S3オブジェクトの作成権限 お試しデプロイとしてAWS SAMを使うため、S3の権限も付与(Lambdaコードのアップロードをするため) CloudFormationのデプロイ準備に必要な権限 「CloudFormation用のIAMロール」はclou
![[AssumeRole] アクセスキーが漏洩しても被害が最小限になるIAMユーザでCloudFormationにデプロイする方法 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/3a9299c22c271be79f273b6db38d8ba6bc81bd1c/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2021%2F05%2F8823428add162ea6925215296ff8c67f.png)
一時的なセキュリティ認証情報をリクエストする - AWS Identity and Access Management
一時的なセキュリティ認証情報をリクエストするには、AWS API で AWS Security Token Service (AWS STS) を使用できます。これには、AWS リソースへのアクセスを制御できる一時的セキュリティ認証情報を持つ、信頼されたユーザーを作成および提供するオペレーションが含まれます。AWS STS の詳細については、「IAM の一時的な認証情報」を参照してください。ロールを引き受けることで一時的なセキュリティ認証情報をリクエストするための別の方法については、「ロールを引き受けるための各種方法」を参照してください。 API オペレーションを呼び出すには、いずれかの AWS SDK を使用することができます。SDK は、Java、.NET、Python、Ruby、Android、iOS など、さまざまなプログラミング言語や環境で使用できます。SDK は、リクエストへの
AssumeRoleWithWebIdentity - AWS Security Token Service
Returns a set of temporary security credentials for users who have been authenticated in a mobile or web application with a web identity provider. Example providers include the OAuth 2.0 providers Login with Amazon and Facebook, or any OpenID Connect-compatible identity provider such as Google or Amazon Cognito federated identities. For mobile applications, we recommend that you use Amazon Cognito
IAMロール徹底理解 〜 AssumeRoleの正体 | DevelopersIO
さて、皆様はIAMにどのようなイメージをお持ちでしょうか。プロジェクトに関わる複数人で1つのAWSアカウントを扱う時、各メンバーに配布するアカウントを作れる機能。そして、その気になればアカウントをグループ分けし、権限を厳密に管理できる機能。といったところかと思います。 上記のユースケースで出てきた主なエンティティ(要素)はUserとGroupですね。IAMのManagement Consoleで見てみると、IAMはこれらの他にRoleやIdentity Providerというエンティティによって構成されているようだ、ということがわかります。今日はRoleにフォーカスを当てて、その実態を詳しく理解します。 IAM Role IAM Roleを使うと、先に挙げたIAMのユースケースの他に、下記のようなことが出来るようになります。 IAM roles for EC2 instancesを使ってみ
AWS STSのAssumeRoleを利用してS3にアップロードしてみる - Qiita
AWS STSのAssumeRoleを利用して一時的セキュリティ認証情報を取得してS3にアップロードしてみたので内容をメモしておきます。 なお、IAMロール徹底理解 〜 AssumeRoleの正体 | Developers.IOがロールを理解するためにとても参考になります。 一時的セキュリティ認証情報について 一時的なセキュリティ認証情報は利用期限があるAWSを利用するための一時的な認証情報である。 一時的であるのでたとえ外部に漏れたとしても時間がたてば使えなくなる。 アプリに埋め込みされた認証情報が漏れる場合に比べて安全になる。 ロールの継承とフェデレーショントークンの取得について 今回行ったのはロールの継承だが、以下のようなフェデレーショントークンの取得でも一時的セキュリティ認証情報は取得できる。 AWS - 一時的セキュリティ認証情報を使って、特定のS3バケットにアップロードする -
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AssumeRole - AWS Security Token Service