20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AWS IAM) Part2
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AWS IAM) Part2
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AWS IAM) Part2
Verified AccessにおいてAWS IAM Identity Centerの設定に基づくポリシー評価を試してみた | DevelopersIO
ドキュメントで例示されている内容を参考に、AWS IAM Identity Center の設定情報に基づく評価をいくつか試してみました。 すべての IAM Identity Center ユーザーを許可 AWS IAM Identity Center の認証が成功であれば許可する例です。 permit(principal,action,resource) when { true }; アクセスを試した結果です。 developerユーザー:◯(アクセス成功) developer2ユーザー:◯(アクセス成功) operatorユーザー:◯(アクセス成功) IAM Identity Center のグループ ID で許可 AWS IAM Identity Center のグループ ID が一致すれば許可する例です。冒頭で紹介したブログでも設定されている内容です。 developerユーザーが
コーヒーが好きな木谷映見です。 「IAM ってどんなもの?」という概念をざっくりと掴むことを目的として書きました。 この記事で書くこと IAM の主要概念のみざっくり説明 この記事で書かないこと 具体的な IAM の操作方法 具体的な IAM ポリシーの記述方法 AWS Identity and Access Management (IAM) とは? IAM で重要な 4 つの要素 IAM ユーザ (ユーザ) IAM ポリシー (ポリシー) IAM ユーザーグループ (ユーザーグループ) IAM ロール (ロール) 1. AWS サービス自体にアクセス権限を付与したいとき 2. IAM ユーザに、別の AWS アカウントへのアクセス権限を付与したいとき IAM のベストプラクティス 最小権限の原則 IAM ユーザーは使いまわさない 終わりに 参考 AWS Identity and Acce
In AWS IAM, What is the Purpose/Use of the "Path" Variable?
Ask questions, find answers and collaborate at work with Stack Overflow for Teams. Explore Teams Collectives™ on Stack Overflow Find centralized, trusted content and collaborate around the technologies you use most. Learn more about Collectives
はじめに 本記事では「Google Authenticator」という認証アプリをiPhoneにインストールし、IAMユーザーにMFA認証を設定する手順を紹介します。 ※Androidでも基本操作は同じですが、アプリ側の画面や表示に異なる点があるかもしれませんので、ご留意ください。 MFA認証とは Multi-Factor Authentication(多要素認証)のこと。 パスワード以外の要素を用いることで、セキュリティを高める認証方法です。 手順 1.MFAデバイスとして使用するiPhoneに「Google Authenticator」をインストールしておく (アプリのインストール方法については本記事では割愛します。) 2.AWSマネジメントコンソールにサインイン、IAMの管理画面にアクセスし、MFA認証を設定したいユーザー名をクリック 3.「認証情報」タブをクリック、「MFAデバイス
Terraformで実践するAWS IAM Identity Center(AWS Single Sign-On)のユーザー管理戦略 - Qiita
Terraformで実践するAWS IAM Identity Center(AWS Single Sign-On)のユーザー管理戦略AWSIaCTerraformSSO はじめに AWS IAM Identity Center(AWS Single Sign-On)を使用して、ユーザー管理を考えていく上で、Terraformを使用して構成管理を実現しようと思います。 作成したコードはgithub上に上がっているので、ご参考ください。 (※*.tfstateは.gitignoreに記載し、git管理外としています。) 構成図 構成管理にはStateファイルの管理をサーバレスに行える点を考慮してTerraform Cloudを使用します なお、今回は複数環境へのデプロイ含むCI/CDの設計などは考慮していません。 実装 Terraform Cloud と Githubの接続 こちらを参考にVS
私もしばらく便利に利用しておりましたが、従来はMFAデバイスは1つしか登録できなかったということもあり、実は最近では利用を中止してスマホアプリに戻しておりました。理由は以下の2点です。 紛失リスクが大きいため、YubiKeyを日頃から持ち運ぶことは望ましくないと思う。よって急に外出先からログインしたい場合でも不可能である。 YubiKeyはUSBデバイスのため、VDIやRDPセッション内では基本的に利用できない。そのためテレワークとは相性が悪い つまり今回のアップデートで、YubiKeyとスマホアプリ両方を登録しておいて、シチュエーションに応じて使い分けることが可能になったというわけです。個人的に抱えていたこの問題が解消して嬉しいです! 利用方法 さて、今回のアップデートに伴い画面イメージが少し変わりました。 MFAデバイスを利用する手順を改めて解説します。 登録方法 AWSマネジメントコ
AWS IAM Identity CenterとABACを活用したSSMセッションマネージャーのRun As設定手順 | iret.media
はじめに SSMセッションマネージャーは便利なツールです。ログイン対象のEC2がプライベートサブネットに配置されていても、踏み台サーバが不要でコスト削減に繋がりますし、22番ポートを開放しなくて済むのでセキュリティ的にも優れています。 しかし、デフォルト設定では、どのIAMユーザまたはIAMロールを使用していようとも、ログイン時に使用されるOSユーザはssm-userとなります。この設定では、誰が何を操作したのかがOSの操作ログから明確に判別できず、さらにssm-userはデフォルトでsudo権限を持っています。これらは、操作履歴の記録や最小権限の原則の観点から言えば、あまり望ましい状況とは言えません。 そこで、Aさん用のIAMユーザ/IAMロールでEC2にログインした際は、ssm-userではなく、Aさん用のOSユーザに自動的にログインさせたいです。これを実現できる機能がRun Asです
Terraform を実行するユーザの AWS IAM ポリシーを Administrator Access から最小限のポリシーに変更する機会があったので備忘録。 最小の権限を割り当てようとすると、その課程で AccessDenied エラーが数多く発生してなかなか大変です。どのようにして権限エラーを取り除き、最小の権限を決定したのかを紹介します。同じことを考えている方の参考になれば。この記事を書くために検証した Terraform のバージョンは 1.3.9、AWS Provider は 4.62.0 です。 目次 アクセス権限の無い IAM ポリシーを用意する Terraform のログから実際に実行された API を調べる エラーがあった API を抽出する エンコードされたエラーメッセージからエラーの詳細を確認する CloudTrail を確認する 登録、更新、削除のパターンも確
キムです。 約1年ぶりに技術ブログ投稿を再開しました! 不自然な日本語が出てくるかもしれませんが、その時はコメントで指摘いただければ大変助かります。 AWS Cognito → 簡単に言えば、AWSサービスを外部サイト(Facebook、Appleなど)の他社サービスと会員登録またはログインを連携させるサービスです。 ※User Login ID(Token)でユーザログインを連携させるのと同じ概念。 Cognitoは「ユーザプール」と「ID プールでの認証」の仕組 顧客が Amazon Cognito ユーザープールにサインインすると、アプリケーションは JSON ウェブトークン (JWTsを受け取ります。 ユーザーがユーザープールトークンまたは別のプロバイダーを使用して ID プールにサインインすると、アプリケーションは一時的な AWS 認証情報を受け取ります。 ユーザープールのサイン
![[AWS-IAM] Cognito User Poolについて - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/e4a957c2d88b80444b81772cde8ad6524f71fe2f/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-412672c5f0600ab9a64263b751f1bc81.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTk3MiZoPTM3OCZ0eHQ9JTVCQVdTLUlBTSU1RCUyMENvZ25pdG8lMjBVc2VyJTIwUG9vbCVFMyU4MSVBQiVFMyU4MSVBNCVFMyU4MSU4NCVFMyU4MSVBNiZ0eHQtYWxpZ249bGVmdCUyQ3RvcCZ0eHQtY29sb3I9JTIzMjEyMTIxJnR4dC1mb250PUhpcmFnaW5vJTIwU2FucyUyMFc2JnR4dC1zaXplPTU2JnM9N2I0MmNjMDc3NmFlODg2YmFmODY4NGQ0YjNjMGU0MDI%26mark-x%3D142%26mark-y%3D57%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZoPTc2Jnc9NzcwJnR4dD0lNDBkb2V1bnM4OCZ0eHQtY29sb3I9JTIzMjEyMTIxJnR4dC1mb250PUhpcmFnaW5vJTIwU2FucyUyMFc2JnR4dC1zaXplPTM2JnR4dC1hbGlnbj1sZWZ0JTJDdG9wJnM9ODk5ZDhiOTQzZmNkNjhiOWEzYzM0OTFlNmY5ZThkZWI%26blend-x%3D142%26blend-y%3D486%26blend-mode%3Dnormal%26s%3De57a34c71c9799804d3da0c946e42977)
こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。 皆さんは定期的にIAMリソースの棚卸しや管理をしていますか?いつの間にか溜まっちゃってる不要なIAMユーザーやIAMポリシーは無いですか? 不要なIAMリソースを放置することはセキュリティ的に危険です。不要なものは定期的に削除しちゃいましょう。 そこで今回は不要なIAMリソースを少しでも楽に棚卸しする方法をまとめてみました。下記ターゲットに当てはまる方は是非ご一読ください。 本記事のターゲット IAMリソースを管理していない方/出来ていない方 IAMリソースの棚卸しをマネジメントコンソール上から手動でポチポチやって時間がかかっている方 やりたいこと あまり時間をかけずにIAMリソースの棚卸しをしたい 普段使っていないIAMリソースや新規作成したIAMリソースを定期的に確認したい やってみた 今回は以下の3つの
AWS IAM の IAM ポリシーを AWS CLI で効率的に閲覧するための bash alias - Qiita
AWS CLI を開発、運用環境で利用している場合、特定作業に対する複数の IAM ポリシーをチェックするようなケースがあると思います。 ユーザ名、ロール名は見たら思い出せるけど、入力できるほどは覚えてない、という場合は、ユーザ名、ロール名のリスト出力、ポリシー確認を繰り返さないといけません。json ファイルなどから該当のリソース名、ARNなどを見つけて、次のコマンドを作成して、、、ということを繰り返すのは数が多いと大変な作業になります。 そこで以下のような一連の作業を効率的に実施するために、bash 等で使える alias を作成しています。alias名などをカスタマイズしてお使いください。 1.IAM ユーザ(またはロール、グループ)特定 2.紐づく IAM ポリシーの特定 3.IAM ポリシーの確認 前提 linux や mac os などで AWS CLI が利用できる、また j
【初心者向け】AWS IAM 入門!完全ガイド
AWS Identity and Access Management(IAM) ☘️ はじめに 本ページは、AWS に関する個人の勉強および勉強会で使用することを目的に、AWS ドキュメントなどを参照し作成しておりますが、記載の誤り等が含まれる場合がございます。 最新の情報については、AWS 公式ドキュメントをご参照ください。 👀 Contents IAM とは 認証・認可とは IAM ユーザー MFA アクセスキー SSH 公開鍵 Git 認証情報 IAM ポリシー ポリシーの論理評価 IAM ロール IAM Permissions boundary(アクセス権限の境界) パスワードポリシー IAM Policy Simulator IAM Access Advisor IAM Access Analyzer ベストプラクティス 📖 まとめ IAM とは Duration: 1:49
Slack:AWS IAM Identity CenterでSAML SSOを実現する (Enterprise Grid) - Qiita
Slack:AWS IAM Identity CenterでSAML SSOを実現する (Enterprise Grid)AWSSlackAWSSSOIAMIdentityCenterIAM_Identity_Center はじめに AWSには、IAM Identity Center (旧AWS SSO) というアカウント管理サービスがあります。一般的には複数のAWSアカウントを一元管理する目的で利用されますが、SAML SSOのIDプロバイダーとしても利用することが可能です。 今回は、IAM Identity CenterからSlackに対してSAML SSOする際の設定について以下にまとめてみました。 なお、後述しますが、一般的な(良く使われる)SAML SSO対応のIdP(IDaaS)と比べて、外部アプリケーションに対するサポートそれほど充実しているわけでありません。設定に当たっては
[AWS]IAM認証をかけたAPIGatewayを別アカウントのLambdaから呼び出す構成をSAMで作成してみた - Qiita
記事のタイトルが長くなってしまったのですが、主要な構成は以下です。 アカウントA - APIGateway(IAM認証付き) - Lambda アカウントB - Lambda フロー アカウントB.Lambda ⇒ アカウントA.APIGateway ⇒ アカウントA.Lambda 細かく見ていきましょう。 Githubリポジトリ 今回記事で解説している構成を作成した際のソースをgithubにプッシュしました。 もし同じような構成を作っていて困っている方がいたら、ソースをいじってデプロイしてみてください! ※使う際はいくつかのパラメータをご自身の環境に合わせて設定していただく必要があります。 注意 こちらの記事はPython, AWS SAMを利用しています。 Pythonではさらに、Boto3, aws_requests_auth のライブラリを利用しています。 動くところまでどうにか作
![[AWS]IAM認証をかけたAPIGatewayを別アカウントのLambdaから呼び出す構成をSAMで作成してみた - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/719a5f9200bd7f9378ea7df1e82b1f410ada6b33/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-412672c5f0600ab9a64263b751f1bc81.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTk3MiZoPTM3OCZ0eHQ9JTVCQVdTJTVESUFNJUU4JUFBJThEJUU4JUE4JUJDJUUzJTgyJTkyJUUzJTgxJThCJUUzJTgxJTkxJUUzJTgxJTlGQVBJR2F0ZXdheSVFMyU4MiU5MiVFNSU4OCVBNSVFMyU4MiVBMiVFMyU4MiVBQiVFMyU4MiVBNiVFMyU4MyVCMyVFMyU4MyU4OCVFMyU4MSVBRUxhbWJkYSVFMyU4MSU4QiVFMyU4MiU4OSVFNSU5MSVCQyVFMyU4MSVCMyVFNSU4NyVCQSVFMyU4MSU5OSVFNiVBNyU4QiVFNiU4OCU5MCVFMyU4MiU5MlNBTSVFMyU4MSVBNyVFNCVCRCU5QyVFNiU4OCU5MCVFMyU4MSU5NyVFMyU4MSVBNiVFMyU4MSVCRiVFMyU4MSU5RiZ0eHQtY29sb3I9JTIzMjEyMTIxJnR4dC1mb250PUhpcmFnaW5vJTIwU2FucyUyMFc2JnR4dC1zaXplPTU2JnR4dC1hbGlnbj1sZWZ0JTJDdG9wJnM9MzBiMDgxMjY4YTU1OTQyMzE2ZTIwOWIzZmZiYTFlNjg%26mark-x%3D142%26mark-y%3D57%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZoPTc2Jnc9NzcwJnR4dD0lNDBlbmdpbmVlci10YXJvJnR4dC1jb2xvcj0lMjMyMTIxMjEmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9MzYmdHh0LWFsaWduPWxlZnQlMkN0b3Amcz0xOTJjYjAzYWZmMTg2YjFhMGY1MGUzNTAxMGJhYzY5NQ%26blend-x%3D142%26blend-y%3D486%26blend-mode%3Dnormal%26s%3D5e7588e802400627a6e1262abf9aaade)
はじめに AWS IAMでは、各AWSサービスの権限を制御する仕組みとして、「AWS管理ポリシー」、「カスタマー管理ポリシー」、「インラインポリシー」が存在する。 このポリシーの違いをまとめたいと思う。 管理ポリシーとインラインポリシー AWS IAMでは、大きく「管理ポリシー」、「インラインポリシー」の2つ種類のポリシーが存在する。 「管理ポリシー」は、さらに「AWS管理ポリシー」、「カスタマー管理ポリシー」に分類することが出来る。 AWS管理ポリシー AWSによって事前に用意されたポリシーのこと。 例) AmazonEC2FullAccess等。 カスタマー管理ポリシー ユーザによって作成したポリシーのこと。 インラインポリシー 公式ドキュメントでは、「IAM アイデンティティ (ユーザー、グループ、またはロール) に埋め込まれたポリシー」と記載されている。 公式ドキュメントの記載だけ
はじめに 前提としてアクセスキーは可能な限り持つべきではないと思うのですが、AWSを使う上で仕方がなくアクセスキーを使った認証を行うケースがあると思います。 アクセスキーはご存知の通り漏洩リスクや期限切れによる対応が必要で、手動でやると面倒だったり先程のリスクに晒される可能性があります。 例えば複数のメンバーアカウントを管理している場合では、全てのアカウントの運用状況を管理・把握出来ていればいいのですが、メンバーアカウント事に運用を個別に任せている場合だとアクセスキーの管理が属人的になったり、ガバナンスが効かない状態になる可能性があり、よりセキュリティのリスクが高まると思います。 今回検証導入しようと思っているAWS社から提供されているAWS IAM Key Rotation Runbookは自動でキー・ローテーション・ソリューションをデプロイ、構成、検証、トラブルシューティングする方法に
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 MFA デバイス強制の設定 ユーザーの MFA デバイスの強制を設定するには IAM Identity Center コンソール を開きます。 左のナビゲーションペインの [設定] を選択します。 「設定」 ページで、「認証」タブを選択します。 [多要素認証] セクションで、[設定] を選択します。 [多要素認証の設定] ページでは、[ユーザーがまだ登録された MFA デバイスを持っていない場合] で、ビジネスニーズに応じて次のいずれかの選択肢を選択します。 サインイン時に MFA デバイスの登録を必須とする これは、IAM Identity Center の MFA を初めて設定するときのデフォルト設定です。このオプションは、まだ登録済みの MFA デバイスを持っ
はじめに AWSのアカウントを作成するとルートユーザーが作成されるが、ルートユーザは全権限を持つユーザーになるため アカウントの変更や解約などもできてしまうため、権限を制限したIAMユーザーを作成する。 Identity and Access Management (IAM) では、AWS のサービスやリソースへのアクセスを安全に管理できます。IAM を使用すると、AWS のユーザーとグループを作成および管理し、アクセス権を使用して AWS リソースへのアクセスを許可および拒否できます。 IAM は追加料金なしで AWS アカウントに提供されている機能です。料金は、お客様のユーザーが使用した他の AWS サービスに対してのみ発生します。(AWSより引用) それでは作成していきましょう。 IAMユーザーの作成① まずはルートユーザーでAWSマネジメントコンソールにログインします。 サービスを
AWS IAMユーザー作成方法 - Qiita
はじめに AWS IAMユーザーの作成方法をまとめました。 関連リンク 関連リンクを下記に載せておくので、必要であれば参考にしてください。。 誰でも作れるクラウドストレージサービス ownCloud + EC2(AMI) https://qiita.com/syukan3/items/7e3104388b2d79fd3177 IAMユーザーとは AWS Identity and Access Management (IAM) では、AWS のサービスやリソースへのアクセスを安全に管理できる。 IAM を使用すると、AWS のユーザーとグループを作成および管理し、アクセス権を使用して AWS リソースへのアクセスを許可および拒否できる。 IAM は追加料金なしで AWS アカウントに提供されている機能。 前提条件 AWS アカウントが作成済みであること。 IAM作成 ポリシーについては、その
AWS IAM Policy のステートメントに条件キーを利用する場合は対応するアクションとリソースタイプのみを定義する - Qiita
IAM Policy の JSON 定義で少しハマったのでメモ。 要約 各アクションとリソースタイプの組み合わせでどの条件キーが対応しているかは全てドキュメントに記載されている https://docs.aws.amazon.com/service-authorization/latest/reference/reference.html ステートメントを分割して各アクションとリソースタイプに対応する条件キーを定義しよう 各アクションとリソースタイプの組み合わせでどの条件キーを利用できるかは決まっている IAM Policy のステートメントには Condition 要素を含めることができ、これにより policy を実行するタイミングの条件を指定することができます。その指定する条件として条件キーを利用できます。 この条件キーですが、各アクションとリソースタイプの組み合わせでどの条件キーを
【AWS】IAM-APIGetway-Lambda-DynamoDB-S3でシンプルなアプリケーション制作 - Qiita
はじめに サーバーレス勉強する際に、いろいろ試したメモ、 つまずいた点や、解決法など、主に自分用のメモになります。 他の方の参考にもなれば嬉しいです。 やること DynamoDBでテーブル作成 IAMでDynamoDB用のロール作成 Lambda上でDynamoDBに値を挿入 Lambda上でDynamoDBから値を取得 API Gatewayの設定 S3にウェブアプリケーションをアップし、公開する 公開されたアプリケーションでDynamoDBを操作する DynamoDBでテーブル作成 テーブルの作成 をクリックしてください。 テーブル名とプライマリキーを入力します、プライマリキーのタイプは数値を選んでください。 デフォルト設定の使用のチェックを外します、今回はテストのため、性能は最低限のもので良いです。 設定が終わったら作成をクリックします、しばらくしたらテーブルが作成されるはずです。
はじめに この記事はDevOps on AWS大全の一部です。 DevOps on AWS大全の一覧はこちら。 この記事ではAWS IAM Identity Centerに関連する内容を超詳細にまとめています。 具体的には以下流れで説明します。 AWS IAM Identity Centerとは AWS IAM Identity Centerの仕組み AWS IAM Identity Centerの活用 AWS IAM Identity Centerのベストプラクティス AWSの区分でいう「Level 200:トピックの入門知識を持っていることを前提に、ベストプラクティス、サービス機能を解説するレベル」の内容です。 この記事を読んでほしい人 AWS IAM Identity Centerがどういうサービスか説明できるようになりたい人 AWS IAM Identity Centerを採用する
はじめに AWS の IAM で最小権限の法則を実現しようとすると、 複数のポリシー・ステートメントを用意したり、その中で複数の条件を書いたりすることがあると思います。 また、明示的にアクセス制限を実現するためにリソースベースポリシーに明示的な拒否を否定条件演算子と組み合わせたりすることがあると思います。 シンプルな条件であればそれほど悩むことはありませんが、条件が複雑になってくると適切に Statement ブロックを分けたり Condition ブロックを記載する必要が出てきます。特に明示的な拒否と否定条件演算子を組み合わせていると、最終的に何が拒否されて何が拒否されないのか分かりにくくなりがちです。 そこで、本記事では IAM におけるポリシー・ステートメント・条件に関するロジックをまとめ、いくつかの具体例と共に紹介します。 IAM の評価ロジック 複数ポリシー・ステートメントの評価
初投稿のため練習と学習記録を兼ねてます。 お見苦しいかと思いますが、ご容赦ください。 ルートアカウントと管理者権限ってほとんど変わらない……? IAMについて学習していくうちに「ルートアカウントとIAMユーザーの管理者権限はほぼ同じ」なんて解説されているのを見かけたので、(じゃあ設定する必要あんまりなく無い?逆に違いって何?)と思ってまとめてみました。 同じ疑問を抱いた僕のような初学者の方のお力になれれば幸いです。 以下は(僕が調べられた範囲での)ルートアカウントのみ可能な操作になります。 AWSルートアカウントのメールアドレスやパスワードの変更 AWSアカウントのサービス(公式サポート等)の申込/キャンセル AWSアカウントそのものの停止 IAMユーザーからの課金情報へのアクセスに関するactive/deactive 他のAWSアカウントへのRoute53のドメイン登録の移行 コンソリデ
経緯 携帯の機種変更や突然の故障、PCの故障等により仮想MFAが突然使えなくなってしまった場合の対処方法 前提 AWSマネージメントコンソールには入れないが、AWS CLIが利用可能なこと 手順 ${IAMユーザ名}: MFAデバイスを再設定するIAMユーザ名を入れてください ${AWSアカウントID}: AWSアカウントID(12桁の数字)を入れてください 1. MFAデバイスの SerialNumber を確認する $ aws iam list-mfa-devices { "MFADevices": [ { "UserName": "${IAMユーザ名}", "SerialNumber": "arn:aws:iam::${AWSアカウントID}:mfa/${IAMユーザ名}", "EnableDate": "yyyy-mm-ddThh:mm:ssZ" } ] }
忙しい人のためのAWS「IAM」 - Qiita
はじめに 自分のアウトプットがてら、さくさくとAWSの各種サービスについてまとめていくシリーズです。 今回はIAMについて取り上げます。 IAMとは Identity and Access Managementの略称。結論、ユーザー管理をしてくれる、もしくは自分でするためのサービスです。 いちばん初めにAWSにサインアップしたときのアカウントをルートユーザーと呼びます。 このユーザーは本当に何でもできる神のような存在なので、普段使いはしないようにすることが推奨されています。 そこで、IAMユーザーというものを神によって創造し、普段の操作はそのアカウントを使うことで、変なことをしないようにできます。つまり、安全にAWS操作を実施するための認証や認可の仕組みを作れます。 主要トピック ユーザー、グループ、ポリシー、ロールの4つがあります。 ポリシーとは、このIAMユーザーは○○と△△のサービス
弊社のオンラインイベント DevelopersIO 2022 にて 「IAMポリシーのConditionを書くときの勘所」というタイトルで 話しました。 ビデオセッションです。 概要 IAMポリシーのConditionを使うことで柔軟な権限設計を実現できます。 今回はこの Conditionを書くときに意識したい「キーの可用性」の話をします。 はじめにまとめ 本セッションのまとめ部分を先に連携します。 ここに出てくる単語、「リクエストコンテキスト」や「条件キー/ポリシー変数」、 「Null/IfExists」 の解説もしています。学びたい方はぜひ御覧ください。 スライド YouTube 参考 AWS AWS グローバル条件コンテキストキー - AWS Identity and Access Management AWS のサービスのアクション、リソース、および条件キー - サービス認証リフ
MIXI で運用管理しているとある AWS Organizations にて AWS IAM Identity Center (以下 IdC)を導入しました。また、各 AWS アカウント管理者の裁量によって IdC の権限設定を可能にするためにセルフサービス化を行いました。 本記事では IdC の概要、IdC の権限設定をセルフサービス化した理由と実現方法について記載します。 AWS IAM Identity Center 概要 IdC は AWS アカウントへのシングルサインオン(SSO)を提供するサービスです。IAM User による AWS アカウントログインを代替することが可能で、IdC を導入することで以下のようなメリットが挙げられます。 複数 AWS アカウントへのログインがスムーズ IdP と連携させることでユーザ/グループ管理を IdP 側に任せられる AWS CLI v2
入社3年目、業務以外の知識がない自分がGWを捧げてサービス・アプリケーションを勉強してみた!〜2日目AWS:IAMユーザ作成・後編〜 - Qiita
入社3年目、業務以外の知識がない自分がGWを捧げてサービス・アプリケーションを勉強してみた!〜2日目AWS:IAMユーザ作成・後編〜AWSIAMIAMグループIAMユーザーIAMポリシー はじめに 前記事(https://qiita.com/hugo-crt/items/40c4bcb883c74085e539) の続きです。 今回は実際の作業者ユーザである、IAMユーザを作成します。 一度作り方を覚えてしまえば、最低限責任範囲の切り分けができて 基本的なセキュリティ対策を講じていますといえますね。 どうやら巷ではIAMって最初の方に勉強するけど、細部をチューニングしていくにつれ沼にハマっていく、 実はかなり高度なサービスであると聞いたことがありますが、これはまた別のお話。 我々初学者は基本的なところから知っていけばいいんです。 IAM:IAMグループの作成 グループ作成の方法を学びます。
概要 Terraform の “aws_iam_policy_attachment" を使用した失敗談を記事にします。 先ず、“aws_iam_policy_attachment" は、IAMポリシーをIAM のuser(s), role(s), group(s) にアタッチするためのリソースです。この “aws_iam_policy_attachment" は、使用方法を理解しないと、想定外の結果を引き起こします。本記事の内容をお読みください。 “aws_iam_policy_attachment" の注意事項 aws_iam_policy_attachment はIAMポリシーを排他的にアタッチします。 aws_iam_policy_attachment に定義されていない user(s), role(s), group(s) から、対象のIAMポリシーがデタッチされます。これは、aw
はじめに 皆さんはIAMポリシーで設定できるアクションがいくつあるかご存じですか? 私は知らないのですが、例のドキュメントを見ながらIAMポリシーの権限設定を検証しているときふと、一体いくつあるのかなぁと気になりました。 という訳で今回はIAMポリシーで設定できるアクションの総数を調べてみました。 例のドキュメント 1.調査方法 ①AWS CLIとかAWS SDKは...? まず思い当たるのはAWS CLIやAWS SDKなどを利用する方法ですが、 残念ながら現時点(2024年3月)ではアクションの一覧を表示する手段は用意されていません。 aws iam list-policy-actions的なコマンドがあって一覧を出力できたらとても楽だったのですが...。 ②マネジメントコンソールは...? 次にマネジメントコンソールはどうでしょうか。 とりあえず以下のように過剰な権限を付与したIAM
はじめに LambdaをAWSの外部から呼び出す方法として、APIGatewayでエンドポイントを作成し、そのURLにアクセスすることでLambdaが実行される仕組みがありますが、Lambdaから呼び出し用URLを生成することができるようになっていたことをご存知でしょうか。(最近って程でもないですが2022年4月のアップデートです) 存在は知ってましたが動かしたことなかったので軽く触ってみようと思います。 目次 IAM認証とは アクセスキー・シークレットアクセスキーとは 使用するコード Lambda関数の作成 IAM認証を無効化した呼び出し IAMアクセスキーを発行する IAM認証を有効化した呼び出し さいごに IAM認証とは 呼び出す際にIAMユーザの認証情報(アクセスキー・シークレットアクセスキー)を指定しなければ、呼び出せないように制限をかけることができる機能です。 アクセスキー・シ
[機能拡張]AWS IAM Access Analyzerの未使用アクセス検出機能を検証してみた - Qiita
はじめに AWSでリソースへのアクセス権の制御を行うためのサービスにIAM(Identitiy and Access Management)があります。 IAMを使用してアクセス権を付与する際には、ユーザー・ミスによる不慮のリソース削除事故等を未然防止するために、最小権限のみを付与することがベストプラクティスとなっています。 この最小権限付与を実現するための取り組みとして、IAMにはIAM Access Analyzerと呼ばれる機能があります。昨年実施されたAWS re:Invent 2023では、IAM Access Analyzerの機能拡張が発表されており、未使用のIAMユーザーとロールを特定するための未使用アクセス検出機能が提供されるようになりました。 本記事では、実際に筆者のAWS環境で当該未使用アクセス検出機能を検証した際の検証結果をご紹介します。 IAM Access An
![[機能拡張]AWS IAM Access Analyzerの未使用アクセス検出機能を検証してみた - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/7555df73b13648edcedbc9953e95002d508dda70/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-9f5428127621718a910c8b63951390ad.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-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%26mark-x%3D142%26mark-y%3D112%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTcxNiZ0eHQ9JTQwZHVlbGlzdDIwMjBqcCZ0eHQtY29sb3I9JTIzMjEyMTIxJnR4dC1mb250PUhpcmFnaW5vJTIwU2FucyUyMFc2JnR4dC1zaXplPTMyJnR4dC1hbGlnbj1sZWZ0JTJDdG9wJnM9NTI1MzVmM2U2ZGE4MTYxNmRlMzU4ZTZjNGY2MmViZDA%26blend-x%3D142%26blend-y%3D491%26blend-mode%3Dnormal%26s%3D93579ab9c426aff2dd4ecf4cc2d03b04)
[小ネタ] AWS IAMポリシーの Conditionで使える条件演算子 “Null” の使いみちを考える | DevelopersIO
はじめに IAMポリシーの Condition で使える条件演算子 Null の使いみちを考えてみます。 前提知識 IAMポリシーの Condition要素 でポリシーが実行される条件を指定します。 例えば以下は 「 (EC2)リソースの Protectionタグの値が "enabled" である場合 に そのリソースの削除(Delete*)を禁止(Deny)する」 ステートメントです。 "Effect": "Deny", "Action": "ec2:Delete*", "Resource": "arn:aws:ec2:*", "Condition" : { "StringEquals" : { "aws:ResourceTag/Protection": "enabled" } } 一番シンプルな Conditionは以下のような構文です。 "Condition" : { "(条件演算子
![[小ネタ] AWS IAMポリシーの Conditionで使える条件演算子 “Null” の使いみちを考える | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/be87d4dc194a448afd90d0a4b97626b36839fd3a/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Faws-iam.png)
AWS IAM Identity Center (SSO) External Account での CLI 利用 - vague memory
AWS IAM Identity Center (旧 AWS SSO) で AWS CLI を利用する方法です。 Organizations 配下 Organizations 外 (事前設定) External Account 設定 (管理アカウント側) External Account 設定(非 Organizations AWS アカウント側) Attribute mappings 設定 (管理アカウント側) 接続確認(マネジメントコンソール) Organizations 外 AssumeRoleWithSAML を利用する SAMLResponse の取得を自動化 saml2aws の設定例 環境 configure login 確認 まとめ Organizations 配下 Organizations 配下 AWS アカウントであれば、ポータル上の “Command line or
ユーザ権限の設定はちょっと AWS を触るだけでも必須の機能ですが、すぐ忘れるのでメモします。例えば自動的に S3 にファイルをアップロードしたいという場合を考えてみます。この時、アップロードするスクリプトは特定の S3 にだけアクセス出来て、他の余計な事は出来ないようにしたいと思います。できるだけ awscli を使い、awscli では面倒臭い操作だけ AWS Console を使います。 やりたい事 S3 バケットを作成して、ローカルディレクトリの内容をコピーしてブラウザから見える状態にする。 ファイルのアップロード用に最低限の権限だけを持つユーザを作成する。 AWS の権限とは? AWS では、「誰が」、「何処に」、「何を」、「出来る/出来ない」。という形式で権限を設定し ます。それぞれ、AWS 用語では Principal, Resource, Action, Effect と呼
AWSのサービスへのアクセス制御を定義できるAWS IAMのポリシーとは?実際に使用してみた|コラム|クラウドソリューション|サービス|法人のお客さま|NTT東日本
2020.11.04 | Writer:ふくちゃん AWSのサービスへのアクセス制御を定義できるAWS IAMのポリシーとは?実際に使用してみた Amazon Web Services (以下AWSとする)では、AWSのサービスやリソースへのアクセスを安全に管理できるIdentity and Access Management(以下IAMとする)機能があります。 当コラムでは「IAM」機能のひとつである、ポリシーの概要説明や利用方法を実践しご紹介します。 前回のコラムではAWS IAMの概要、料金、使用目的等をご紹介していますので是非お先にご確認ください。 リンク:AWS IAMによる権限設定のメリットと設定方法 ポリシーとは? AWS IAMの「グループ」、「ユーザー」、「ロール」、「ポリシー」の4つの要素の一つです。 ポリシーは「グループ」、「ユーザー」、「ロール」に対し、各AWSのサ
AWS IAM Identity Center のアカウントインスタンスでも外部 IdP からのシングルサインオンを構成出来るのか試してみた | DevelopersIO
AWS IAM Identity Center のアカウントインスタンスでも外部 IdP からのシングルサインオンを構成出来るのか試してみた いわさです。 数ヶ月前のアップデートで IAM Identity Center が Organizations 管理アカウント以外のメンバーアカウントから有効化出来るようになりました。 この機能で有効化された環境はアカウントインスタンスと呼ばれ、IAM Identity Center から連携出来るアプリケーションが限定されています。 通常の IAM Identity Center 組織インスタンスとは少し使い勝手が違うわけですが、IAM Identity Center の機能のひとつに外部 IdP との連携機能があります。 よく考えたらこちらは制限はないのでしょうか。もしかしたら Identity Center ディレクトリのみしか使えないという可
[アップデート] AWS IAM Identity Center のアクセスポータルが新しくなり、ショートカットリンク作成機能がリリースされました | DevelopersIO
[アップデート] AWS IAM Identity Center のアクセスポータルが新しくなり、ショートカットリンク作成機能がリリースされました いわさです。 AWS IAM Identity Center で管理されているユーザーは、IAM Identity Center のアクセスポータル画面を使って連携しているアプリケーションや AWS アカウントへアクセスすることが出来ます。 今朝、この IAM Identity Center のアクセスポータル画面がアップデートされたとアナウンスされていました。 たしかに、数日前、次の記事の検証で触っていた時に「なんかかっこよくなったな?」と思ったのですよね。 あれは気の所為じゃなかったか。 アナウンス内容からするとアクセスポータル画面が使いやすくなり、さらに便利そうなショートカットリンク機能というものが提供されるようになったそうです。 本日は
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AWS IAM の概念をざっくり理解する - サーバーワークスエンジニアブログ
【AWS IAM】MFA認証の設定方法 - Qiita
AWS IAMやルートユーザーで複数の多要素認証 (MFA) デバイスをサポート!
Terraformの実行に必要な最小限のAWS IAMポリシーを調べる
[AWS-IAM] Cognito User Poolについて - Qiita
AWS IAMリソースの棚卸し方法をまとめてみた | DevelopersIO
【AWS IAM】管理ポリシーとインラインポリシーの違いについて - Qiita
AWS IAM Key Rotation Runbookを試してみる(概要〜準備編) - Qiita
MFA デバイス強制の設定 - AWS IAM Identity Center
AWS IAMユーザーを作成する - Qiita
AWS IAM Identity Centerを使ってAWSアカウントを本気で守る - Qiita
AWS IAM の複数のポリシー・条件の評価ロジック
AWS IAMのルートアカウントのみが行える操作/権限について - Qiita
【AWS】IAMユーザーMFA再登録 - Qiita
AWS IAMポリシーのConditionを書くときの勘所 #devio2022 | DevelopersIO
AWS IAM Identity Center の権限設定をセルフサービス化しました
aws_iam_policy_attachment はIAMポリシーを排他的にアタッチする | Oji-Cloud
【AWS】IAMポリシーで設定できるアクションがいくつあるか、あなたは知っていますか? - Qiita
【AWS】IAM認証を使用したLambdaの関数URL呼び出しをやってみた - Qiita
AWS IAM User と Policy で S3 にアップロードしか出来ないユーザを作る - Qiita