パスキーがAWS IAMの多要素認証として利用可能に
Amazon Web Services(AWS)は、パスキーがAWS Identity and Access Management (AWS IAM)の多要素認証として利用可能になったことを発表しました。
Amazon Web Services(AWS)は、パスキーがAWS Identity and Access Management (AWS IAM)の多要素認証として利用可能になったことを発表しました。
マルチアカウント環境におけるAWS IAM Access Analyzerの構成、通知方法、運用について考えてみた | DevelopersIO
それぞれのメリット・デメリットをまとめると以下のようになります。 EventBridgeルールを2つ利用する方法 メリット:運用がラク。 デメリット:IAMロールの検知結果が全リージョンで表示される。 アーカイブルールを利用する方法 メリット:EventBridgeルールが1つで済む。Security Hub上は、IAMロールの検知結果が1リージョンのみとなる。 デメリット:新リージョン対応時に管理アカウントでの再スクリプト実行が必要。 次章の「運用方法」では、EventBridgeルールを2つ利用する方法を採用した前提で解説します。 運用方法 「1. 管理アカウントのみアナライザーを作成」の運用において、以下の2点を考えます。 通知後の対応 新規アカウント発行時 通知後の対応 通知方法は「通知先がメンバーアカウントごとに異なる場合」を想定しています。 アナライザー検知時の対応の流れは以下
AWS IAM Access AnalyzerをSecurity Hubに統合時、各検出結果のタイプごとのSeverity(重要度)を教えてください | DevelopersIO
AWS IAM Access AnalyzerをSecurity Hubに統合時、各検出結果のタイプごとのSeverity(重要度)を教えてください わからないこと AWS IAM Access AnalyzerをSecurity Hubに統合し、EventBridgeで通知を設定する際、Severity(重要度)でフィルタリングしたいと考えています。 そこで、検出結果のタイプごとの重要度について教えてください。 回答 公式ドキュメントには、検出結果のタイプごとの重要度は記載されていません。 IAM Access Analyzerの検出結果は、Security Hubに送信される際、以下の6つのカテゴリのいずれかに分類されます。 外部アクセス検出 Effects/Data Exposure/External Access Granted タイトル:[リソースARN]はパブリックアクセスを許
AWS IAM Identity Center のサインインログを CloudTrail と Athena で確認する方法 | DevelopersIO
AWS IAM Identity Center のサインインログを CloudTrail と Athena で確認する方法 未使用 IAM ユーザーの定期的な棚卸しは、セキュリティリスク軽減に不可欠です。 AWS IAM Identity Center 管理のユーザーにおいて、「n 日以上ログインしていないユーザー(未使用ユーザー)を特定」できるのか検証しました。 本記事では、AWS CloudTrail と Amazon Athena を使用して、AWS IAM Identity Center のサインインログを分析する方法を紹介します。 本記事の目的 本ブログの主な目的は、IAM Identity Center で管理されているユーザーが、いつ、どの AWS アカウントに対して、どの許可セットの権限でサインインしているかを確認する方法を紹介します。 IAM Identity Cente
Slack:AWS IAM Identity CenterでSAML SSOを実現する (Enterprise Grid) - Qiita
Slack:AWS IAM Identity CenterでSAML SSOを実現する (Enterprise Grid)AWSSlackAWSSSOIAMIdentityCenterIAM_Identity_Center はじめに AWSには、IAM Identity Center (旧AWS SSO) というアカウント管理サービスがあります。一般的には複数のAWSアカウントを一元管理する目的で利用されますが、SAML SSOのIDプロバイダーとしても利用することが可能です。 今回は、IAM Identity CenterからSlackに対してSAML SSOする際の設定について以下にまとめてみました。 なお、後述しますが、一般的な(良く使われる)SAML SSO対応のIdP(IDaaS)と比べて、外部アプリケーションに対するサポートそれほど充実しているわけでありません。設定に当たっては
AWS IAM Identity Center (SSO) External Account での CLI 利用 - vague memory
AWS IAM Identity Center (旧 AWS SSO) で AWS CLI を利用する方法です。 Organizations 配下 Organizations 外 (事前設定) External Account 設定 (管理アカウント側) External Account 設定(非 Organizations AWS アカウント側) Attribute mappings 設定 (管理アカウント側) 接続確認(マネジメントコンソール) Organizations 外 AssumeRoleWithSAML を利用する SAMLResponse の取得を自動化 saml2aws の設定例 環境 configure login 確認 まとめ Organizations 配下 Organizations 配下 AWS アカウントであれば、ポータル上の “Command line or
AWS の場合、IAM ポリシーで様々な認可制御を行います。 Azure をお使いの人だと、似たような概念は Azure Role-Based Access Control (Azure RBAC)だったりします。 Azure RBAC の場合も AWS IAM ポリシーの場合も、許可の対象を指定する必要がありますが、その指定するための文字列に「頭の切り替え」が必要だなと感じた話です。 Azure RBAC の対象(スコープ)指定 Azure RBAC の場合、Azure ポータルの アクセス制御 (IAM) という部分から、対象のリソースに対する認可が設定されたユーザー等が確認できます。 Azure の場合、下記のような階層構造があるので、上位の階層に設定された権限が下位の階層に継承されます。 (管理グループ) サブスクリプション リソースグループ (リソース種別) リソース どの範囲に
AWS IAM のアンチパターン/AWSが考える最低権限実現へのアプローチ概略 (2024/06/18 12:00〜)
もうすぐAWS Summit Japan 2024! 改めて考える AWS Identity and Access Management(AWS IAM)のアンチパターン/AWSが考える最低権限実現へのアプローチ概略 ~AWS IAM Identity Centerの権限設計も考えてみる~ AWS Identity and Access Management(以下AWS IAM)は、AWSリソースへのアクセスを安全に管理するための重要なAWSサービスです。 増えるユーザ数、権限を与えすぎて起きる操作ミス、権限を絞りすぎると落ちる開発スピード、認証情報の漏洩による情報流出等、AWS IAMだけでも考慮しなければいけないことがたくさんあります。 そこで、今回はまずAWS IAMでのセキュリティのベストプラクティスから、ベストプラクティスに従わない場合にどのようなセキュリティリスクがあるかを考え
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 AWS アクセスポータルの使用 AWS アクセスポータルでは、Office 365、Concur、Salesforce など、すべての AWS アカウント および最も一般的に使用されるクラウドアプリケーションへのシングルサインオンアクセスをユーザー (エンドユーザー) に提供します。ポータル内から、 AWS アカウント またはアプリケーションのアイコンを選択するだけで、複数のアプリケーションをすばやく起動できます。 AWS アクセスポータルにアプリケーションアイコンが存在するということは、会社の管理者がそれらの AWS アカウント またはアプリケーションへのアクセスを許可していることを意味します。また、追加のサインインプロンプトなしで、 AWS アクセスポータルから
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AWS IAM ポリシーの arn と Azure RBACのスコープの比較 - Qiita
AWS アクセスポータルの使用 - AWS IAM Identity Center