AWS IAM アイデンティティセンターで、AWS コマンドラインインターフェイス (AWS CLI) と SDK 向けのセション管理機能をサポート
本日より、AWS IAM アイデンティティセンター (AWS Single Sign-On の後継サービス) のお客様は、AWS コマンドラインインターフェイス (AWS CLI) セッションと SDK セッションのセッション時間 (15 分から 7 日) を管理できるようになりました。今回のリリースにより、IAM アイデンティティセンターで組織のアクセスポータルのセッション時間を設定すると、アプリケーションとコンソールのセッションだけでなく、AWS CLI と SDK のセッションにもそのセッション時間が適用されます。 今回のリリースより前は、AWS CLI と SDK のセッションの制限は 8 時間でした。長いセッション時間を設定できるようになったため、再認証を行わなくてもジョブを長時間実行したり、長時間実行しているジョブが突然終了するのを防いだりすることができます。また、組織のセキュ
Serverless×Terraformモジュール設計のベストプラクティスの検討~IoTデータ収集基盤の例~ | DevelopersIO
以下公式ドキュメントから画像を引用します。モジュールごとの詳細については公式をご確認ください。 引用元: Module Creation - Recommended Pattern | Terraform - HashiCorp Learn 変更頻度や役割に応じてモジュールを分けることが明文化されています。 基本的には上記の方針に乗っ取って開発することで、リスクが少なく、スムーズに開発を進められると思います。 問題点 従来通りのWebアプリケーションの設計なら上記の設計で、後はモジュール内をVPC、RDSなどの単位で分割しても問題ないと思います。 しかし、Serverlessアプリケーション開発の場合はサービス間の結合が分かりづらくなる問題があるかと考えます。例えば以下のようにIAM、IoT Core、Lambda、S3をそれぞれ別のモジュールに分割して構築するとします。 上記の構築の場合
Announcing new AWS IAM Identity Center (successor to AWS SSO) APIs to manage users and groups at scale
AWS is launching additional APIs to create, read, update and delete users and groups in AWS IAM Identity Center (successor to AWS Single Sign-On). The new APIs expand existing capabilities to help reduce administrative effort and save time, and provide greater visibility into the users and groups that are available in IAM Identity Center. You can use the APIs for provisioning, de-provisioning or u
はじめに SORACOM Funkが2019年7月にリリースされてから、ちゃんと試せていなかったので試してみて記事を書きました。色々な使い方が考えられますが、今回はよくあるユースケースの割に意外と大変な「自回線の通信量を取得する」ことを目標にします。 SORACOM Funkを使う構成のメリット SORACOMでは各回線の通信量がコンソール上から簡単に見え、さらにAPIでより詳細に取得できるのですが、デバイスから自回線の通信量を取得しようとすると結構大変です。 SORACOMにはSORACOM Air メタデータサービスという便利な機能があり、SIMにつけた名前やタグなど自回線に関わる情報は、 http://metadata.soracom.io/v1/subscriber というURLにアクセスすると、認証情報なしで取得できます。そのため、デバイスに認証情報を持たせる必要がありません。こ
The Next Evolution in AWS Single Sign-On | Amazon Web Services
AWS News Blog The Next Evolution in AWS Single Sign-On Update Mar 15, 2023 – AWS Single Sign-On is now AWS IAM Identity Center. Update Feb 23, 2021 – For the latest information on how to set up Azure AD with AWS SSO for automatic provisioning please see our documentation here. Efficiently managing user identities at scale requires new solutions that connect the multiple identity sources that many
管理ポリシーの差分を出力する AWS CLI エイリアス aws diff を作ってみた | DevelopersIO
コンバンハ、千葉(幸)です。 管理ポリシー、特に AWS 管理ポリシーの変更差分を確認したい機会がたまにあります。 マネジメントコンソール上で差分表示するような機能があれば便利なのですが、現時点では実装されていません。 ないなら AWS CLI でやってみるか、ということでエイリアスを組んでみました。 管理ポリシーの差分を表示するエイリアス 以下のエイリアスを設定しました。 ~/.aws/cli/alias [toplevel] diff = !f() { VERSION=$(aws iam get-policy --policy-arn $1 --query 'Policy.DefaultVersionId' --output text | tr -d "v") BEFORE_VERSION=$((VERSION-1)) BEFORE_RESULT=$(aws iam get-polic
こんにちは、永続的なクレデンシャルを使いたくない上野です。 自分のPCでAWS関連の開発をしたい場合、みなさんどうしていますでしょうか? AWS SSOを使用すると、次のように簡単に一時的なクレデンシャルを発行できます。 (デフォルトでは1時間で有効期限切れとなります。) 私もこの機能がめちゃくちゃ好きでよく使うのですが、AWS SSOを使う場合はAWS Organizationsの使用が前提となります。AWS Organizationsが使用できない場合や、Organizations経由で発行されたアカウントのみを使用する場合、AWS SSOは使用できません。 ということで、AWS SSOを使用しないで、一時的なクレデンシャルを使用する1つの方法を紹介します。 ※もっと良いやり方を知っている方がいれば教えていただきたいです! 実装する構成 IAMユーザーとIAMロールを使用します。IAM
Baking Windows with Packer By Justin Phelps and Manuel Correa Customizing Windows images at Netflix was a manual, error-prone, and time consuming process. In this blog post, we describe how we improved the methodology, which technologies we leveraged, and how this has improved service deployment and consistency. Artisan Crafted ImagesIn the Netflix full cycle DevOps culture the team responsible fo
How to create IAM roles for deploying your AWS Serverless app | Serverless First
Getting IAM permissions right is one of the hardest parts about building serverless applications on AWS. Many official tutorials and blog posts cop out of giving you the full details on how to set up IAM, preferring something vague like “ensure you use least-privilege permissions when creating this role”. Or worse, they give you a wide open wildcard or admin-level example policy with a “don’t use
Security Hubのアラートを Microsoft Teams に通知する仕組みをCloudFormationテンプレート化 | DevelopersIO
はじめに Security Hubのアラートを Microsoft Teams に通知する仕組みを CloudFormation テンプレートで作成しました。 以前、Security Hub で検知した内容を Amazon EventBridge 経由で Microsoft Teams に通知する仕組みの構築方法を執筆しました。 今回は、通知する仕組みをCloudFormationテンプレートで構築できるようにしましたので、紹介します。 通知される画面は、以下の通りです。 個人的にEventBridge API送信先やEventBridge 接続をテンプレートで作成することがなかったので、勉強になりました。 構成図 構成は以下の通りです。 作成されるリソース CloudFormationで作成するリソースは、以下の通りです。 EventBridge API送信先 接続 ルール IAMロール
Fluent BitとFluentd Firelensで起動するログルーティングのコンテナは同じタスク内にサイドカーとして起動します。 軽量なコンテナの方が嬉しいのでFluent Bitを採用しました。 参考: Fluent Bit による集中コンテナロギング | Amazon Web Services ブログ 設定ファイル込みのイメージ作成 同じログ内容を合計3箇所の出力先へ送るシンプルなFluent Bitの設定を作るところからはじめます。Fluent Bitの設定次第で特定のログであればCloudWatch Logsへ、それ以外はS3バケットへ送信も可能です。Fluent Bitのドキュメントまで読みきれなかったので細かい設定は断念。 Fluent Bitの設定ファイル作成 各プラグインの設定はFluent Bitドキュメントを参考に出力先を設定しました。 S3へ直接する保存する場合
3時間弱でEKSに入門できるハンズオン、Introduction to Amazon EKSをやってみた #AWSSummit | DevelopersIO
3時間弱でEKSに入門できるハンズオン、Introduction to Amazon EKSをやってみた #AWSSummit 3時間ちょっとでAmazon EKS入門!ぜひ休日や隙間時間に触ってみてください。なんとなくKubernetes敷居高そう・・・と思って後回しにしていたKubernetes学習も本ハンズオンで短時間で概要をざっくり掴んで入門する事が出来ます。 どうも、もこ@札幌オフィスです。 現在開催中のAWS Summit Onlineで公開されている「Introduction to Amazon EKS」のハンズオンをやってみました。 なんとなくKubernetes敷居高そう・・・と思って後回しにしていたKubernetes学習も本ハンズオンで短時間で概要をざっくり掴んで入門する事が出来ます。 概要 アマゾン ウェブ サービス ジャパン株式会社 プロフェッショナルサービス本部
AWS CLIをAWS IAM Identity Center(SSO)で認証させるには? | DevelopersIO
AWS OrganizationsのAWS IAM Identity Center(旧AWS Single Sign-On;AWS SSO)を利用すると、Organizations配下のAWSアカウントにSSOできます。 本記事では、同機能をAWS CLIから利用する方法を紹介します。 AWS IAM Identity Centerの詳細は次のブログを参照ください。 なお、本記事ではAWS Identity Center directoryでユーザー管理しているものとします。 ポイント IAM Identity CenterにはAWS CLI v2が対応。v1は未対応 設定ファイルはAWS CLIだけでなくAWS SDK全般で流用可能 IAM Identity Centerはリージョナル・サービス IAM ユーザーのように永続的なアクセスキーは存在せず一時的な認証情報を利用 各アカウントへ
Many organizations have invested in a central data lake and a data team with the expectation to drive their business based on data. However, after a few initial quick wins, they notice that the central data team often becomes a bottleneck. The team cannot handle all the analytical questions of management and product owners quickly enough. This is a massive problem because making timely data-driven
大阪オフィスの川原です。 社内勉強会で AWS Security Hub の話をしました。 内容をブログにまとめます。 目次 とりあえず始めてみよう Security Hub とは? セキュリティ標準 検出結果, ASFF ASFF属性ピックアップ Tips スライド 参考 とりあえず始めてみよう Security Hub の細かい説明をする前に、 とりあえず有効化して AWS環境のセキュリティチェックを始めてみましょう。 まず、Security Hub を有効化するリージョンの AWS Config を事前に有効化 します。 Security Hub の画面に行きましょう。 ここから 数クリックで始めることができます。 ※ セキュリティ標準「AWS基礎セキュリティのベストプラクティス」 は AWSの基本的なサービスをカバーできるためオススメです 有効化したらしばらく待ちましょう。 全体ス
![[入門]社内勉強会で AWS Security Hubの話をしました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/dbe3f406587b5b6a944b210452de92d974859a3f/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Faws-security-hub.png)
AWS アップデートの予兆ないかな? 直近で更新された AWS サービス用 IAM ポリシーを一覧取得したのち変更差分を眺めてニヤニヤしてみた | DevelopersIO
以下を実行することで、特定のポリシーの前後の内容が変数に格納されます。 INDEX=3 ARN=`echo $RESULT | jq -r '.['$INDEX'].value.arn'` VER=`echo $RESULT | jq -r '.['$INDEX'].value.version' | tr -d "v"` BEFORE=`aws iam get-policy-version --policy-arn $ARN --version-id v$((VER-1)) --query PolicyVersion.Document` AFTER=`aws iam get-policy-version --policy-arn $ARN --version-id v$VER --query PolicyVersion.Document` ここでは以下の AWS コマンドを使用しています。
ECS Execの有効化が原因でECSタスクがPROVISIONING状態から遷移しなくなった話 | DevelopersIO
CX事業本部@大阪の岩田です。 先日ある環境でECSのタスクがPROVISIONING状態のまま固まって(PENDINGではないのがポイントです!)起動できなくなるという問題が発生しました。※正確にいうとPROVISIONING状態で30分程度固まる→STOPPEDに遷移→新しいタスクがPROVISIONINGされ再度30分程度固まり...という状況です。 最初はNATゲートウェイ周りの設定漏れやECRのVPCエンドポイント設定漏れに起因したよくある問題かと思っていたのですが、色々調査しても一向に原因が分かりませんでした。最終的にECS Execの有効化が原因だったことが分かったので、同じ事象でハマる人が出ないように改めてブログにまとめてみました。 結論 先に結論ですがECS Execを有効化したECSサービスでAuto Scaling グループキャパシティープロバイダーを利用するとタスク
AWS 認定 SysOps アドミニストレーター – アソシエイト(AWS Certified SysOps Administrator – Associate)の学習方法(新試験SOA-C02対策追記) - NRIネットコムBlog
小西秀和です。 この記事は「AWS認定全冠を維持し続ける理由と全取得までの学習方法・資格の難易度まとめ」で説明した学習方法を「AWS 認定 SysOps アドミニストレーター – アソシエイト(AWS Certified SysOps Administrator – Associate)」に特化した形で紹介するものです。 重複する内容については省略していますので、併せて元記事も御覧ください。 また、現在投稿済の各AWS認定に特化した記事へのリンクを以下に掲載しましたので興味のあるAWS認定があれば読んでみてください。 ALL Networking Security Database Analytics ML SAP on AWS Alexa DevOps Developer SysOps SA Pro SA Associate Cloud Practitioner 「AWS 認定 SysO
[S3 Access Points]S3バケットのアクセスポイントを作成しセキュリティレベルを分ける #reinvent | DevelopersIO
コンニチハ、千葉です。 S3 Access Pointsを利用すると、S3バケットに対しアクセスポイントを作成し、IAMポリシーを書くことができます。 丁度VPCエンドポイントのポリシーのように、アクセスポイント経由で記載したIAMポリシーが評価され適用されます。 例えば、以下のユースケースを考えます。 セキュリティレベル1のアクセスポイント: /level1/*への読込みアクセスはインターネット経由でのアクセス セキュリティレベル2のアクセスポイント: /level2/*への読書きアクセスはVPCかつ特定のIPアドレスから許可 このように、キーに対してアクセスレベルを分けることができます。セキュリティレベル1とセキュリティレベル2を使い分け、S3上のデータにセキュアにアクセスします。セキュリティレベルを分けることでさまざまなリスクに柔軟に対応できます。 やってみる 設定 今回は、以下のよ
![[S3 Access Points]S3バケットのアクセスポイントを作成しセキュリティレベルを分ける #reinvent | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/6ba8beebcc37b25dc7ff579a4dfe66d94571b792/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F12%2Freinvent2019_eyecatch.jpg)
中山です 今日は、twitterで見かけたIaSQLなるサービスを試したので紹介してみたいと思います。 IaSQLとは IaSQLとは、インフラの状態をPostgreSQLで管理管理できるSaaSです。 IaSQL Why IaSQL メリットとしては以下の3点が挙げられていました。 Import existing cloud infrastructure Connect an AWS account to a hosted IaSQL DB to automatically backfill the database with your existing cloud resources. No need to redefine or reconcile existing infrastructure. The definitive state of your cloud IaSQL's
こんにちは。 サービスGの金谷です。 これまでIAMの設定を自分でやることがあまりなく、スイッチロールで何が起きているのか全然理解できていなかったのでまとめようと思います。 まず大前提 AWSアカウント≠ IAMユーザー です。 当然といえば当然なのですが別物です。 ざっくり説明するとAWSアカウントの中にIAMユーザーがいるといった形で、AWSアカウント=ルートユーザーのようなイメージです。 私個人の経験としてはプライベートでAWSを学び触り始めたばかりのときは IAMを何も設定せずに他のサービスを触ったりしていましたが、通常は使用するべきではないです。 ちゃんとIAMユーザーを作成してそちらで作業するようにしましょう。 スイッチロールとは 名前の通りIAMロールを切り替える機能です。 アカウントを跨いだロールの切り替えも可能です。(というかこちらをメインに使います) 上図ではスイッチ元
Amplify + Cognitoでユーザ登録画面とユーザ認証までを試してみた | DevelopersIO
Amplify + Cognitoで調べるとよく目にするオレンジ色のユーザ登録画面からCognitoへユーザ登録ってどうやってるのか気になったので手を動かしてみました。 今回取り扱う内容のWorkshopはこちらです。当記事で試した範囲は環境構築からはじめても1時間もあれば終わります。 ゴールはよく見かけるユーザ登録画面の作成し、Congitoのユーザ登録・認証を試したいだけです。初歩の初歩と思われる部分です。思いの外Amplifyでの認証情報の取り扱いでハマったのでブログに残しておきます。 できたこと Amplifyの環境構築 ユーザ登録画面の作成 ユーザ登録画面からCognitoにユーザ登録・認証 AMPLIFY SNS WORKSHOP Amplify SNS Workshopへようこそ!本ワークショップではTwitterライクなソーシャルメディアアプリケーションの開発を通して、実践
Amazon ECS でタスクの構成定義に使う task definition をリポジトリで管理する場合、JSON 形式で取り扱うことが多いと思います。 ECS デプロイツールである ecspresso でも、task definition は環境変数等を展開できる記法があるものの、基本的には JSON ファイルとして扱っています。 これは AWS コンソールで作成した task definition を aws describe-task-definition や ecspresso init コマンドでファイルとして取り出して利用することを前提としているためで、これを YAML や別の形式で扱うことは考えていません。 ところで、実際に ECS でそれなりのサービスを運用すると、task definition JSON の管理で悩むことが増えてきました。 JSON は人間が編集するのに
こんにちは、望月です。 最近、GitLabを触る機会が多く、いろいろと試しているところです。 GitLabからCodePipelineを利用したい場合、GitLab Runnerを利用し、S3にファイルをアップロードするといった方法があり、弊社ブログでも紹介しています。 GitLabリポジトリへのPushをトリガーにS3にファイルをアップロードする GitLab RunnerでCI/CDしてみる(前編) 今回、やったみた方法はGitLabリポジトリをCodeCommitリポジトリをミラーリングする方法になります。CodeCommitリポジトリにミラーリングできれば、それをソースにし、CodePipelineを走らせることができるかと思います。 こちらの方法はGitLab Runnerを必要としないため、GitLab Runnerを管理するといった手間がなくなります。 やってみた CodeC
[アップデート] CloudWatch Logs のロググループに2つのサブスクリプションフィルタを設定できるようになりました! | DevelopersIO
[アップデート] CloudWatch Logs のロググループに2つのサブスクリプションフィルタを設定できるようになりました! こんにちは。コンサル部@大阪オフィスのYui(@MayForBlue)です。 タイトルの通り、CloudWatch Logs のロググループに2つのサブスクリプションフィルタを設定できるようになりました〜!!! 公式アナウンスはこちら。 Amazon CloudWatch Logs now supports two subscription filters per log group 何が嬉しいのか CloudWatch Logs のサブスクリプションフィルタは、CloudWatch Logs に出力されたログをリアルタイムに検知して特定の文字列を含むデータや全データをKinesis データストリーム、Kinesis Data Firehose、Lambdaなど
![[アップデート] CloudWatch Logs のロググループに2つのサブスクリプションフィルタを設定できるようになりました! | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/2cd56545af48138769ce47d03f22d7baac20b923/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Famazon-cloudwatch.png)
aws-nukeとCodeシリーズを使って、AWSリソース一括削除ボタンのようなものを作ってみる | DevelopersIO
「aws-nukeを使って好きなタイミングでリソースクリーンアップしたい。だけど、毎回CLIでコマンド打つのが面倒」 aws-nukeというAWSリソースを一括削除できるCLIツールがあります。 aws-nukeは全てのAWSリソースを削除するだけではなく、柔軟に除外するリソースを設定することもできて、とても便利なツールです。 毎回ローカルでaws-nukeのコマンド打って実行してもいいのですが、AWSコンソールからボタン一つで実行できたらもっと便利かと思いました。 以前GithubActions + aws-nukeで似たようなことをやってみました。 今回はCodeシリーズとaws-nukeでやってみます。 CodePipelineの手動実行をトリガーにAWSリソースを一括削除する仕組みとなっています。 この記事で使用するコードは、以下のリポジトリにあります。 msato0731/rem
AWS 認定 ソリューションアーキテクト – アソシエイト(AWS Certified Solutions Architect – Associate)の学習方法 - NRIネットコムBlog
小西秀和です。 この記事は「AWS認定全冠を維持し続ける理由と全取得までの学習方法・資格の難易度まとめ」で説明した学習方法を「AWS 認定 ソリューションアーキテクト – アソシエイト(AWS Certified Solutions Architect – Associate)」に特化した形で紹介するものです。 重複する内容については省略していますので、併せて元記事も御覧ください。 また、現在投稿済の各AWS認定に特化した記事へのリンクを以下に掲載しましたので興味のあるAWS認定があれば読んでみてください。 ALL Networking Security Database Analytics ML SAP on AWS Alexa DevOps Developer SysOps SA Pro SA Associate Cloud Practitioner 「AWS 認定 ソリューションアー
Temporary elevated access management with IAM Identity Center | Amazon Web Services
AWS Security Blog Temporary elevated access management with IAM Identity Center AWS recommends using automation where possible to keep people away from systems—yet not every action can be automated in practice, and some operations might require access by human users. Depending on their scope and potential impact, some human operations might require special treatment. One such treatment is temporar
データアナリティクス事業本部のnkhrです。今回のブログでは、Data Lakeのアクセス管理やデータ管理を行うLake Formation機能を検証します。 Lake Formationを使うメリット Data Lakeアーキテクチャでデータ格納・加工・クエリを実施するためには、複数のAWSサービスを組み合わせる必要があります。 たとえば、Lake Formationを利用せずに、以下のようなAWSサービスを組み合わせる場合、IAM PolicyとBucket Policyを用いて、どのデータに対して誰がアクセスしてよいかを制御(データガバナンス)する必要があり、ポリシーの管理は複雑になります。 S3(データ格納) Gule Data Catalog (S3データのSchema定義) Glue Data Brew or Glue ETL(データ加工/ジョブ) Step Function
この記事は GLOBIS Advent Calendar 2019 - Qiita の9日目です。 7月に GLOBIS へ SRE として参画してから、集中的に取り組んできたことの1つである「AWSマルチアカウントの構成や運用効率化」に関して書いていきます。 AWS マルチアカウント構成について GLOBIS では AWS アカウントを環境ごとに分ける構成を取っています。各サービスにつき開発、ステージング、本番環境という形で 3 アカウントを設けており、現在その総数は 20 に届こうかというところです。私が参画し始めた後にもアカウントは増えています。 マルチアカウント構成はポピュラーな AWS アカウントの使い方だとは思いますが、 GLOBIS の場合以下のメリットを感じています。 GLOBIS はサービスごとに開発チームが分かれており、各チームへ的確に分割された AWS IAM 権限を
Anthropic Claudeで英訳したテキストをもとにStability AI Stable Diffusion XL(SDXL)で画像を生成するAmazon Bedrockの使用例 - NRIネットコムBlog
小西秀和です。 以前の記事でAmazon Bedrockの参考資料、モデル一覧、価格、使い方、トークンやパラメータの用語説明、Runtime APIの実行例について紹介しました。 Amazon Bedrockの基本情報とRuntime APIの実行例まとめ - 参考資料、モデルの特徴、価格、使用方法、トークンと推論パラメータの説明 今回はAnthropic Claudeで英訳したテキストをもとにStability AI Stable Diffusion XL(SDXL)で画像を生成するAmazon Bedrockの使用例を紹介します。 ※本記事および当執筆者のその他の記事で掲載されているソースコードは自主研究活動の一貫として作成したものであり、動作を保証するものではありません。使用する場合は自己責任でお願い致します。また、予告なく修正することもありますのでご了承ください。 ※本記事執筆にあ
EC2インスタンスやLambda関数にはIAMロールをアタッチすることができます。 ゆるいIAMポリシーを採用していると、STS 可能な任意のIAMロールを利用できてしまいます。 この問題を解決するために、IAMロールとロールを利用するAWSサービスのペアを制限する方法を紹介します。 AWSサービスに渡すIAMロールを制限する 例えば、EC2 インスタンスに特定のIAMロールのみアタッチ出来るようにするには、次のように定義します。 { "Version": "2012-10-17", "Statement": [ { "Sid": "IAMPassRoleForEC2", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::12345:role/EC2Role", "Condition": {
はじめに Amplifyを利用してアプリケーションを作る場合、Cognito User Pool/Cognito Identity Pool(Cognito Federated Identities)を利用してAPI GatewayでAuthorizationする方法が暗黙裡にデフォルトになっているように見えます。 よく使われるであろうと思われる割には、その仕組みについての説明があまり見当たらなかったので解説記事を書こうとしましたが、前提となる事項があまりにも多いことが分かったので、個別の記事として分離しました。 本稿では、AccessKeyIdやSecretAccessKeyの使われ方、AWS APIにおけるSignature V4の仕組みなどについて解説します。 API GatewayのAuthorization方式として「AWS_IAM」という項目を選択できますが、本稿の内容を理解す
AWS 認定 セキュリティ – 専門知識(AWS Certified Security – Specialty)の学習方法 - NRIネットコムBlog
小西秀和です。 この記事は「AWS認定全冠を維持し続ける理由と全取得までの学習方法・資格の難易度まとめ」で説明した学習方法を「AWS 認定 セキュリティ – 専門知識(AWS Certified Security – Specialty)」に特化した形で紹介するものです。 重複する内容については省略していますので、併せて元記事も御覧ください。 また、現在投稿済の各AWS認定に特化した記事へのリンクを以下に掲載しましたので興味のあるAWS認定があれば読んでみてください。 ALL Networking Security Database Analytics ML SAP on AWS Alexa DevOps Developer SysOps SA Pro SA Associate Cloud Practitioner 「AWS 認定 セキュリティ – 専門知識」とは 「AWS 認定 セキュリ
Dashboards as code: A new approach to visualizing AWS APIs | Amazon Web Services
AWS Open Source Blog Dashboards as code: A new approach to visualizing AWS APIs You manage your infrastructure with code, why not manage your dashboards the same way? With Steampipe’s dashboards-as-code approach you write HCL to define dashboard widgets, and you write SQL to fill them with data extracted from APIs. Here are some common questions about your AWS resources: How many resources do I ha
IAM ポリシー未設定の IAM ユーザーが生成した S3 署名付き URL (presigned URL) を使ってオブジェクトを Get できるのはなぜか | DevelopersIO
IAM ポリシー未設定の IAM ユーザーが生成した S3 署名付き URL (presigned URL) を使ってオブジェクトを Get できるのはなぜか コンバンハ、千葉(幸)です。 突然ですが以下のようなケースを考えてください。 IAM ポリシーがアタッチされていない IAM ユーザーが存在する 当該 IAM ユーザーが特定の S3 バケット内のオブジェクトに対する署名付き URL を生成する 生成された URL を用いて任意の利用者がオブジェクトを Get する 上記を実現したいと考えたときに必要となる設定が何か、皆さんは思いつくでしょうか。なお、 IAM ユーザーと S3 バケットは同一の AWS アカウントに存在するものとします。 「そもそも IAM ポリシーが無いのに署名付き URL を生成できるの?」という部分から引っかかる方もいるかと思いますが、実はできます。このエント
AWS Step Function承認フローをAWS Step Functionsのワークフローから呼び出して多段階承認フローを作成する方法(AWS Systems Manager Automation & Amazon EventBridge編) - NRIネットコムBlog
小西秀和です。 AI技術の急速な進化に伴い、従来の業務プロセスを見直す必要性が高まっています。 特に、多段階承認フローのあり方について、新しい視点からアプローチしたいと考え、この記事を執筆しました。 これまで多段階承認フローは、しばしば冗長で効率が悪いと批判されてきました。しかし同時に、専門知識や権限を持つ人間が最終判断を下す重要な場でもあります。 そこで私は次のような理由から、将来的に生成AIを多段階承認フローに組み込むことを見据え、AWS Step Functionsを活用した多段階承認フローシステムを試作してみました。 APIを介して承認フローをシステム化することで、人間と生成AIの間で意思決定プロセスを柔軟に切り替えられる 初期段階では人間が承認を行い、生成AIの能力が十分と判断された場合に段階的にAIへ移行できる 生成AIの判断に不安がある場合や、最終確認が必要な場合は、人間が承
KMS 暗号化が有効な SSM セッションマネージャー接続を MFA + スイッチロール + AWS CLI で実行してエラーが発生した時の回避方法 | DevelopersIO
KMS 暗号化が有効な SSM セッションマネージャー接続を MFA + スイッチロール + AWS CLI で実行してエラーが発生した時の回避方法 AWS CLI での AssumeRole を「プロファイル指定で行うか」「手動で行うか」で、MFA コードの受け渡し可否に差がある場合がある……?というケースです コンバンハ、千葉(幸)です。 今回の事象が発生した構成は以下の通りです。 AWSアカウント スイッチ元:000000000000 スイッチ先:999999999999 スイッチ先アカウントの EC2 インスタンスに対して AWS CLI でセッションマネージャー接続を行う セッションマネージャー接続は KMS による暗号化が有効になっている スイッチ時には MFA による認証コードの入力を行う AWS CLI によるスイッチロールはプロファイルを指定して実行する 実行を試みると以
Amazon Web Services ブログ AWS Lambda レスポンスストリーミングの紹介 本記事は、Introducing AWS Lambda response streaming の翻訳です。 本日 (2023年4月7日)、AWS Lambda はレスポンスペイロードストリーミングのサポートを発表しました。レスポンスストリーミングは、関数がレスポンスペイロードを段階的にクライアントに返すことができる新しい呼び出しパターンです。 Lambda のレスポンスペイロードストリーミングを使用すると、レスポンスデータが利用可能になった時点で呼び出し元にデータを送信することができます。これにより、Web アプリケーションやモバイルアプリケーションのパフォーマンスを向上させることができます。また、レスポンスストリーミングによって、より大きなペイロードを返す関数や、進捗状況を段階的に報告し
はじめに AWSを初めて学習して難しいと感じたIAMについて、自分なりの理解を書いてみました。 同じような初心者の方でも読みやすいように、なるべく平易な言葉で書くことを心掛けています。 対象者 これからAWSを学習したい初心者 IAMって何なのか、なんとなく理解したい方 そもそも何のためにそんな機能があるの?という疑問を持っている方 IAMとは IAMとは、「Identity and Access Management」の略で、その名のとおり、IDとアクセス権を管理する機能です。IAMを使用すれば、誰がどのサービスにアクセスできるのかを、許可または拒否することができます。全ての人が全てのサービスやデータに対してアクセス権を持つというのは安全ではありません。必要な人に、必要最低限の権限のみを付与することが推奨されています。 そもそもなぜ管理機能が必要なの? IT未経験の自分がAWSを勉強して
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SORACOM Funkで自回線の通信量を取得する - Qiita
IAMロールを使用して一時クレデンシャルを使用する(AWS SSOは使用しない) - NRIネットコムBlog
Applying Netflix DevOps Patterns to Windows
AWS FargateでFireLensを使って同じログを3箇所に送ってみた | DevelopersIO
Data Mesh Architecture
[入門]社内勉強会で AWS Security Hubの話をしました | DevelopersIO
SQLでインフラ管理? IaSQLを試してみた | DevelopersIO
IAM初心者がAWS CLIでスイッチロールするまで | DevelopersIO
ECS task definition を Jsonnet で生成する - 酒日記 はてな支店
GitLabリポジトリをCodeCommitリポジトリにミラーリングする | DevelopersIO
AWS Lakeformationを使ってData Lakeを構成してみた | DevelopersIO
AWS マルチアカウントの管理を Toil にしないために - Qiita
AWSサービスに渡すIAMロールを制限する | DevelopersIO
【AWS】AWS APIの認証・認可の仕組みを理解する【Signature V4】 - Qiita
AWS Lambda レスポンスストリーミングの紹介 | Amazon Web Services
IT未経験の初心者がIAMを理解しようとしてみた | DevelopersIO