[アップデート] IAM Access Analyzer の未使用のアクセス分析でアカウント/タグを除外指定して検出範囲をカスタマイズ出来るようになりました | DevelopersIO
[アップデート] IAM Access Analyzer の未使用のアクセス分析でアカウント/タグを除外指定して検出範囲をカスタマイズ出来るようになりました いわさです。 IAM Access Analyzer を使うと IAM リソースの様々な分析を行うことが出来ます。 機能のひとつに未使用の IAM ユーザーやロール、権限を検出する機能があります。 未使用の IAM リソースの存在に気がつくことが出来て良いのですが、こちらは追加料金の発生する有償オプションとなっており、有効化にあたっては少し注意が必要です。 リソースあたり 0.20 USD/月 が発生します。例えば、AWS Organizations 導入環境など大量の IAM リソースが存在する環境に対して有効化した場合、次のように地味に無視出来ない料金になってきたりします。 必要な範囲だけ検出対象に出来るように コストをどうにかす
![[アップデート] IAM Access Analyzer の未使用のアクセス分析でアカウント/タグを除外指定して検出範囲をカスタマイズ出来るようになりました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/d9b0757ba79f96ee58bb889729ea29a3e5d93548/height=288;version=1;width=512/https%3A%2F%2Fimages.ctfassets.net%2Fct0aopd36mqt%2Fwp-thumbnail-7bf2dfb6b7a0dd9b7561e87b396ccdc3%2F018019c86ac567eceba7268550750d9f%2Faws-iam)
IAM Access AnalyzerをSlackに通知する(Security Hubを添えて) | DevelopersIO
こんにちは。たかやまです。 IAM Access AnalyzerをSlackに通知する方法をご紹介したいと思います。 IAM Access Analyzerの内容を直接Chatbotで通知することはできますが、Security Hubを使うとより快適に通知ができるので今回はSecurity Hub経由の設定をご紹介します。 また、IAM Access AnalyzerはIAM Roleとその他リソースで検知の仕方が少し異なります。このあたりはEventBridgeの設定でご説明していきます。 このブログではEventBridgeでIAM Roleのフィルタリングをしますが、以下のブログで紹介するアーカイブルールを使ったほうがSecurity Hubでのイベント管理もしやすくなりおすすめです。 構成図 Security Hubを経由するメリット Security Hubを経由することで通知
AWS IAM の結果整合性を避けるためセッションポリシーを用いてポリシーの動作確認を行う | DevelopersIO
IAM ポリシーを変更するとそれが伝播するまで待つ必要があります。IAM ポリシーはそのままにして、セッションでのみ有効なセッションポリシーを変更しながら使えばその影響を回避できます。 IAM リソース変更の即時反映を期待してはだめ コンバンハ、千葉(幸)です。 AWS IAM は結果整合性が採用されています。 *1 言い換えれば、変更が即時に反映されることは保証されていません。例えば以下の操作を行ったとします。 IAM ユーザー A に唯一アタッチされた IAM ポリシー P に、EC2 操作を許可する権限を追加する IAM ユーザー A の認証情報を利用して EC2 の操作を行う このとき無条件に 2 が成功することを期待したくなりますが、1 からの実行間隔が短いと失敗することもあります。最終的には結果整合性により「成功する」に収束しますが、数秒なり数分間なりは 1 の変更前の権限で評
認証情報レポートで不要なIAMユーザー・アクセスキーを棚卸ししてみた | DevelopersIO
こんにちは!AWS事業本部のおつまみです。 みなさん、IAMユーザー・アクセスキーを棚卸ししたいと思ったことはありますか?私はあります。 検証をしていると、いつの間にか溜まってしまうIAMユーザーやアクセスキー。 不要なIAMユーザー・アクセスキーを放置することはセキュリティ的に危険です。 特にアクセスキー漏洩は不正利用に繋がる恐れがあります。 そこで今回はIAMの認証情報レポートを使用し、不要なIAMユーザー・アクセスキーを棚卸しする方法をご紹介します。 IAMロールやIAMポリシーの棚卸方法を知りたい方はこちらのブログもご参考ください。 AWSアカウントの認証情報レポートとは AWSアカウントの認証情報レポートは、IAMで管理されているユーザ認証情報の一覧を提供する機能です。 これにより、ユーザーの資格情報やパスワード、アクセスキー、MFA(多要素認証)設定などを確認することができます
[AWS]認証情報レポートを出力してIAMユーザーの棚卸しをする | DevelopersIO
コンニチハ、千葉です。 IAMユーザを棚卸して安全なAWSアカウント管理を!、こちらにIAMユーザーの棚卸しが書かれていますが 今回は認証情報レポートという機能を使って、IAMユーザーのアクセスキー、パスワードの棚卸しをしてみました。アカウントが大量にある場合は、かなり有用ではないかと思います。 AWSアカウントの認証情報レポートとは AWSアカウント内の全てのユーザーとユーザーの認証情報ステータス(MFA、最終ログイン時間、パスワード利用有無等)をCSVでダウンロードできます。 レポートは4時間ごとに1回作成となります。 レポート作成 レポートダウンロード(1から4時間は1で作成されたレポートがダウンロードされる) 4時間後にレポート作成した場合は1に戻る のような感じになるかと思います。つまり、追加直後のIAMユーザーはレポートに出力されない場合もあるので注意となります。 やってみた
![[AWS]認証情報レポートを出力してIAMユーザーの棚卸しをする | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/7ba1034b9360dd6b5d9f1c5c3fa68ed286fc549d/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2014%2F05%2FIAM.png)
AWS IAM で障害が起こったらどうなるの? AWS IAM のレジリエンス(復元力)に関する記述がドキュメントに追記されていた | DevelopersIO
コンバンハ、千葉(幸)です。 AWS サービスで広範囲の障害が起こったときにどう備えるか?は AWS を利用する上では避けて通れない課題です。 例えば Amazon EC2 であれば、アベイラビリティゾーン(AZ)単位での障害に備えてマルチ AZ 構成にしておく、リージョン単位の障害に備えて別リージョンにバックアップを退避させておく、などの構成が思いつきます。 では AWS IAM で障害が起こったときに備えてどうすべきか?改めて問われると難しい問題です。わたしはぼんやりと「そもそも障害が起こることはないんじゃないか?そもそも AWS IAM における障害って何?」という思いを抱いていました。 そんな折、いつものように AWS IAM のドキュメントの更新履歴を眺めていると IAM のレジリエンスに関する更新が行われていることに気がつきました。 Document history for I
IAM の評価論理をやんわり押さえるセッション「やんわり押さえよう IAM の評価論理」で登壇しました #devio2021 | DevelopersIO
【やんわり】(副詞) ━ものやわらかであるさま。おだやかなさま。 (デジタル大辞泉より) コンバンハ、千葉(幸)です。 皆さんは IAM の評価論理って難しいと思っていませんか? 実は…… … …… ……… その通り、難しいんです。 やれアインディティベースポリシーとリソースベースポリシーだの、アカウントをまたぐまたがないだの、ガードレールがどうだの、暗黙的だの明示的だの、覚えることがたくさんあって難しいです。 詳細な内容は必要に迫られたときに考えるとして、「だいたいこういうことでしょ」とやんわり理解する状態を本セッションでは目指していきます。 セッションの雰囲気 これが…… こうなる感じ雰囲気のセッションです。 セッションで学べること 章ごとにサマリを描きます。 1. IAM JSON ポリシー IAM のポリシータイプは 6 つあること IAM JSON ポリシーの構成要素として Ef
[速報] IAM Access Analyzer が 未使用の IAM プリンシパルに対する推奨事項をプレビューで表示するようになりました #AWSreInforce | DevelopersIO
こんにちは! AWS 事業本部コンサルティング部のたかくに(@takakuni_)です。 フィラデルフィアで開催されている AWS re:Inforce 2024 に参加しています。 Keynote にて、 IAM Access Analyzer が未使用の IAM プリンシパルに対する推奨事項を表示するアップデートが発表されました。 プレビューでのリリースのため、 GA の際に仕様変更が伴う可能性がございます。 概要 以前から IAM Access Analyzer では、未使用の IAM のリストアップができていました。 IAM Access Analyzer now simplifies inspecting unused access to guide you toward least privilege 今回はこの機能に加えて、使っていない IAM をどうすればいいのかについて推
![[速報] IAM Access Analyzer が 未使用の IAM プリンシパルに対する推奨事項をプレビューで表示するようになりました #AWSreInforce | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/8f9dc121f0ac77ef316c713f616fcbd2ccb908d1/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2024%2F06%2Fb72ca6bcb7f92ecaece647976862d0f5.png)
[アップデード]IAM Access Analyzerのカスタムポリシーチェックでパブリックアクセスと重要リソースアクセスのチェックが追加されました! #AWSreInforce | DevelopersIO
[アップデード]IAM Access Analyzerのカスタムポリシーチェックでパブリックアクセスと重要リソースアクセスのチェックが追加されました! #AWSreInforce IAM Access Analyzerの自動推論を利用したチェックが強化されました!単純なdiffが難しいポリシーの設定で間違いないかという担保を得るために活用しましょう! こんにちは、臼田です。 みなさん、アクセス権限のチェックしてますか?(挨拶 今回はAWS re:Infore 2024にてIAM Access Analyzerのカスタムポリシーチェックが拡張されたので解説します。 AWS IAM Access Analyzer now offers policy checks for public and critical resource access - AWS IAM Access Analyzer
![[アップデード]IAM Access Analyzerのカスタムポリシーチェックでパブリックアクセスと重要リソースアクセスのチェックが追加されました! #AWSreInforce | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/d1ac42cfd4e5f0a287ed5db0380a987866b4dde2/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2024%2F06%2Feyecatch_awsreinforce2024_1200x630.png)
Jumpアカウント環境でIPアドレス制限を行う方法 | DevelopersIO
マルチアカウントの IAM ユーザーを一つのアカウントに集約した Jump アカウントを利用している環境において、マネジメントコンソールの IP アドレス制限を実現する方法を 2 つ紹介します。 IAM ユーザー/グループを一つのアカウントに集約する Jump アカウント(別名、踏み台アカウント)を利用している環境において、AWS の利用を送信元 IP アドレスにより制限する方法を 2 つ紹介します。 Jump アカウントとは、複数の AWS アカウントを運用している場合において、ユーザー管理の効率化のために IAM ユーザー/グループを集約したアカウントです。AWS Single Sign-On を利用するための条件である AWS Organizations を利用していない環境でも構築することができます。 https://d0.awsstatic.com/events/jp/2017/
AWS KMS S3バケットをSSE-KMSで暗号化しファイルのアップロード・ダウンロードするときにKMSへ必要なIAMポリシーを確認してみた | DevelopersIO
AWS KMS S3バケットをSSE-KMSで暗号化しファイルのアップロード・ダウンロードするときにKMSへ必要なIAMポリシーを確認してみた SSE-KMS暗号化したS3バケットに対してファイルのアップロード、ダウンロードに必要なIAMポリシーを考えていました。S3バケットへの操作権限と、KMSのキーポリシーがデフォルトの場合はSSE-KMS暗号化したS3バケットの場合はKMSへの操作権限も必要です。KMSに必要なIAMポリシーについて失敗した例を元にKMSのIAMポリシーに着目した覚書です。 書き残したかったこと ファイルのアップロードは暗号化するためにkms:Decryptと、kms:GenerateDataKeyの2つ許可が必要です。 ファイルのダウンロードは復号するためにkms:Decryptの許可が必要です。 IAMポリシーサンプル { "Version": "2012-10-
【SAP試験対策】IAMの勉強であやふやな理解だったポイントをしっかり整理する | DevelopersIO
AWS認定のSolution Architect Professional試験用に、AWS IAMに関連したキーポイントを断片的にまとめました。 「SAPの試験問題って、大学センター試験の国語に似てね?」 UdemyにあるAWS認定のSAP模擬試験を4本こなした結果、問題の傾向として気づいたことです。どう考えても絞りきれない選択肢が2つ3つあるんですよね〜。 私は受験教科の中で国語が一番苦手でだったので、塾の先生から「問題文に書いてあることに沿って、合っているものではなく、間違ってないものを選べ」と、しょっちゅう教えられていたことを思い出しました。SAPの試験でも同じように「問題の要件と関係ない用語が含まれている選択肢をまず消去し、選択肢が2つ残ってしまったら、問題文に書いてあることに沿った、間違っていない選択肢を選ぶ」ことが大事だなと感じています。 さて、「間違っていないかどうか」を判断
最低権限のIAMユーザーでQuickSightに自己プロビジョニングしてみた | DevelopersIO
いわさです。 QuickSightユーザーは、QuickSight管理画面から招待する以外にも、マネジメントコンソールからQuickSightにアクセスすることで自己プロビジョニングという形で作成することが可能です。 QuickSightユーザーは管理者、作成者、閲覧者の3つのロールがあり、自己プロビジョニングするIAMユーザーの権限によって付与されるロールが決まります。 今回はプロビジョニング権限のみで何が出来るのか、そして、ユーザーの手順の流れを確認したかったので権限のないユーザーも含めて一通りの権限ユーザーで自己プロビジョニングを試してみました。 IAMユーザー作成 4つのIAMユーザーを作成しました。 そえぞれの権限は以下です。 管理者作成権限のみ quick-admin { "Version": "2012-10-17", "Statement": [ { "Effect": "
IAM ロールの PassRole と AssumeRole をもう二度と忘れないために絵を描いてみた | DevelopersIO
コンバンハ、千葉(幸)です。 皆さんは、 PassRole と AssumeRole についてきちんと理解ができていますか?どちらも IAM ロールに関するものですね。 私はカラダ(ボディ)の調子がいい時は思い出せるのですが、雨が降っている日や、ちょっと疲れて気を抜いた時にはすぐ分からなくなってしまいます。 ということで、イメージとして脳に刻み付けることによって忘れられなくしてやろうと思いました。 そこで出来上がったのが以下です。 間違えました。以下です。 あ、でもやっぱり忘れづらいのはこちらかもしれませんね。 どうですか?もう忘れられなくなりましたね? 先にまとめ IAM ロールには以下ポリシーを設定できる アイデンティティベースポリシー Permissions boundary 信頼ポリシー AWS リソースに IAM ロールを引き渡す際には PassRole の権限が必要 PassR
Security-JAWS 第21回レポート #secjaws #secjaws21 #jawsug | DevelopersIO
Security JAWS 第21回のレポートです。AWS WAFの最新情報からIAMの最小権限、金融APIをAPI Gatewayで実現する話、そしてAzure SentinelでCloudTrailを分析する話でした。そして何でも答える質問コーナーです! こんにちは、臼田です。 Security JAWS 第21回が開催されましたのでレポート致します。 Security-JAWS 【第21回】 勉強会 2021年5月19日(水) - Security-JAWS | Doorkeeper 動画 レポート Session1: 「AWS エッジサービス入門ハンズオンの紹介とAWS WAFのアップデートについて」 アマゾン ウェブ サービス ジャパン株式会社 テクニカルソリューションアーキテクト 文珠 啓介さん 前半はAWSエッジサービス入門ハンズオンの紹介 後半はAWS WAFのアップデート
[レポート] NET318: VPCを保護するためのベストプラクティス #reinvent | DevelopersIO
こんにちは、佐伯です。 すでに日本に帰ってきていますが、去年もレポートした「Best Practices for Securing an Amazon VPC」の資料がSlideShareにアップロードされていましたので、読んでみました!なお、今年もワークショップ形式だったようですので、ハンズオン部分については省略しております。 スライド [slideshare id=124110014&doc=best-practices-for-securing-an-45fdc54b-3531-41af-8086-4b4b19668203-980042629-181127005631] 概要 このインタラクティブなワークショップでは、安全なAmazon仮想プライベートクラウド(Amazon VPC)の設計と構築に関する実践的なアドバイスとガイダンスを提供します。 ハンズオンアプローチを使用して、サブ
![[レポート] NET318: VPCを保護するためのベストプラクティス #reinvent | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/69d5e5df38c6d27d133baa3f894a2379a68db070/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2018%2F11%2Feyecatch_reinvent-2018-city_1200x630.jpeg)
【AWSにおけるセキュリティ】冗長バーチャルMFA | DevelopersIO
よく訓練されたアップル信者、都元です。さっきはヤられました…。早速ボスに「同じネタの記事書いちゃったんですよーww」という話をしたら、想像通りのドヤ顔を頂きました。ごちそうさまでした。 さて、マジで悔しいので再びMFAネタ。 MFAを滅失した場合 前のエントリで説明した通り、アカウントのセキュリティ向上にはMFAが有効です。特にルートアカウント(非IAMアカウント)はアカウントの解約までできてしまう、最も強い権限を持っていますので、是非ともMFAを活用したいところです。 しかし、MFAというのは基本的に個人に帰属してしまいがちなデバイスです。業務で利用するAWSアカウントについて、そのルートアカウントにMFAを設定した場合、そのMFAを持ち歩くのは、恐らくそのプロジェクトの責任者ということになります。 では、その責任者がMFAと共に、何らかの事故に巻き込まれてしまった場合、どうなるでしょう
【Tips】Admin権限を持っていないIAMユーザでIAM Roleを設定するためのポリシー設定 | DevelopersIO
地味サービス大好き、森永です。 7/7は弊社の創立記念日ということで、地味なネタ無いかなぁと考えていて思いつきました。 今日は物凄い数ブログが出ると思うので埋もれるとは思いますが、必要な人は絶対にいると思い筆を執ります。 序説 AWSでの権限管理と言えばIAM(Identity and Access Management)です。 誰にでもAdmin権限を渡していてはセキュリティ的に怖いですから、権限の調整が必要ですが、そこでハマるポイントを自分の備忘としてまとめておきます。 問題 AWSにはPowerUserというポリシーも用意されているのですが、Adminとの違いは「IAMの操作が出来るか」だけです。 こちらがAdminポリシーです。 全てのアクション、全てのリソースに対する操作が許可されています。 { "Version": "2012-10-17", "Statement": [ {
AWSサービスに渡すIAMロールを制限する | DevelopersIO
EC2インスタンスやLambda関数にはIAMロールをアタッチすることができます。 ゆるいIAMポリシーを採用していると、STS 可能な任意のIAMロールを利用できてしまいます。 この問題を解決するために、IAMロールとロールを利用するAWSサービスのペアを制限する方法を紹介します。 AWSサービスに渡すIAMロールを制限する 例えば、EC2 インスタンスに特定のIAMロールのみアタッチ出来るようにするには、次のように定義します。 { "Version": "2012-10-17", "Statement": [ { "Sid": "IAMPassRoleForEC2", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::12345:role/EC2Role", "Condition": {
Amazon QuickSight へのアクセスをアクセス元で制限する場合の対応方法 | DevelopersIO
困っていた内容 Amazon QuickSight を使用したデータの可視化を検討しています。扱うデータに機密情報が含まれるためアクセスを制限したいと考えていますが、どのような手段が可能でしょうか。 どう対応すればいいの? Amazon QuickSight へのアクセスに関して Amazon QuickSight 側でアクセス元を制限する機能はありません。ただし、他の機能と組み合わせることで実質的に制限をかけることが可能です。 1. Amazon QuickSight へのログインにシングルサインオンを設定する Amazon QuickSight へのログインにシングルサインオンを設定 [1] することで、ユーザーは設定された ID プロバイダーを介して Amazon QuickSight にサインインする必要があります。 そのため、例えば当該 ID プロバイダーへのログインを社内ネット
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
