パスキーがAWS IAMの多要素認証として利用可能にAmazon Web Services(AWS)は、パスキーがAWS Identity and Access Management (AWS IAM)の多要素認証として利用可能になったことを発表しました。
[AWS CDK] ALBとCognitoを使ってOktaをIdPとするSAML認証をしてみた | DevelopersIO
サクッとSAML認証を実装したい こんにちは、のんピ(@non____97)です。 皆さんサクッとSAML認証を実装したいなと思ったことはありますか? 私はあります。 自分でSAML認証のService Provider(SP)側の処理を実装するのは大変です。そのような場合はALBとCognitoを使うと簡単に行えます。 ということで実際にやってみました。今回はIdPとしてOktaを使用します。 「SAML認証ってなんやねん」や「OktaのSAMLアプリってどうやって作成すればいいんだ」、「CognitoでSAML認証ってどうやって行えばいいんだ」という方は以下ドキュメントをご覧ください。 初心者向けSAMLガイド SAMLアプリ統合を作成する | Okta ユーザープールへの SAML ID プロバイダーの追加 - Amazon Cognito また、せっかくなので以下アップデートで可能
![[AWS CDK] ALBとCognitoを使ってOktaをIdPとするSAML認証をしてみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/01997881325332bcbeca491a7a712a5024e39095/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2023%2F08%2Famazon-cognito.png)
AWS IAM アイデンティティセンターが効率化された AWS アクセスポータルとショートカットリンクを提供開始
AWS IAM アイデンティティセンターのユーザーは、効率化された AWS アクセスポータルと時間の節約になるショートカットリンクを利用して、AWS マネジメントコンソールのアクセスしたい場所に権限の範囲内で直接移動できるようになりました。 AWS アクセスポータルが強化されたことで、アプリケーション、アカウント、および権限セットがより使いやすく、また見つけやすくなりました。認証されたユーザーはショートカットリンクを使用すると、特定のアカウントにおいて、そのユーザーにすでに割り当てられている特定の権限セットを使用して、S3 バケットの詳細ページなど、AWS マネジメントコンソールのアクセスしたい場所に移動できます。これにより、ページ間を移動しなくても、アクセスしたい場所に直接移動できるようになります。ユーザーは、ショートカットリンクをブラウザのブックマークまたはチームの wiki ページに
CloudFrontを通過する特定のパスのみにBasic認証を設定してみた | DevelopersIO
こんにちは、AWS事業本部の荒平(@0Air)です。 特定のパスのみにBasic認証を設定したいという相談をいただきました。 以下の記事をベースに設定できますが、コンソール画面の表示が改修の度に変わるため、主にAWS CLIを利用して最初から確認してみます。 CloudFront Functions(関数)の作成 ディストリビューションを作成する前に、CloudFront Functionsの関数を作成します。 CloudShellにて、以下のコマンドを使用します。ID/Passwordは適宜読み替えてください。 echo -n "classmethod:P@ssw0rd" | base64 出力された文字列を利用します(ここでは、Y2xhc3NtZXRob2Q6UEBzc3cwcmQ=) 以下のコードを、任意のファイル名で保存します。(ここでは、basic-auth.js) 6行目のBa
Amazon Cognito が SAML フェデレーション用の署名、暗号化、および ID プロバイダー開始 SSO を追加
Amazon Cognito では、フェデレーション用に SAML 標準を使用するお客様向けに 3 つの機能を追加しました。お客様は Amazon Cognito ユーザープールを使用して署名付き SAML 認証リクエストを送信したり、SAML ID プロバイダーからの暗号化された応答を要求したり、SAML フェデレーションに ID プロバイダー開始シングルサインオン (SSO) を使用したりできます。 リクエストの署名と暗号化により、Amazon Cognito とサードパーティの SAML ID プロバイダー間の通信に新たな保護レイヤーが追加されます。また、ID プロバイダー開始 SSO を使用すると、アプリケーションビルダーは、すでに SAML ID プロバイダーにサインインしているユーザーからの SAML アサーションを受け入れるように Amazon Cognito ユーザープール
AWS IAM Identity Center から踏み台アカウント経由で AWS Organizations 管理外アカウントにスイッチロールしてみる | DevelopersIO
AWS IAM Identity Center から踏み台アカウント経由で AWS Organizations 管理外アカウントにスイッチロールしてみる AWS IAM Identity Center では、AWS Organizations 管理外の AWS アカウントもアプリケーションとして追加してアクセスできます。便利な機能なのですが、アクセス先アカウントに ID プロバイダーも作成する必要があるなど設定は少し手間です。そこで、一度 AWS Organizations 管理下のアカウントにアクセスしてから、AWS Organizations 管理外のアカウントにスイッチロールする構成を試してみました。 本ブログで試してみた構成図です。踏み台アカウントという名前は本ブログ上での名称です。 なお、AWS IAM Identity Center から AWS Organizations 管
Amazon MQ でクライアント証明書による認証がサポートされているかどうかを教えてください | DevelopersIO
困っていた内容 Amazon MQ を使用するプロジェクトにおいてクライアント証明書による認証を実装したいのですが、クライアント証明書による認証がサポートされているかどうかを教えてください。 どう対応すればいいの? 本記事執筆時点では Amazon MQ でのクライアント証明書による認証はサポートされていません。 Currently, Amazon MQ doesn't support Client Certificate Authentication. AWS 公式ドキュメントより **注:**Amazon MQ は現在、相互 Transport Layer Security (TLS) (TLS) 認証をサポートしていません。 AWS ナレッジセンターより 現状の認証方式については上記のドキュメントなどをご確認ください。 また、今後のサポート状況についてはリリースノートもご確認ください
AWS IAM Identity Center のアカウントインスタンスでも外部 IdP からのシングルサインオンを構成出来るのか試してみた | DevelopersIO
AWS IAM Identity Center のアカウントインスタンスでも外部 IdP からのシングルサインオンを構成出来るのか試してみた いわさです。 数ヶ月前のアップデートで IAM Identity Center が Organizations 管理アカウント以外のメンバーアカウントから有効化出来るようになりました。 この機能で有効化された環境はアカウントインスタンスと呼ばれ、IAM Identity Center から連携出来るアプリケーションが限定されています。 通常の IAM Identity Center 組織インスタンスとは少し使い勝手が違うわけですが、IAM Identity Center の機能のひとつに外部 IdP との連携機能があります。 よく考えたらこちらは制限はないのでしょうか。もしかしたら Identity Center ディレクトリのみしか使えないという可
1Passwordの指紋認証でaws cliが使える!1Password Shell Pluginsがすごい! | DevelopersIO
以下のGIFを見てください! クレデンシャルを利用したaws cliを実行が、指紋認証だけで実現できています!このcli実行は、MFAを設定したIAM UserからIAM Roleにassume roleし、実行されています。 実現には以下の1Password Shell Pluginsを使っています。 設定してみる 公式ドキュメントに従って設定します。 注意点! MFAのワンタイムパスワードを1Passwordに設定する際に、属性名がOne-Time Passwordじゃないとプラグインが動作しません。 日本語設定しているとワンタイムパスワードという名前で作成されてしまう場合があるようです。One-Time Passwordにリネームしましょう。 感想 最高かよ。 MFAトークンの入力でいままでトータル2億年くらい時間ロスしていましたが、それが指紋認証でスッと完了します!爽快です! 余談
AWS IAM の信頼関係のプリンシパルに AWS アカウントを指定した際に作成や更新ができない場合の対処 | DevelopersIO
こんにちは、CX 事業本部製造ビジネステクノロジー部の若槻です。 AWS IAM のロールやポリシーでは、信頼関係のプリンシパルに AWS アカウントを指定することができます。これにより AWS アカウントによるアクセス制御を行うことができます。 AWS アカウント プリンシパル - AWS JSON ポリシーの要素: Principal - AWS Identity and Access Management 今回は、この IAM ロールやポリシーの信頼関係のプリンシパルに AWS アカウントを指定した際にエラーが発生する場合の対処について確認をしました。 事象 IAM ロールの作成時 マネジメントコンソールから IAM ロールを作成しようとすると、以下のようにエラーが発生します。 Failed to create role test-20240115-role. Invalid pri
Amazon Cognito ユーザープールがアクセストークンのカスタマイズ機能のサポートを開始
Amazon Cognito ユーザープールが、OAuth 2.0 のスコープとクレームの形式のカスタム属性を使用してアクセストークンを強化する機能をサポートするようになりました。アクセストークンでカスタム属性を使用すると、アプリケーション固有の高度な承認に関する決定を行うことができます。この機能を使用して、エンドユーザーエクスペリエンスをパーソナライズし、カスタマーエンゲージメントを向上させることもできます。 Amazon Cognito は、ウェブアプリケーションやモバイルアプリケーションに、認証、認可、ユーザー管理の機能を簡単に追加できるサービスです。Amazon Cognito は、数百万人のユーザーを持つアプリケーションに認証機能を提供するほか、SAML 2.0 や OpenID Connect などの規格を利用して、Apple、Facebook、Google、Amazon など
AWS ELB Application Load Balancer にTLSクライアント認証(mTLS)のパススルーを構成する | DevelopersIO
ども、大瀧です。 re:Inventがまだ始まっていないのにALBがmTLSをサポートする大型のアップデートが来ました。本ブログではパススルー構成をLambdaターゲットグループで試してみた様子をご紹介します。 設定方法 設定は非常にシンプルです。ALB作成ウィザードのHTTPSリスナー選択時に表示されるセキュアリスナーの設定に「クライアント証明書の処理」という項目が増えているので、「相互認証(mTLS)」のチェックをオンにすればOKです。 ALBのmTLS対応には二つの動作モード、「パススルー」と「トラストストアで検証」があります。「パススルー」はALBでクライアント証明書の検証はせず、転送するリクエストヘッダにクライアント証明書を付与してバックエンドターゲットでの検証を期待する動作、「トラストストアで検証」は ALB自身でクライアント証明書を評価する動作です。「トラストストアで検証」を
[アップデート] AWS IAM Identity Center がメンバーアカウント個別の環境が作成出来るようになったので、作成して対応アプリケーションなどを調べてみた | DevelopersIO
[アップデート] AWS IAM Identity Center がメンバーアカウント個別の環境が作成出来るようになったので、作成して対応アプリケーションなどを調べてみた いわさです。 昨日、次のアップデートがアナウンスされていました。 ざっくりいうと、これまではアプリケーションで IAM Identity Center を認証基盤に使いたい場合に、IAM Identity Center の前提条件となる AWS Organizations が必要でした。 IAM Identity Center の機能の中にマルチアカウント管理機能が備わっているために、おそらく前提条件として AWS Organizations が必須という背景なのだと思いますが、単純に IAM Identity Center を IdP としてアプリケーションと連携させたいだけの場合に AWS Organizations
【AWS - IAM】DescribeInstancesアクションを特定のリソースに対して設定する - Qiita
やったこと AWSのIAMでEC2のDescribeInstancesアクションを特定のリソースに対して設定した。 "Action": "ec2:DescribeInstances", "Resource": "arn:aws:ec2:xxxxxx:xxxxx:*" エラー内容 This policy defines some actions, resources, or conditions that do not provide permissions. To grant access, policies must have an action that has an applicable resource or condition. 原因 DescribeInstancesは特定のリソースに対してのみ実行するということができない。 解決法 全てのリソースを指定する。
AWSumeを使ってAWS CLIをIAM Identity Center(SSO)で認証する | DevelopersIO
AWSumeでSSO認証すると幸せになれました。現状必ずエラーを経由するような挙動をするので、AWSumeの「credential_process」対応に期待です。 みなさん、こんにちは。 明るい笑顔がトレードマーク、ルイボスティーが大好きな芦沢(@ashi_ssan)です。 IAM Identity CenterのSSO認証を使ってローカル環境でAWS CLIを実行したいな〜〜 と思ったこと、誰しもありますよね? 以下ブログのようにSSO認証でAWS CLIを実行する方法はあります。 ただ、この方法だと以下のようなCLIコマンド実行時に--profile YOUR_AWS_ACCOUNTのように毎回アカウントのプロファイルを指定しなければならず、私は大変手間に感じます。 > aws s3 ls --profile YOUR_AWS_ACCOUNT SSOを使わない環境では、AWS CLI
AWS Cognitoを使用したSSO実装 - Qiita
業務でSSO開発を行ったので、備忘録。 対象者 Cognitoを使用してSSO連携したい人 SAML認証を使用してSSO連携したい人 IdPを簡潔に設定してSSO連携の動きを知りたい人 SSOとは Single Sign-Onの略で、ユーザーが複数のサービスに一度のログインでアクセスできるようにする技術です。これにより、ユーザーエクスペリエンスが向上し、パスワード管理のオーバーヘッドも削減されます。 SAMLとは Security Assertion Markup Languageの略で、SSOのためのXMLベースのオープンスタンダードです。SAMLは、異なるドメイン間での認証と承認データの交換を可能にします。 AWS Cognitoとは Amazon Web Services (AWS) が提供する認証・認可サービスです。Cognitoを使用すると、Webアプリケーションやモバイルアプリ
[アップデート]IAMのアクセスアドバイザーでは、140以上のAWSサービスを対象に、アクションレベルで「最終アクセス日時」が確認できるようになりました | DevelopersIO
はじめに AWS IAMのアクセスアドバイザーでアクションレベルでの「最終アクセス日時」が確認できるサービス数は、140以上に増えました。 IAMのアクセスアドバイザーとは、IAMエンティティ(ユーザー、ロール、グループなど)が、AWSサービスごとの最終アクセス日時や、アクセス可能なAWSサービスを確認できる機能です。 従来は、IAMやLambda、S3、EC2などの一部のAWSサービス数のみ、アクションレベルで「最終アクセス日時」が確認できていました。 以前も以下の記事のようにアップデートがありました。 今回のアップデートでは、140以上のAWSサービスを対象に、アクションレベルで「最終アクセス日時」が確認できるようになりました。 これによって、IAMロールに指定された権限が実際に必要かどうかを判断し、不必要な権限を削除することで、IAMのベストプラクティスである「最小権限の原則」の実現
フィッシングによる AWS ログインの MFA 認証の回避と事例 - blog of morioka12
1. 始めに こんにちは、morioka12 です。 本稿では、AWS マネジメントコンソールに焦点を当てたフィッシングによる MFA (Multi-Factor Authentication) 認証の回避や事例、セキュリティ対策について紹介します。 1. 始めに 免責事項 想定読者 2. AWS マネジメントコンソール MFA (Multi-Factor Authentication) 3. フィッシング (Phishing) MITRE ATT&CK 4. フィッシングによる AWS ログインの仮想 MFA デバイス認証の回避 5. フィッシングによる AWS ログインの SSO 認証の回避 6. AWS ログインをターゲットにしたフィッシングの事例 事例1 (Google 検索) 事例2 (メール) 事例3 (メール) 7. その他 Web アプリケーションにおける MFA 認証の回
IAM Identity Center のロールで発行される一時認証情報をaws-sso-go 経由で 1Password に入れて利用する - 継続は力なり
タダです. 以前の記事で 1Passowrd Shell Plugin を使って IAM アクセスキーとシークレットアクセスキーを保存して AWS CLI を使うのをやってみました.この記事では IAM Identicy Center(旧 AWS SSO) のロールで発行される一時認証情報を 1Password に入れたり更新ができたらローカルにクレデンシャルを残さずに使えてセキュアになるため,その検証を行ったのをまとめていきます. sadayoshi-tada.hatenablog.com IAM Identity Center のロールで発行される一時認証情報を保管する 保管したクレデンシャルを使って AWS CLI を実行する まとめ IAM Identity Center のロールで発行される一時認証情報を保管する IAM Identity Center と 1Password の
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
[AWS IAM Identity Center] SSO環境下でAWS CodeCommitの認証を行う - Qiita![[AWS IAM Identity Center] SSO環境下でAWS CodeCommitの認証を行う - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/65f74f467618441936cd7edee723c98122f91e16/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-9f5428127621718a910c8b63951390ad.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTkxNiZoPTMzNiZ0eHQ9JTVCQVdTJTIwSUFNJTIwSWRlbnRpdHklMjBDZW50ZXIlNUQlMjBTU08lRTclOTIlQjAlRTUlQTIlODMlRTQlQjglOEIlRTMlODElQTdBV1MlMjBDb2RlQ29tbWl0JUUzJTgxJUFFJUU4JUFBJThEJUU4JUE4JUJDJUUzJTgyJTkyJUU4JUExJThDJUUzJTgxJTg2JnR4dC1jb2xvcj0lMjMyMTIxMjEmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9NTYmdHh0LWNsaXA9ZWxsaXBzaXMmdHh0LWFsaWduPWxlZnQlMkN0b3Amcz1kOWI1OGY3MzBiOTMzYjc2MTllMjBmZDliOTdkNWRhNw%26mark-x%3D142%26mark-y%3D112%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTcxNiZ0eHQ9JTQwdGthcHUmdHh0LWNvbG9yPSUyMzIxMjEyMSZ0eHQtZm9udD1IaXJhZ2lubyUyMFNhbnMlMjBXNiZ0eHQtc2l6ZT0zMiZ0eHQtYWxpZ249bGVmdCUyQ3RvcCZzPTdlZTRmOTQ5YjUwOTM1MjkwNzkxMmIxMjdlMjAyZWE2%26blend-x%3D142%26blend-y%3D491%26blend-mode%3Dnormal%26s%3D74bd92d30db9410cca4c1b27c6268b72)
