[小ネタ] AWS IAMポリシーの Conditionで使える条件演算子 “Null” の使いみちを考える | DevelopersIO
はじめに IAMポリシーの Condition で使える条件演算子 Null の使いみちを考えてみます。 前提知識 IAMポリシーの Condition要素 でポリシーが実行される条件を指定します。 例えば以下は 「 (EC2)リソースの Protectionタグの値が "enabled" である場合 に そのリソースの削除(Delete*)を禁止(Deny)する」 ステートメントです。 "Effect": "Deny", "Action": "ec2:Delete*", "Resource": "arn:aws:ec2:*", "Condition" : { "StringEquals" : { "aws:ResourceTag/Protection": "enabled" } } 一番シンプルな Conditionは以下のような構文です。 "Condition" : { "(条件演算子
![[小ネタ] AWS IAMポリシーの Conditionで使える条件演算子 “Null” の使いみちを考える | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/be87d4dc194a448afd90d0a4b97626b36839fd3a/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Faws-iam.png)
[機能拡張]AWS IAM Access Analyzerの未使用アクセス検出機能を検証してみた - Qiita
はじめに AWSでリソースへのアクセス権の制御を行うためのサービスにIAM(Identitiy and Access Management)があります。 IAMを使用してアクセス権を付与する際には、ユーザー・ミスによる不慮のリソース削除事故等を未然防止するために、最小権限のみを付与することがベストプラクティスとなっています。 この最小権限付与を実現するための取り組みとして、IAMにはIAM Access Analyzerと呼ばれる機能があります。昨年実施されたAWS re:Invent 2023では、IAM Access Analyzerの機能拡張が発表されており、未使用のIAMユーザーとロールを特定するための未使用アクセス検出機能が提供されるようになりました。 本記事では、実際に筆者のAWS環境で当該未使用アクセス検出機能を検証した際の検証結果をご紹介します。 IAM Access An
![[機能拡張]AWS IAM Access Analyzerの未使用アクセス検出機能を検証してみた - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/077b8ab8a8c6bc347baf2b1ad010ece51be99095/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-412672c5f0600ab9a64263b751f1bc81.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-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%26mark-x%3D142%26mark-y%3D57%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZoPTc2Jnc9NzcwJnR4dD0lNDBkdWVsaXN0MjAyMGpwJnR4dC1jb2xvcj0lMjMxRTIxMjEmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9MzYmdHh0LWFsaWduPWxlZnQlMkN0b3Amcz1mZmExNzJiZjAxOTJmNGIyODhmYzA4MWVjYTQ0MWM0OQ%26blend-x%3D142%26blend-y%3D486%26blend-mode%3Dnormal%26s%3D579fe44d43b4733d9fea2556941ff65b)
はじめに 皆さんはIAMポリシーで設定できるアクションがいくつあるかご存じですか? 私は知らないのですが、例のドキュメントを見ながらIAMポリシーの権限設定を検証しているときふと、一体いくつあるのかなぁと気になりました。 という訳で今回はIAMポリシーで設定できるアクションの総数を調べてみました。 例のドキュメント 1.調査方法 (1)AWS CLIとかAWS SDKは...? まず思い当たるのはAWS CLIやAWS SDKなどを利用する方法ですが、 残念ながら現時点(2024年3月)ではアクションの一覧を表示する手段は用意されていません。 aws iam list-policy-actions的なコマンドがあって一覧を出力できたらとても楽だったのですが...。 (2)マネジメントコンソールは...? 次にマネジメントコンソールはどうでしょうか。 以下のように明らかに過剰な権限を付与した
概要 Terraform の “aws_iam_policy_attachment" を使用した失敗談を記事にします。 先ず、“aws_iam_policy_attachment" は、IAMポリシーをIAM のuser(s), role(s), group(s) にアタッチするためのリソースです。この “aws_iam_policy_attachment" は、使用方法を理解しないと、想定外の結果を引き起こします。本記事の内容をお読みください。 “aws_iam_policy_attachment" の注意事項 aws_iam_policy_attachment はIAMポリシーを排他的にアタッチします。 aws_iam_policy_attachment に定義されていない user(s), role(s), group(s) から、対象のIAMポリシーがデタッチされます。これは、aw
はじめに LambdaをAWSの外部から呼び出す方法として、APIGatewayでエンドポイントを作成し、そのURLにアクセスすることでLambdaが実行される仕組みがありますが、Lambdaから呼び出し用URLを生成することができるようになっていたことをご存知でしょうか。(最近って程でもないですが2022年4月のアップデートです) 存在は知ってましたが動かしたことなかったので軽く触ってみようと思います。 目次 IAM認証とは アクセスキー・シークレットアクセスキーとは 使用するコード Lambda関数の作成 IAM認証を無効化した呼び出し IAMアクセスキーを発行する IAM認証を有効化した呼び出し さいごに IAM認証とは 呼び出す際にIAMユーザの認証情報(アクセスキー・シークレットアクセスキー)を指定しなければ、呼び出せないように制限をかけることができる機能です。 アクセスキー・シ
AWS IAM Identity Center (SSO) External Account での CLI 利用 - vague memory
AWS IAM Identity Center (旧 AWS SSO) で AWS CLI を利用する方法です。 Organizations 配下 Organizations 外 (事前設定) External Account 設定 (管理アカウント側) External Account 設定(非 Organizations AWS アカウント側) Attribute mappings 設定 (管理アカウント側) 接続確認(マネジメントコンソール) Organizations 外 AssumeRoleWithSAML を利用する SAMLResponse の取得を自動化 saml2aws の設定例 環境 configure login 確認 まとめ Organizations 配下 Organizations 配下 AWS アカウントであれば、ポータル上の “Command line or
AWS の場合、IAM ポリシーで様々な認可制御を行います。 Azure をお使いの人だと、似たような概念は Azure Role-Based Access Control (Azure RBAC)だったりします。 Azure RBAC の場合も AWS IAM ポリシーの場合も、許可の対象を指定する必要がありますが、その指定するための文字列に「頭の切り替え」が必要だなと感じた話です。 Azure RBAC の対象(スコープ)指定 Azure RBAC の場合、Azure ポータルの アクセス制御 (IAM) という部分から、対象のリソースに対する認可が設定されたユーザー等が確認できます。 Azure の場合、下記のような階層構造があるので、上位の階層に設定された権限が下位の階層に継承されます。 (管理グループ) サブスクリプション リソースグループ (リソース種別) リソース どの範囲に
【AWS-IAM】担当者の役割変更、及び、リリース時にアカウントの権限を変更したい - Qiita
本記事で実現できること 担当者の役割変更、及び、リリース時にアカウントの権限を変更する 前提 AWSマネコンはログイン済み 2024.3.28 時点でのコンソールのUIになります 簡単な解説 全部で9フェーズ ①ホーム画面で、画面上部検索欄に[IAM]と入力。 出てくるサービスの中から[IAM]をクリック ②左画面で[ユーザー] を選択後、対象のIAMユーザーのユーザー名をクリックする。 ③[グループ]タブをクリックする。 ④変更前のグループ名にチェックを入れ、[削除]をクリック ⑤確認画面で、グループ名に相違がないか確認し、[削除]をクリックする。 ⑥正常に削除されるとユーザーがグループから削除された旨のメッセージが出力される。 ⑦[ユーザーをグループに追加]をクリックする。 ⑧追加する対象のグループにチェックを入れ、[ユーザーをグループに追加]をクリックする。 ⑨正常に追加された旨のメ
AWS IAM Identity Center のアカウントインスタンスでも外部 IdP からのシングルサインオンを構成出来るのか試してみた | DevelopersIO
AWS IAM Identity Center のアカウントインスタンスでも外部 IdP からのシングルサインオンを構成出来るのか試してみた いわさです。 数ヶ月前のアップデートで IAM Identity Center が Organizations 管理アカウント以外のメンバーアカウントから有効化出来るようになりました。 この機能で有効化された環境はアカウントインスタンスと呼ばれ、IAM Identity Center から連携出来るアプリケーションが限定されています。 通常の IAM Identity Center 組織インスタンスとは少し使い勝手が違うわけですが、IAM Identity Center の機能のひとつに外部 IdP との連携機能があります。 よく考えたらこちらは制限はないのでしょうか。もしかしたら Identity Center ディレクトリのみしか使えないという可
[アップデート] AWS IAM Identity Center のアクセスポータルが新しくなり、ショートカットリンク作成機能がリリースされました | DevelopersIO
[アップデート] AWS IAM Identity Center のアクセスポータルが新しくなり、ショートカットリンク作成機能がリリースされました いわさです。 AWS IAM Identity Center で管理されているユーザーは、IAM Identity Center のアクセスポータル画面を使って連携しているアプリケーションや AWS アカウントへアクセスすることが出来ます。 今朝、この IAM Identity Center のアクセスポータル画面がアップデートされたとアナウンスされていました。 たしかに、数日前、次の記事の検証で触っていた時に「なんかかっこよくなったな?」と思ったのですよね。 あれは気の所為じゃなかったか。 アナウンス内容からするとアクセスポータル画面が使いやすくなり、さらに便利そうなショートカットリンク機能というものが提供されるようになったそうです。 本日は
Amazon Web Services ブログ IAM Roles Anywhere で AWS IAM ロールを AWS 外部のワークロードに拡張する この記事は Extend AWS IAM roles to workloads outside of AWS with IAM Roles Anywhere を訳したものです。 IAM Roles Anywhere のリリースの通り、AWS Identity and Access Management (IAM) を用いて AWS 外部で稼働しているワークロードに IAM ロールを簡単に使用できるようになりました。この機能は、IAM ロールの機能を AWS 外部のワークロードに拡張します。IAM Roles Anywhere を利用することで、オンプレミスのサーバー、コンテナ、またはアプリケーションが一時的な AWS クレデンシャルを取得
AWS IAM アイデンティティセンターは、複数の AWS アカウントおよびビジネスアプリケーションへのアクセスの一元管理を容易にします。ワークフォースには、割り当てられたすべてのアカウントとアプリケーションへのシングルサインオンアクセスを一か所から提供します。IAM アイデンティティセンターを使用すると、AWS Organizations にあるすべてのアカウントに対する一元的なアクセスとユーザーアクセス許可を簡単に管理できます。IAM アイデンティティセンターでは、個々のアカウントにおける追加のセットアップを必要とすることなく、アカウントに必要なアクセス許可のすべてが自動的に設定および維持されます。ユーザーのアクセス許可は、一般的な職務に基づいて割り当てることができ、特定のセキュリティ要件を満たすためにこれらのアクセス許可をカスタマイズすることも可能です。IAM アイデンティティセンタ
概要 AWS IAMのドキュメントのチュートリアルでMFAのマスト化は(ベストプラクティス的にも)最低限行なっておいたほうが良いと感じたので、その手法をまとめました 対象読者はIAM管理、IAMのベストプラクティスにのっとったセキュリティ管理に興味のある方です 0. 事前準備 IAMのダッシュボードで、AWSマネジメントコンソールへのアクセスのみ許可されたテストユーザー(test_user)を作成し、ポリシーやアクセス許可が一切行われていないテストグループ(TestGroup)を作成してください 1. MFAサインインを強制するポリシーの作成 管理者権限のあるIAMでAWSマネジメントコンソールにサインインしてください。(ルートユーザでのサインインはベストプラクティス上非推奨です。) IAMコンソールを開きます 左側のナビゲーションメニューからポリシーを選択し、左上の青色のポリシーの作成を
ユーザ権限の設定はちょっと AWS を触るだけでも必須の機能ですが、すぐ忘れるのでメモします。例えば自動的に S3 にファイルをアップロードしたいという場合を考えてみます。この時、アップロードするスクリプトは特定の S3 にだけアクセス出来て、他の余計な事は出来ないようにしたいと思います。できるだけ awscli を使い、awscli では面倒臭い操作だけ AWS Console を使います。 やりたい事 S3 バケットを作成して、ローカルディレクトリの内容をコピーしてブラウザから見える状態にする。 ファイルのアップロード用に最低限の権限だけを持つユーザを作成する。 AWS の権限とは? AWS では、「誰が」、「何処に」、「何を」、「出来る/出来ない」。という形式で権限を設定し ます。それぞれ、AWS 用語では Principal, Resource, Action, Effect と呼
AWSのサービスへのアクセス制御を定義できるAWS IAMのポリシーとは?実際に使用してみた|コラム|クラウドソリューション|サービス|法人のお客さま|NTT東日本
2020.11.04 | Writer:ふくちゃん AWSのサービスへのアクセス制御を定義できるAWS IAMのポリシーとは?実際に使用してみた Amazon Web Services (以下AWSとする)では、AWSのサービスやリソースへのアクセスを安全に管理できるIdentity and Access Management(以下IAMとする)機能があります。 当コラムでは「IAM」機能のひとつである、ポリシーの概要説明や利用方法を実践しご紹介します。 前回のコラムではAWS IAMの概要、料金、使用目的等をご紹介していますので是非お先にご確認ください。 リンク:AWS IAMによる権限設定のメリットと設定方法 ポリシーとは? AWS IAMの「グループ」、「ユーザー」、「ロール」、「ポリシー」の4つの要素の一つです。 ポリシーは「グループ」、「ユーザー」、「ロール」に対し、各AWSのサ
はじめに 現在、AWSについてudemyの教材を用いて勉強中です。 IAMについて学習しましたので、本記事にてアウトプットします。 IAMとは? 「Identity and Access Management」の略称。 AWSのサービスを利用するユーザー権限を管理するサービスになります。 ※WindowsServerで言う「Active Directory」になります。 ベストプラクティス AWSの公式ドキュメントによると、AWSアカウントのルートユーザーを使用することはNGであるとのこと。 AWSアカウントとは別に下記を作成することがベストプラクティスであるとのこと。 担当者ごとの管理者権限付きIAMユーザー 管理者IAMユーザー作成方法 画像付きで解説していきます。 ①AWSアカウントのルートユーザーにてログイン後、「サービス」→「IAM」を選択。 ②「ユーザー」を選択 ③「ユーザーを
みなさん、こんばんは。koyachiです。今日はAWS Identity and Access Management (IAM)を利用するときのベストプラクティスについて、お伝えさせていただきます。絶対使うIAMユーザ、本来のあるべき姿とは??? AWS Identity and Access Management (IAM) とは そもそも、 AWS Identity and Access Management (IAM) ってどのようなサービスだっけ?AWSにログインするときに使うよね?と思っている方も多いと思います。簡単に特徴をおさらいします。 ・AWSリソースをセキュアに操作するために、認証・認可の仕組みを提供するマネージドサービス ・各AWSリソースに対して別々のアクセス権限をユーザ毎に付与できる ・多要素認証(Multi-Factor Authentication:MFA)によ
【AWS】IAMユーザーの作成方法解説!【IAMユーザーを作ってログインする】|InfraAcademy(インフラアカデミー)
こんにちは、フルスタックエンジニアのryuです。 今回の記事では、AWSのIAMでユーザー作成の方法を解説します。IAMでユーザーを作成してAWSのコンソールにログインしてみましょう。作成方法は、IAMコンソールからユーザーを選択して、作成をクリックします。作成方法を具体的に解説します。 今回の記事では、AWSのIAMユーザーの作成方法を解説します。 IAMとは、IAMはIdentity and Access Managementの略で、直訳すると「IDおよびアクセス管理」という意味です。AWSの権限管理を行うサービスのことです。 今回は、AWSの権限管理を行うために、IAMユーザーの作成方法を解説します。IAMユーザーを作成することで、「このユーザーはこのサービスのみ設定できる」といった、権限管理を行うことができます。 IAMの概要については、こちらの記事で解説しているので、IAMが良く
概要 前回の記事 "CipherTrust Secrets Management (CSM)をためす" では、Akeyless CLI等のクライアントから、Akeyless (Gateway または SaaS)へアクセスする際に、API Keyを用いて認証を行っていました。 API Keyは、"Access ID","Account Key"からなります。Akeyless CLIの場合、この認証情報は、"~/.akeyless/profiles/default.toml"に保存され、Akeyless認証時に利用されます。 個々のシステムで利用しているSecretをなくすために、"Secret Management"を導入したのに、API Key(Secret)を利用しなければ、"Secret Management"が利用できないという、"Secretを完全になくす事ができない"状況が生じま
IAM Identity Center 証明書のローテーション - AWS IAM Identity Center
有効期間 – 新しい IAM Identity Center 証明書の有効期限が切れるまでに割り当てられた時間 (月単位) を指定します。 キーサイズ — キーが暗号アルゴリズムで使用するビット数を決定します。この値は、1024 ビットRSAまたは 2048 ビットのいずれかに設定できますRSA。暗号化におけるキーサイズの仕組みに関する一般情報については、「Key size」(キーサイズ) を参照してください。 アルゴリズム — IAM Identity Center がSAMLアサーション/レスポンスに署名するときに使用するアルゴリズムを指定します。この値は、サービスプロバイダーが SHA-1 を要求しない限り、可能な場合は SHA-SHA256 を使用して -1 または SHA-256. AWS recommends のいずれかに設定できます。暗号化アルゴリズムの仕組みに関する一般情報
AWS IAMでユーザーを作成しよう - Qiita
AWSのアカウントを作ろうでアカウント作成するとルートアカウントだけ作成されます。ここでは、作成したAWSアカウントのIAMでユーザーを作成してみましょう。 IAMユーザーをなぜ作成するのか 別な記事にも書きましたが、ルートアカウントは、Administrator権限を有する非常に強力なアカウントであるため、開発や運用時には制限したIAMユーザーアカウントで操作することが推奨されます。 誤操作することを防ぐ目的があり、また、操作する人やプログラムへユーザーやロールを割り当てることで誰が操作をおこなったのか?という証跡を残す目的もあります。 (と書いたけど、少し雑な言い方かもしれない。あとで書き直す) この記事で行うこと AWSのIAMユーザーを追加する。 事前に決めておくこと AWSでは、ユーザーへ様々な権限を付与することができます。そのため、ユーザーへ付与する権限を事前に決めておく必要が
こんにちは、まゆみです。 AWSに関する記事をシリーズで書いています。 今回は第2回目になります。 前回の記事では、 そもそもクラウドとはどんなサービスのことなのか? AWSの概要 について書かせていただきました。 今回の記事から、もう少し具体的な内容に踏み込んでいこうと思います。 今回の記事では、AWSの『IAM(アイ・エー・エム)』とは何なのかについて書いていきますね。 ではさっそく始めていきます。 IAMとは『Identity Access Management』の略になります。 IAMとはその名の通り、AWSを使う個人やグループの特定のリソースに対するアクセス権をコントロールするサービスになります。 全てのAWSユーザーに全てのリソースへのアクセス権を与えるのではなく、個人やグループに必要なアクセス権を必要に応じて与えることができるのが、IAMです。 ユーザーやグループに、それぞれ
はじめに IAMポリシーの Condition で使える条件演算子 Null の使いみちを考えてみます。 前提知識 IAMポリシーの Condition IAMポリシーの Condition要素 でポリシーが実行される条件を指定します。 例えば以下は 「 (EC2)リソースの Protectionタグの値が "enabled" である場合 に そのリソースの削除(Delete*)を禁止(Deny)する」 ステートメントです。 "Effect": "Deny", "Action": "ec2:Delete*", "Resource": "arn:aws:ec2:*", "Condition" : { "StringEquals" : { "aws:ResourceTag/Protection": "enabled" } } 一番シンプルな Conditionは以下のような構文です。 "Con
IAMとは AWS Identity asd Access Managementの略。 安全に操作を実施するための認証・認可の仕組み。 ・AWSアカウントないのユーザーを作成 ・AWSリソースのアクセス権限を管理 ・リソース間のアクセス権限を管理 ・一時的なアクセス許可 個人やグループへ権限を設定できる。 < 個人 > IAMのポリシーを設定し、許可権限を与える。 < グループ > EC2、S3の両方のリソースにアクセスする権限が設定されています。 IAMの主要機能 ・IAMポリシー ・IAMユーザー ・IAMグループ ・IAMロール ポリシーとは ユーザー、グループ、ロールに付与する権限をオブジェクトとして管理することです。 < IAM設定の流れ > 1.AWSサービスやAWSリソースに対する操作権限をIAMポリシーとして定義します。 2.IAMポリシーをIAMユーザーやIAMグループに
APIやサービスを新しく利用するときに、チュートリアルなど読むと、 「以下の JSON を参考に AWS IAM ユーザーを作成してください」 と、できて当然に書かれていて、素人の私はいつも四苦八苦しております。(できて当然なことなんでしょうけど) 公式サイトに書いてあるとおりといえば、そうなんですけど、 (公式)AWS アカウントでの IAM ユーザーの作成 恥ずかしながら素人の私は毎回すんなりできないので、「AWS IAM ユーザーの作成方法」を備忘録として残します。 条件 ・ユーザーコンソールで作成 ・APIなど外部からのアクセスに利用 ・ポリシーをJSONで作成 手順 AWS マネジメントコンソール にサインイン IAM (https://console.aws.amazon.com/iam/ ) を開く。 [ユーザー] > [ユーザーを追加] 次へ アクセス許可の設定 [ユーザー
IAM(Identity and Access Management)とは 一言で言うと、AWSのサービスを「勝手に操作されないように守るため」の機能のこと。 前提 AWSの仕様として、ユーザーはデフォルトでどのサービスを使うのも禁止されているイメージを持つ。 これを、IAMを使って一つずつ許可していく。 IAM用語 ポリシー IAMにおけるルールは全てポリシーで管理されている。実体はkey-value形式のjsonファイル。ユーザーにどんな操作を許可するのかという内容を全てここに書く。そのため、ポリシーがないとAWSではまず何もできません。AWSがデフォルトで用意しているポリシーセットを使う場合と、オリジナルにポリシーを作り上げる場合とがある。このポリシーを後述する「ユーザー」「グループ」「ロール」という単位でアタッチできる。 IAMユーザー 個人個人のアカウントのこと。 IAMグループ
【AWS】IAMポリシーの作成方法を解説【カスタムポリシーを作成して権限管理をしてみよう】|インフラエンジニアになりたくて。
こんにちは、フルスタックエンジニアのryuです。 今回の記事では、AWSのIAMポリシーの作成方法について解説します。カスタムポリシーを作成してAWSの権限管理を行いましょう。ポリシーの作成方法は、IAMのコンソールから設定を行います。AWSのリソースに必要なアクセス権限を与えて、AWSのセキュリティを高めましょう!
[nodejs] AWS IAM ユーザの secret_access_key から SES 用の SMTP パスワード を生成する - Qiita
[nodejs] AWS IAM ユーザの secret_access_key から SES 用の SMTP パスワード を生成するNode.jsAWSses TL;DR SES で生成した IAM ユーザ ses-smtp-user.YYYYMMDD にポリシーを足して、他の用途に流用しようと考えたが、どうも上手くいかない。 原因は、secret_access_key と SMTP 用のパスワードが異なるためだった。 secret_access_key から SMTP 用のパスワードは生成できるようだ。逆はだめ。 公式のドキュメントには python 版が記されている https://docs.aws.amazon.com/ses/latest/dg/smtp-credentials.html nodejs 版を記しておく const crypto = require('crypto')
![[nodejs] AWS IAM ユーザの secret_access_key から SES 用の SMTP パスワード を生成する - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/6cb7d689ff19b52351947a1440352d9801765bfd/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-412672c5f0600ab9a64263b751f1bc81.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTk3MiZoPTM3OCZ0eHQ9JTVCbm9kZWpzJTVEJTIwQVdTJTIwSUFNJTIwJUUzJTgzJUE2JUUzJTgzJUJDJUUzJTgyJUI2JUUzJTgxJUFFJTIwc2VjcmV0X2FjY2Vzc19rZXklMjAlRTMlODElOEIlRTMlODIlODklMjBTRVMlMjAlRTclOTQlQTglRTMlODElQUUlMjBTTVRQJTIwJUUzJTgzJTkxJUUzJTgyJUI5JUUzJTgzJUFGJUUzJTgzJUJDJUUzJTgzJTg5JTIwJUUzJTgyJTkyJUU3JTk0JTlGJUU2JTg4JTkwJUUzJTgxJTk5JUUzJTgyJThCJnR4dC1jb2xvcj0lMjMyMTIxMjEmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9NTYmdHh0LWFsaWduPWxlZnQlMkN0b3Amcz0xMDQ2YTFjN2JjNzQ0ZjIzMGUyNzJjZThkNTQzNDY3OA%26mark-x%3D142%26mark-y%3D57%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZoPTc2Jnc9NzcwJnR4dD0lNDBleGFidWdzJnR4dC1jb2xvcj0lMjMyMTIxMjEmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9MzYmdHh0LWFsaWduPWxlZnQlMkN0b3Amcz02YmU4MTcxZDExMmJlMWUyZmU0MzA2M2I0NGJhNGFkYw%26blend-x%3D142%26blend-y%3D486%26blend-mode%3Dnormal%26s%3De8db8167b2bbf5ded8ccd04768edc0ca)
EC2 インスタンスだけを管理できてそれ以外の権限は不要という IAM ユーザが必要になり、IAM ユーザのポリシーに AmazonEC2FullAccessだけを付与して EC2 インスタンスを作ろうとしたところ、iam:PassRole というアクションの権限が必要というエラーがでてきました。この iam:PassRole について調べたので備忘録です。 目次 iam:PassRole は、IAM Role の使用を許可する権限である 調査に至った背景 EC2 インスタンスの作成完了画面で Authorization failure エラーが発生する エンコードされたエラーメッセージをデコードする iam:passRole って何だ iam:PassRole がなぜ用意されているのか iam:PassRole が必要なサービス iam:PassRole は、IAM Role の使用を許
事前知識 AWS IAMアカウントの作成 IAMコンソールを開く。 ユーザ追加 を押下する。 ユーザー名 を入力し、アクセスキー・プログラムによるアクセス にチェックを付ける。 アクセス権限 を押下する。 既存のポリシーを直接アタッチ を選択し、 AdministratorAccess にチェックを付ける。 タグ を押下する。 キーに Name , 値に Admin と入力し、確認 を押下する。 ユーザー作成 を押下する。 アクセスキーID と シークレットアクセスキー をメモする。 aws configureの設定 コマンド >aws configure AWS Access Key ID [None]: 【アクセスキーID】 AWS Secret Access Key [None]: 【シークレットアクセスキー】 Default region name [None]: 【リージョン】
AWS IAM でのマルチアカウント管理 ☘️ はじめに 本ページは、AWS に関する個人の勉強および勉強会で使用することを目的に、AWS ドキュメントなどを参照し作成しておりますが、記載の誤り等が含まれる場合がございます。 最新の情報については、AWS 公式ドキュメントをご参照ください。 👀 Contents はじめに マルチアカウント管理の全体像 メリット デメリット メンバーアカウントでの設定 ① 許可ポリシーの設定 AWS CDK(TypeScript)の実装例 ② ロールの作成 ③ ロールの信頼ポリシー(信頼関係)と使用条件 信頼ポリシー(信頼関係) 使用条件 使用条件の応用 AWS CDK(TypeScript)の実装例 Jump アカウントでの設定 ④ メンバーアカウントのロール使用許可 AWS CDK(TypeScript)の実装例 利用者への情報提供 ロールの切り替え方
Amazon VPC Lattice と Amazon EKS における AWS IAM 認証の実装 | Amazon Web Services
Amazon Web Services ブログ Amazon VPC Lattice と Amazon EKS における AWS IAM 認証の実装 イントロダクション Amazon VPC Lattice は、AWS ネットワークインフラストラクチャに直接組み込まれた、フルマネージドなアプリケーションネットワーキングサービスです。複数のアカウント、複数の仮想プライベートクラウド (VPC) にまたがる全てのサービスの接続、セキュア化、監視に使用できます。 Amazon Elastic Kubernetes Service (Amazon EKS) では、Kubernetes Gateway API の実装である AWS Gateway API コントローラーを通じて、Amazon VPC Lattice を使用できます。Amazon EKS のお客様は、Amazon VPC Lattic
AWS IAM Identity CenterをGoogle Cloud IdentityとIdP連携してGoogleアカウントでAWSにSSOする - Qiita
AWS IAM Identity CenterをGoogle Cloud IdentityとIdP連携してGoogleアカウントでAWSにSSOするAWSSSOCloudIdentityGoogleCloudIAMIdentityCenter Cloud Identity や IAM Identity Center(以下IdC)のどちらか、或いは両方に詳しくなくともIdP連携してSSOできるよう設定手順を本稿に記します。 なお、本稿では SCIM の設定は行いません。 無料版の Cloud Identity でも利用可能です。 Google Workspace も同じ手順で設定できます。 Cloud Identity とは Cloud Identity は、Google Workspace から Gmail やカレンダーなどのグループウェア機能を取り除いたサービスであり、アカウント管理に特
AWS IAM(AWS Identity and Access Managemment)とは - Qiita
IAM とは AWS サービス間の認可をするための AWS ユーザーを管理するためのサービスである。 このサービス自体はとっても地味だが、 AWS で何をするにも必ず関わってくるサービスなので、おさえておくと良い。 IAM 利用イメージ IAM ベストプラクティス 1)利用者ごとに IAM ユーザーを払い出し、IAM ユーザーを使いまわさない CloudTrail 等で監査的なログを出力していても誰が何を使っているのか分からなくなってしまうため。 2)役割ごとの IAM グループを作成し、 IAM グループに権限を振る IAM グループを活用することで、例えば、インフラ専用グループ、アプリ専用グループ等、用途によって分けることが望ましい。 これは、規模が大きくなればなるほど運用が楽になるメリットがある。 また、小規模の場合でも IAM ユーザー単位に権限を割り振ると権限の付け間違い等を防ぐ
AWS IAM メモ - Qiita
AWS全体の認証認可基盤 IAM user アカウント作成時のルートユーザーとは異なる作成されたユーザー 権限を制限したIAM userを付与するのが基本 policyやroleをアタッチできる しかしIAM groupへpolicyやroleをアタッチして使うのがベストプラクティス IAM group roleやpolicyをアタッチ可能な集合 ここにユーザーを所属させるのがベストプラクティス IAM policy AWSへのアクセス権限 管理ポリシーとインラインポリシーがある IAM role EC2やlamdaにアタッチして権限付与ができる 内部的には使い捨てのキーとパスを発行しているらしい
AWS IAM はよく使うけどその裏側の仕組みは考えたことない……そんなあなたにちょっとだけ世界が豊かになる情報をお伝えします。※2022年7月19日〜29日開催の技術カンファレンス「DevelopersIO 2022」のセッション動画です。■目次0:00 オープニング0:52 先に結論1:24 アジェンダ1:5...
I Tried Integrating AWS IAM Access Analyzer in A CI/CD pipeline | DevelopersIO
I Tried Integrating AWS IAM Access Analyzer in A CI/CD pipeline Hello, In a recent project, I was tasked with deploying an IAM policy through CloudFormation. As IAM policies have the potential to grant permissions to other accounts, they can pose a significant threat to our own account. To mitigate this risk, I researched ways to proactively check IAM policies before they are deployed. This led me
TerraformでAWS IAMのスイッチロール環境を構築 - とことんDevOps | 日本仮想化技術のDevOps技術情報メディア
スイッチロールの設定ってプロジェクトの開始時やJoinした時にやるくらいで、いつもどうやるんだっけ?となります。最近たまたまスイッチロールを使う機会があったんですが、今回も案の定忘れてしまっていたので、この機会にIaC化します。 スイッチロール スイッチロールは、複数のAWSアカウントで作業している際に、既存のサインインを維持したまま、別のAWSアカウントに切り替える機能です。 docs.aws.amazon.com しくみ スイッチ元のAWSアカウント(サインイン中のAWSアカウント)からスイッチ先のAWSアカウント(切り替えたいAWSアカウント)のロールを指定してスイッチします。 スイッチ先のアカウントID: 000000000000 スイッチ元のアカウントID: 111111111111 スイッチ先でIAM Roleを作成し、信頼関係でスイッチ元からのAssumeRoleを許可します
Amazon EventBridgeを用いて、複数アカウントのAWS IAM Access Analyzerの検知を1つのアカウントに集約してみた | DevelopersIO
Amazon EventBridgeを用いて、複数アカウントのAWS IAM Access Analyzerの検知を1つのアカウントに集約してみた AWS Organizationsを使えばIAM Access Analyzerを集約できますが、諸事情でAWS Organizationsを使用していない場合もあります。その際にはAmazon EventBridgeなどを用いて集約を実装する必要があります。 AWS IAM Access Analyzerをまとめて管理したい おのやんです。 みなさん、複数アカウントのAWS IAM Access Analyzer(以下、IAM Access Analyzer)を1つのアカウントに集約したくないですか?私は集約したいです。 AWS Security Hub(以下、Security Hub)やAmazon GuardDuty(以下、GuardDu
AWS IAMユーザー作成手順 - Qiita
コンソールでIAMを選択 左のメニューから『ユーザー』を選択し、『ユーザーを追加』 IAMユーザー名を入力、『パスワード - AWSマネジメントコンソールへのアクセス』にチェックし次のステップへ 既存のポリシーを直接アタッチ、AdministratorAccessにチェックし次のステップへ タグを追加し(任意)次へ 内容を確認して『ユーザーの作成』 パスワードをコピーし、コンソールへサインイン パスワードの変更を求められるので、新しいパスワードに変更したら完了。 MFAを使用した多要素認証(2段階認証)の設定手順
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【AWS】IAMポリシーで設定できるアクションがいくつあるか、あなたは知っていますか? - Qiita
aws_iam_policy_attachment はIAMポリシーを排他的にアタッチする | Oji-Cloud
【AWS】IAM認証を使用したLambdaの関数URL呼び出しをやってみた - Qiita
AWS IAM ポリシーの arn と Azure RBACのスコープの比較 - Qiita
IAM Roles Anywhere で AWS IAM ロールを AWS 外部のワークロードに拡張する | Amazon Web Services
AWS IAM アイデンティティセンターの機能 - Amazon Web Services (AWS)
【AWS】IAMユーザーのMFAの設定をマストにする - Qiita
AWS IAM User と Policy で S3 にアップロードしか出来ないユーザを作る - Qiita
【AWS】IAMの作業用ユーザー作成方法等 - Qiita
【徹底解説】AWS IAMユーザのベストプラクティス設計
CSM: AWS IAM 認証をためす - Qiita
【AWS】IAMとは?概要と使い方を詳しく説明 no.2 - Qiita
[小ネタ] AWS IAMポリシーの Conditionで使える条件演算子 “Null” の使いみちを考える | DevelopersIO
【AWS】IAMとは(IAMポリシー、ロールなど含む) - Qiita
AWS IAM ユーザーの作成方法 - Qiita
【AWS】IAMの概要を5分で理解する - Qiita
AWS iam:PassRoleって何だ
AWS IAMアカウントの作成とaws configureの設定 - Qiita
【初心者向け】AWS IAM でのマルチアカウント管理入門!完全ガイド
どこで動いてるの?AWS IAM のコントロールプレーンとデータプレーンに思いを馳せる #devio2022