はじめに 皆さんはIAMポリシーで設定できるアクションがいくつあるかご存じですか? 私は知らないのですが、例のドキュメントを見ながらIAMポリシーの権限設定を検証しているときふと、一体いくつあるのかなぁと気になりました。 という訳で今回はIAMポリシーで設定できるアクションの総数を調べてみました。 例のドキュメント 1.調査方法 (1)AWS CLIとかAWS SDKは...? まず思い当たるのはAWS CLIやAWS SDKなどを利用する方法ですが、 残念ながら現時点(2024年3月)ではアクションの一覧を表示する手段は用意されていません。 aws iam list-policy-actions的なコマンドがあって一覧を出力できたらとても楽だったのですが...。 (2)マネジメントコンソールは...? 次にマネジメントコンソールはどうでしょうか。 以下のように明らかに過剰な権限を付与した
概要 Terraform の “aws_iam_policy_attachment" を使用した失敗談を記事にします。 先ず、“aws_iam_policy_attachment" は、IAMポリシーをIAM のuser(s), role(s), group(s) にアタッチするためのリソースです。この “aws_iam_policy_attachment" は、使用方法を理解しないと、想定外の結果を引き起こします。本記事の内容をお読みください。 “aws_iam_policy_attachment" の注意事項 aws_iam_policy_attachment はIAMポリシーを排他的にアタッチします。 aws_iam_policy_attachment に定義されていない user(s), role(s), group(s) から、対象のIAMポリシーがデタッチされます。これは、aw
はじめに 現在、AWSについてudemyの教材を用いて勉強中です。 IAMについて学習しましたので、本記事にてアウトプットします。 IAMとは? 「Identity and Access Management」の略称。 AWSのサービスを利用するユーザー権限を管理するサービスになります。 ※WindowsServerで言う「Active Directory」になります。 ベストプラクティス AWSの公式ドキュメントによると、AWSアカウントのルートユーザーを使用することはNGであるとのこと。 AWSアカウントとは別に下記を作成することがベストプラクティスであるとのこと。 担当者ごとの管理者権限付きIAMユーザー 管理者IAMユーザー作成方法 画像付きで解説していきます。 ①AWSアカウントのルートユーザーにてログイン後、「サービス」→「IAM」を選択。 ②「ユーザー」を選択 ③「ユーザーを
AWSのサービスへのアクセス制御を定義できるAWS IAMのポリシーとは?実際に使用してみた|コラム|クラウドソリューション|サービス|法人のお客さま|NTT東日本
2020.11.04 | Writer:ふくちゃん AWSのサービスへのアクセス制御を定義できるAWS IAMのポリシーとは?実際に使用してみた Amazon Web Services (以下AWSとする)では、AWSのサービスやリソースへのアクセスを安全に管理できるIdentity and Access Management(以下IAMとする)機能があります。 当コラムでは「IAM」機能のひとつである、ポリシーの概要説明や利用方法を実践しご紹介します。 前回のコラムではAWS IAMの概要、料金、使用目的等をご紹介していますので是非お先にご確認ください。 リンク:AWS IAMによる権限設定のメリットと設定方法 ポリシーとは? AWS IAMの「グループ」、「ユーザー」、「ロール」、「ポリシー」の4つの要素の一つです。 ポリシーは「グループ」、「ユーザー」、「ロール」に対し、各AWSのサ
ユーザ権限の設定はちょっと AWS を触るだけでも必須の機能ですが、すぐ忘れるのでメモします。例えば自動的に S3 にファイルをアップロードしたいという場合を考えてみます。この時、アップロードするスクリプトは特定の S3 にだけアクセス出来て、他の余計な事は出来ないようにしたいと思います。できるだけ awscli を使い、awscli では面倒臭い操作だけ AWS Console を使います。 やりたい事 S3 バケットを作成して、ローカルディレクトリの内容をコピーしてブラウザから見える状態にする。 ファイルのアップロード用に最低限の権限だけを持つユーザを作成する。 AWS の権限とは? AWS では、「誰が」、「何処に」、「何を」、「出来る/出来ない」。という形式で権限を設定し ます。それぞれ、AWS 用語では Principal, Resource, Action, Effect と呼
AWS IAM Identity Center のアカウントインスタンスでも外部 IdP からのシングルサインオンを構成出来るのか試してみた | DevelopersIO
AWS IAM Identity Center のアカウントインスタンスでも外部 IdP からのシングルサインオンを構成出来るのか試してみた いわさです。 数ヶ月前のアップデートで IAM Identity Center が Organizations 管理アカウント以外のメンバーアカウントから有効化出来るようになりました。 この機能で有効化された環境はアカウントインスタンスと呼ばれ、IAM Identity Center から連携出来るアプリケーションが限定されています。 通常の IAM Identity Center 組織インスタンスとは少し使い勝手が違うわけですが、IAM Identity Center の機能のひとつに外部 IdP との連携機能があります。 よく考えたらこちらは制限はないのでしょうか。もしかしたら Identity Center ディレクトリのみしか使えないという可
Amazon Web Services ブログ IAM Roles Anywhere で AWS IAM ロールを AWS 外部のワークロードに拡張する この記事は Extend AWS IAM roles to workloads outside of AWS with IAM Roles Anywhere を訳したものです。 IAM Roles Anywhere のリリースの通り、AWS Identity and Access Management (IAM) を用いて AWS 外部で稼働しているワークロードに IAM ロールを簡単に使用できるようになりました。この機能は、IAM ロールの機能を AWS 外部のワークロードに拡張します。IAM Roles Anywhere を利用することで、オンプレミスのサーバー、コンテナ、またはアプリケーションが一時的な AWS クレデンシャルを取得
terraform-aws-iam-identity-centerモジュールを使って、IAM Identity Centerリソースを管理してみる | DevelopersIO
terraform-aws-iam-identity-centerモジュールを使って、IAM Identity Centerリソースを管理してみる Terraformで効率よくAWS IAM Identity Centerリソースを定義するのはなかなか大変です。 (数が多くなりがちなaws_ssoadmin_account_assignmentを効率よく書こうとすると特に) 以下のモジュールを使うと簡単に定義できます。 aws-ia/iam-identity-center/aws | Terraform Registry terraform-aws-iam-identity-centerとは eks-blueprint等でおなじみの、aws-iaが管理するAWS IAM Identity Center用のTerraformモジュールです。 このモジュールは以下に対応しています。 Dynam
AWS IAM アイデンティティセンターは、複数の AWS アカウントおよびビジネスアプリケーションへのアクセスの一元管理を容易にします。ワークフォースには、割り当てられたすべてのアカウントとアプリケーションへのシングルサインオンアクセスを一か所から提供します。IAM アイデンティティセンターを使用すると、AWS Organizations にあるすべてのアカウントに対する一元的なアクセスとユーザーアクセス許可を簡単に管理できます。IAM アイデンティティセンターでは、個々のアカウントにおける追加のセットアップを必要とすることなく、アカウントに必要なアクセス許可のすべてが自動的に設定および維持されます。ユーザーのアクセス許可は、一般的な職務に基づいて割り当てることができ、特定のセキュリティ要件を満たすためにこれらのアクセス許可をカスタマイズすることも可能です。IAM アイデンティティセンタ
[アップデート] AWS IAM Identity Center のアクセスポータルが新しくなり、ショートカットリンク作成機能がリリースされました | DevelopersIO
[アップデート] AWS IAM Identity Center のアクセスポータルが新しくなり、ショートカットリンク作成機能がリリースされました いわさです。 AWS IAM Identity Center で管理されているユーザーは、IAM Identity Center のアクセスポータル画面を使って連携しているアプリケーションや AWS アカウントへアクセスすることが出来ます。 今朝、この IAM Identity Center のアクセスポータル画面がアップデートされたとアナウンスされていました。 たしかに、数日前、次の記事の検証で触っていた時に「なんかかっこよくなったな?」と思ったのですよね。 あれは気の所為じゃなかったか。 アナウンス内容からするとアクセスポータル画面が使いやすくなり、さらに便利そうなショートカットリンク機能というものが提供されるようになったそうです。 本日は
AWS の場合、IAM ポリシーで様々な認可制御を行います。 Azure をお使いの人だと、似たような概念は Azure Role-Based Access Control (Azure RBAC)だったりします。 Azure RBAC の場合も AWS IAM ポリシーの場合も、許可の対象を指定する必要がありますが、その指定するための文字列に「頭の切り替え」が必要だなと感じた話です。 Azure RBAC の対象(スコープ)指定 Azure RBAC の場合、Azure ポータルの アクセス制御 (IAM) という部分から、対象のリソースに対する認可が設定されたユーザー等が確認できます。 Azure の場合、下記のような階層構造があるので、上位の階層に設定された権限が下位の階層に継承されます。 (管理グループ) サブスクリプション リソースグループ (リソース種別) リソース どの範囲に
【AWS-IAM】担当者の役割変更、及び、リリース時にアカウントの権限を変更したい - Qiita
本記事で実現できること 担当者の役割変更、及び、リリース時にアカウントの権限を変更する 前提 AWSマネコンはログイン済み 2024.3.28 時点でのコンソールのUIになります 簡単な解説 全部で9フェーズ ①ホーム画面で、画面上部検索欄に[IAM]と入力。 出てくるサービスの中から[IAM]をクリック ②左画面で[ユーザー] を選択後、対象のIAMユーザーのユーザー名をクリックする。 ③[グループ]タブをクリックする。 ④変更前のグループ名にチェックを入れ、[削除]をクリック ⑤確認画面で、グループ名に相違がないか確認し、[削除]をクリックする。 ⑥正常に削除されるとユーザーがグループから削除された旨のメッセージが出力される。 ⑦[ユーザーをグループに追加]をクリックする。 ⑧追加する対象のグループにチェックを入れ、[ユーザーをグループに追加]をクリックする。 ⑨正常に追加された旨のメ
【AWS】IAMユーザーの作成方法解説!【IAMユーザーを作ってログインする】|InfraAcademy(インフラアカデミー)
こんにちは、フルスタックエンジニアのryuです。 今回の記事では、AWSのIAMでユーザー作成の方法を解説します。IAMでユーザーを作成してAWSのコンソールにログインしてみましょう。作成方法は、IAMコンソールからユーザーを選択して、作成をクリックします。作成方法を具体的に解説します。 今回の記事では、AWSのIAMユーザーの作成方法を解説します。 IAMとは、IAMはIdentity and Access Managementの略で、直訳すると「IDおよびアクセス管理」という意味です。AWSの権限管理を行うサービスのことです。 今回は、AWSの権限管理を行うために、IAMユーザーの作成方法を解説します。IAMユーザーを作成することで、「このユーザーはこのサービスのみ設定できる」といった、権限管理を行うことができます。 IAMの概要については、こちらの記事で解説しているので、IAMが良く
こんにちは、まゆみです。 AWSに関する記事をシリーズで書いています。 今回は第2回目になります。 前回の記事では、 そもそもクラウドとはどんなサービスのことなのか? AWSの概要 について書かせていただきました。 今回の記事から、もう少し具体的な内容に踏み込んでいこうと思います。 今回の記事では、AWSの『IAM(アイ・エー・エム)』とは何なのかについて書いていきますね。 ではさっそく始めていきます。 IAMとは『Identity Access Management』の略になります。 IAMとはその名の通り、AWSを使う個人やグループの特定のリソースに対するアクセス権をコントロールするサービスになります。 全てのAWSユーザーに全てのリソースへのアクセス権を与えるのではなく、個人やグループに必要なアクセス権を必要に応じて与えることができるのが、IAMです。 ユーザーやグループに、それぞれ
はじめに IAMポリシーの Condition で使える条件演算子 Null の使いみちを考えてみます。 前提知識 IAMポリシーの Condition IAMポリシーの Condition要素 でポリシーが実行される条件を指定します。 例えば以下は 「 (EC2)リソースの Protectionタグの値が "enabled" である場合 に そのリソースの削除(Delete*)を禁止(Deny)する」 ステートメントです。 "Effect": "Deny", "Action": "ec2:Delete*", "Resource": "arn:aws:ec2:*", "Condition" : { "StringEquals" : { "aws:ResourceTag/Protection": "enabled" } } 一番シンプルな Conditionは以下のような構文です。 "Con
![[小ネタ] AWS IAMポリシーの Conditionで使える条件演算子 “Null” の使いみちを考える | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/be87d4dc194a448afd90d0a4b97626b36839fd3a/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Faws-iam.png)
IAM Identity Center 証明書のローテーション - AWS IAM Identity Center
有効期間 – 新しい IAM Identity Center 証明書の有効期限が切れるまでに割り当てられた時間 (月単位) を指定します。 キーサイズ — キーが暗号アルゴリズムで使用するビット数を決定します。この値は、1024 ビットRSAまたは 2048 ビットのいずれかに設定できますRSA。暗号化におけるキーサイズの仕組みに関する一般情報については、「Key size」(キーサイズ) を参照してください。 アルゴリズム — IAM Identity Center がSAMLアサーション/レスポンスに署名するときに使用するアルゴリズムを指定します。この値は、サービスプロバイダーが SHA-1 を要求しない限り、可能な場合は SHA-SHA256 を使用して -1 または SHA-256. AWS recommends のいずれかに設定できます。暗号化アルゴリズムの仕組みに関する一般情報
AWS IAMでユーザーを作成しよう - Qiita
AWSのアカウントを作ろうでアカウント作成するとルートアカウントだけ作成されます。ここでは、作成したAWSアカウントのIAMでユーザーを作成してみましょう。 IAMユーザーをなぜ作成するのか 別な記事にも書きましたが、ルートアカウントは、Administrator権限を有する非常に強力なアカウントであるため、開発や運用時には制限したIAMユーザーアカウントで操作することが推奨されます。 誤操作することを防ぐ目的があり、また、操作する人やプログラムへユーザーやロールを割り当てることで誰が操作をおこなったのか?という証跡を残す目的もあります。 (と書いたけど、少し雑な言い方かもしれない。あとで書き直す) この記事で行うこと AWSのIAMユーザーを追加する。 事前に決めておくこと AWSでは、ユーザーへ様々な権限を付与することができます。そのため、ユーザーへ付与する権限を事前に決めておく必要が
みなさん、こんばんは。koyachiです。今日はAWS Identity and Access Management (IAM)を利用するときのベストプラクティスについて、お伝えさせていただきます。絶対使うIAMユーザ、本来のあるべき姿とは??? AWS Identity and Access Management (IAM) とは そもそも、 AWS Identity and Access Management (IAM) ってどのようなサービスだっけ?AWSにログインするときに使うよね?と思っている方も多いと思います。簡単に特徴をおさらいします。 ・AWSリソースをセキュアに操作するために、認証・認可の仕組みを提供するマネージドサービス ・各AWSリソースに対して別々のアクセス権限をユーザ毎に付与できる ・多要素認証(Multi-Factor Authentication:MFA)によ
AWS IAMロールの ExternalId が大文字・小文字を区別するのか試してみた | DevelopersIO
AWS IAMロールでは、ExternalIdが設定できます。 AWS リソースへのアクセス権を第三者に付与するときに外部 ID を使用する方法 - AWS Identity and Access Management IAM ロールの信頼ポリシーで設定する外部 ID(sts:ExternalId) について | DevelopersIO ExternalIdで利用できる文字について、大文字・小文字を区別するのか気になったので、試してみました。 ExternalId の値は、2~1,224 文字で構成されている必要があります。この値は、空白のない英数字にする必要があります。次の記号を含めることもできます。プラス記号 (+)、等号 (=)、カンマ (,)、ピリオド (.)、アットマーク (@)、コロン (:)、スラッシュ (/)、およびハイフン (-)。 https://docs.aws.a
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 概要 前回の記事 "CipherTrust Secrets Management (CSM)をためす" では、Akeyless CLI等のクライアントから、Akeyless (Gateway または SaaS)へアクセスする際に、API Keyを用いて認証を行っていました。 API Keyは、"Access ID","Account Key"からなります。Akeyless CLIの場合、この認証情報は、"~/.akeyless/profiles/default.toml"に保存され、Akeyless認証時に利用されます。 個々のシステム
AWS IAM(Identity and Access Management)とは?初心者でもわかる基本と使い方 - Qiita
ハマりポイント:アクセス拒否(AccessDenied) よくあるのが、操作しようとしたら「AccessDenied」みたいなエラーが出るケース。 これはだいたい「ポリシーが足りない or 間違ってる」ことが原因です。 S3にアクセスできない? → AmazonS3FullAccess つけた? EC2の操作ができない? → AmazonEC2FullAccess つけた? 慣れるまでは公式ポリシーを付ける→挙動確認→絞り込む、という流れがわかりやすいです。 ベストプラクティス(初心者向け) ルートユーザーは基本使わない MFA(多要素認証)をオンにする ユーザーに必要最低限の権限だけを与える 作業用アカウント・閲覧用アカウントなどを使い分ける 最後に:IAMは地味だけど超大事 IAMは「設定がちょっとめんどくさい」「エラーも多い」という印象があるかもしれません。でも、AWSの世界ではセキ
APIやサービスを新しく利用するときに、チュートリアルなど読むと、 「以下の JSON を参考に AWS IAM ユーザーを作成してください」 と、できて当然に書かれていて、素人の私はいつも四苦八苦しております。(できて当然なことなんでしょうけど) 公式サイトに書いてあるとおりといえば、そうなんですけど、 (公式)AWS アカウントでの IAM ユーザーの作成 恥ずかしながら素人の私は毎回すんなりできないので、「AWS IAM ユーザーの作成方法」を備忘録として残します。 条件 ・ユーザーコンソールで作成 ・APIなど外部からのアクセスに利用 ・ポリシーをJSONで作成 手順 AWS マネジメントコンソール にサインイン IAM (https://console.aws.amazon.com/iam/ ) を開く。 [ユーザー] > [ユーザーを追加] 次へ アクセス許可の設定 [ユーザー
挨拶 こんにちは! AdventCalenderに初参加の白"雪姫"です。 私からは以前,私自身のエンジニアブログとして書いた物を再度まとめて記載させてもらおうと思います。 今回のテーマ タイトルにあるとおり, AWSのIAMポリシーについて考える。 です。 要件 下記の通りの要件です。 VPC上で起動しているEC2へは,IAMのアクセスキーとシークレットアクセスとSSMを利用して,許可された端末であれば,どこからでも接続を行いたい AWSマネジメントコンソールへのログインは出来たとしても,指定したIPアドレス以外からは接続を拒否したい AWS CLIは許可された端末からどこからでも実行を許可するが,実行が可能な権限は絞りたい もう,この時点で意味が分かりません。 AWSのドキュメントを確認する。 AWSには,様々なドキュメントが用意されており,IAMポリシーについても有りました。 そこで
# AWS IAM の記事一覧AWS IAMは、AWSリソースへのアクセス管理を行うサービスです。セキュリティとガバナンスの確保に欠かせません。
IAMユーザー AWSを利用するために各利用者に1つずつ与えられるIDです。 AWS上の利用者はIAMユーザーという権限を付与されたエンティティとして認定されます。 IAMユーザーの認証方法は以下の2通りです。 < ユーザーIDとパスワード > Webコンソールにログインするときに使用します。 多要素認証(MFA)を組み合わせるのが良い。 < アクセスキーとシークレットアクセスキー > CLIやAPIからAWSのリソースにアクセスする場合に使用します。 ルートユーザー(IAM以外) 最初に登録したメールアドレスのアカウント。 全てのAWSサービスとリソースを使用できる。 この中に、複数のユーザーを作成して共有することがで共同開発が可能。 権限が強すぎるため、日常的なタスクはルートユーザーを使用するべきではない。 【ルートユーザーのみの実施権限】 ・ルートアカウントのメールアドレスやパスワー
目次 1. はじめに 2. IAMとは 3. IAMの基本 a) IAMユーザー(グループ)とは b) IAMポリシーとは c) IAMロールとは 4. IAMのベストプラクティス a) 権限は最小限にする b) 多要素認証をできるだけ行う c) CloudTrailでモニタリングをする d) アクセスキーは極力使わない 5. まとめ 1. はじめに AWS IAMについて詳しく記載していきます。IAMはAWSのセキュリティを考えるうえで基本的なサービスとなっていますので、AWSを安全に利用するためには正しく理解することが重要です。 2. IAMとは IAM(Identity and Access Management:アイアム)とは、AWSのサービスで「認証」と「認可」の設定を行うことができるサービスです。「認証」「認可」を正しく設定することで、AWSの利用者や、AWSのサービスがアクセ
このページの想定読者 AWSアカウントの管理者 このページの目的 管理しているAWSアカウントで、IAMユーザーを払い出した時に、MFA設定をしてくれないユーザーの権限を制限するためのメモ 概要 IAMポリシーでMFAが設定されているかどうかを判定する 判定結果によって権限を有効/無効にする 「MFAを設定していない場合はMFA設定以外の操作ができないようにする」と「MFA設定をしていない場合は限定的な権限(例えばReadOnlyAccess)にする」の2パターン記載する 詳細 MFAを設定していない場合はMFA設定以外の操作ができないようにする AWS公式がIAMポリシーを公開している。 IAM: IAM ユーザーに MFA デバイスの自己管理を許可する ▼ポリシー { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowList
こんにちは、ニキです。 この記事では、IAM Identity Centerを使用して、ユーザーを作成します。 IAM Identity Centerを使うことで、AWS アカウントのセキュリティが強化されます。 IAM アイデンティティセンターを使用しているのは、セッションごとに一意の認証情報 (一時的な認証情報とも呼ばれる) をユーザーに提供するためです。これらの認証情報をユーザーに提供すると、ユーザーがサインインするたびに生成されるため、AWS アカウントのセキュリティが強化されます。 https://aws.amazon.com/jp/getting-started/guides/setup-environment/module-two/ それでは、具体的な手順を解説していきます。
[nodejs] AWS IAM ユーザの secret_access_key から SES 用の SMTP パスワード を生成する - Qiita
[nodejs] AWS IAM ユーザの secret_access_key から SES 用の SMTP パスワード を生成するNode.jsAWSses TL;DR SES で生成した IAM ユーザ ses-smtp-user.YYYYMMDD にポリシーを足して、他の用途に流用しようと考えたが、どうも上手くいかない。 原因は、secret_access_key と SMTP 用のパスワードが異なるためだった。 secret_access_key から SMTP 用のパスワードは生成できるようだ。逆はだめ。 公式のドキュメントには python 版が記されている https://docs.aws.amazon.com/ses/latest/dg/smtp-credentials.html nodejs 版を記しておく const crypto = require('crypto')
![[nodejs] AWS IAM ユーザの secret_access_key から SES 用の SMTP パスワード を生成する - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/6cb7d689ff19b52351947a1440352d9801765bfd/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-412672c5f0600ab9a64263b751f1bc81.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-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%26mark-x%3D142%26mark-y%3D57%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZoPTc2Jnc9NzcwJnR4dD0lNDBleGFidWdzJnR4dC1jb2xvcj0lMjMyMTIxMjEmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9MzYmdHh0LWFsaWduPWxlZnQlMkN0b3Amcz02YmU4MTcxZDExMmJlMWUyZmU0MzA2M2I0NGJhNGFkYw%26blend-x%3D142%26blend-y%3D486%26blend-mode%3Dnormal%26s%3De8db8167b2bbf5ded8ccd04768edc0ca)
EC2 インスタンスだけを管理できてそれ以外の権限は不要という IAM ユーザが必要になり、IAM ユーザのポリシーに AmazonEC2FullAccessだけを付与して EC2 インスタンスを作ろうとしたところ、iam:PassRole というアクションの権限が必要というエラーがでてきました。この iam:PassRole について調べたので備忘録です。 目次 iam:PassRole は、IAM Role の使用を許可する権限である 調査に至った背景 EC2 インスタンスの作成完了画面で Authorization failure エラーが発生する エンコードされたエラーメッセージをデコードする iam:passRole って何だ iam:PassRole がなぜ用意されているのか iam:PassRole が必要なサービス iam:PassRole は、IAM Role の使用を許
AWS IAM でのマルチアカウント管理 ☘️ はじめに 本ページは、AWS に関する個人の勉強および勉強会で使用することを目的に、AWS ドキュメントなどを参照し作成しておりますが、記載の誤り等が含まれる場合がございます。 最新の情報については、AWS 公式ドキュメントをご参照ください。 👀 Contents はじめに マルチアカウント管理の全体像 メリット デメリット メンバーアカウントでの設定 ① 許可ポリシーの設定 AWS CDK(TypeScript)の実装例 ② ロールの作成 ③ ロールの信頼ポリシー(信頼関係)と使用条件 信頼ポリシー(信頼関係) 使用条件 使用条件の応用 AWS CDK(TypeScript)の実装例 Jump アカウントでの設定 ④ メンバーアカウントのロール使用許可 AWS CDK(TypeScript)の実装例 利用者への情報提供 ロールの切り替え方
【AWS】IAMポリシーの作成方法を解説【カスタムポリシーを作成して権限管理をしてみよう】|Linux・ネットワークの学習サイトInfraAcademy(インフラアカデミー)
こんにちは、フルスタックエンジニアのryuです。 今回の記事では、AWSのIAMポリシーの作成方法について解説します。カスタムポリシーを作成してAWSの権限管理を行いましょう。ポリシーの作成方法は、IAMのコンソールから設定を行います。AWSのリソースに必要なアクセス権限を与えて、AWSのセキュリティを高めましょう!
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?
AWS IAM(AWS Identity and Access Managemment)とは - Qiita
IAM とは AWS サービス間の認可をするための AWS ユーザーを管理するためのサービスだ。 このサービス自体はとっても地味だが、 AWS で何をするにも必ず関わってくるサービスなので、おさえておくと良い。 IAM 利用イメージ IAM ベストプラクティス 1)利用者ごとに IAM ユーザーを払い出し、IAM ユーザーを使いまわさない CloudTrail 等で監査的なログを出力していても誰が何を使っているのか分からなくなってしまうため。 2)役割ごとの IAM グループを作成し、 IAM グループに権限を振る IAM グループを活用することで、例えば、インフラ専用グループ、アプリ専用グループ等、用途によって分けることが望ましい。 これは、規模が大きくなればなるほど運用が楽になるメリットがある。 また、小規模の場合でも IAM ユーザー単位に権限を割り振ると権限の付け間違い等を防ぐこと
[AWS IAM] AWSリソース間のIAMロール接続権限設計 ~セキュリティと効率を両立する設計の極意~ - Qiita
~IAMロールの使いこなしで、セキュリティと効率の両立を目指す~ AWSリソース間の接続権限を設計する際、IAMロールはまさに舞台の主役。彼らが持つ「ポリシー」という衣装を上手に選び、セキュリティというオーケストラを奏でましょう。今回の記事では、ポリシーの衣装選びからダンスの振り付けまで、AWSセキュリティのパーティーに欠かせない基礎を解説します。 1. 基本原則:リクエスト元が主役 AWSでは、「リクエストを発信するリソース」が舞踏会の主役。彼らに適切な権限(IAMロール)を与え、接続先リソース(舞台)で自由に動けるようにします。 理由: AWSでは権限はリクエスト発信者に付与されるルールです。誰が何をするのか、これが全ての始まり。 例え話 Lambda関数はパーティーの来客。DynamoDBが提供するケータリングサービスを利用するには、Lambdaに「GetItem」「PutItem」
![[AWS IAM] AWSリソース間のIAMロール接続権限設計 ~セキュリティと効率を両立する設計の極意~ - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/ddeb73cc67efa40849e6b89b5e0642cf1dc3bbf1/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fqiita-user-contents.imgix.net%252Fhttps%25253A%25252F%25252Fcdn.qiita.com%25252Fassets%25252Fpublic%25252Farticle-ogp-background-afbab5eb44e0b055cce1258705637a91.png%253Fixlib%253Drb-4.0.0%2526w%253D1200%2526blend64%253DaHR0cHM6Ly9xaWl0YS11c2VyLXByb2ZpbGUtaW1hZ2VzLmltZ2l4Lm5ldC9odHRwcyUzQSUyRiUyRnFpaXRhLWltYWdlLXN0b3JlLnMzLmFwLW5vcnRoZWFzdC0xLmFtYXpvbmF3cy5jb20lMkYwJTJGMjUxNTAwMiUyRnByb2ZpbGUtaW1hZ2VzJTJGMTY3ODU0NzgyMj9peGxpYj1yYi00LjAuMCZhcj0xJTNBMSZmaXQ9Y3JvcCZtYXNrPWVsbGlwc2UmZm09cG5nMzImcz1hMGQ3MzE4MzU0ZTRlMDg3YmRkNWMxYzZhYzk4OWQ4MA%2526blend-x%253D120%2526blend-y%253D467%2526blend-w%253D82%2526blend-h%253D82%2526blend-mode%253Dnormal%2526s%253D4b2e9fefa6d4ab83b4d63956e66b3111%3Fixlib%3Drb-4.0.0%26w%3D1200%26fm%3Djpg%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-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%26mark-x%3D120%26mark-y%3D112%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTgzOCZoPTU4JnR4dD0lNDBzb3RhaGVhdnltZXRhbDIxJnR4dC1jb2xvcj0lMjMxRTIxMjEmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9MzYmdHh0LXBhZD0wJnM9ODRhNGEzNzZlZDA2ZDMyODE2Y2YyM2I4Yzg2NzM0NzE%26blend-x%3D242%26blend-y%3D480%26blend-w%3D838%26blend-h%3D46%26blend-fit%3Dcrop%26blend-crop%3Dleft%252Cbottom%26blend-mode%3Dnormal%26s%3D35ce0271d6390bdb18f91ac61624a0c0)
AWS IAM Identity CenterをGoogle Cloud IdentityとIdP連携してGoogleアカウントでAWSにSSOする - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? Cloud Identity や IAM Identity Center(以下IdC)のどちらか、或いは両方に詳しくなくともIdP連携してSSOできるよう設定手順を本稿に記します。 なお、本稿では SCIM の設定は行いません。 無料版の Cloud Identity でも利用可能です。 Google Workspace も同じ手順で設定できます。 Cloud Identity とは Cloud Identity は、Google Workspace から Gmail やカレンダーなどのグループウェア機能を取り除いたサービスであり、アカ
Amazon VPC Lattice と Amazon EKS における AWS IAM 認証の実装 | Amazon Web Services
Amazon Web Services ブログ Amazon VPC Lattice と Amazon EKS における AWS IAM 認証の実装 イントロダクション Amazon VPC Lattice は、AWS ネットワークインフラストラクチャに直接組み込まれた、フルマネージドなアプリケーションネットワーキングサービスです。複数のアカウント、複数の仮想プライベートクラウド (VPC) にまたがる全てのサービスの接続、セキュア化、監視に使用できます。 Amazon Elastic Kubernetes Service (Amazon EKS) では、Kubernetes Gateway API の実装である AWS Gateway API コントローラーを通じて、Amazon VPC Lattice を使用できます。Amazon EKS のお客様は、Amazon VPC Lattic
AWS IAMユーザー作成手順 - Qiita
コンソールでIAMを選択 左のメニューから『ユーザー』を選択し、『ユーザーを追加』 IAMユーザー名を入力、『パスワード - AWSマネジメントコンソールへのアクセス』にチェックし次のステップへ 既存のポリシーを直接アタッチ、AdministratorAccessにチェックし次のステップへ タグを追加し(任意)次へ 内容を確認して『ユーザーの作成』 パスワードをコピーし、コンソールへサインイン パスワードの変更を求められるので、新しいパスワードに変更したら完了。 MFAを使用した多要素認証(2段階認証)の設定手順
AWS IAM はよく使うけどその裏側の仕組みは考えたことない……そんなあなたにちょっとだけ世界が豊かになる情報をお伝えします。※2022年7月19日〜29日開催の技術カンファレンス「DevelopersIO 2022」のセッション動画です。■目次0:00 オープニング0:52 先に結論1:24 アジェンダ1:5...
TerraformでAWS IAMのスイッチロール環境を構築 - とことんDevOps | 日本仮想化技術のDevOps技術情報メディア
スイッチロールの設定ってプロジェクトの開始時やJoinした時にやるくらいで、いつもどうやるんだっけ?となります。最近たまたまスイッチロールを使う機会があったんですが、今回も案の定忘れてしまっていたので、この機会にIaC化します。 スイッチロール スイッチロールは、複数のAWSアカウントで作業している際に、既存のサインインを維持したまま、別のAWSアカウントに切り替える機能です。 docs.aws.amazon.com しくみ スイッチ元のAWSアカウント(サインイン中のAWSアカウント)からスイッチ先のAWSアカウント(切り替えたいAWSアカウント)のロールを指定してスイッチします。 スイッチ先のアカウントID: 000000000000 スイッチ元のアカウントID: 111111111111 スイッチ先でIAM Roleを作成し、信頼関係でスイッチ元からのAssumeRoleを許可します
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【AWS】IAMポリシーで設定できるアクションがいくつあるか、あなたは知っていますか? - Qiita
aws_iam_policy_attachment はIAMポリシーを排他的にアタッチする | Oji-Cloud
【AWS】IAMの作業用ユーザー作成方法等 - Qiita
AWS IAM User と Policy で S3 にアップロードしか出来ないユーザを作る - Qiita
IAM Roles Anywhere で AWS IAM ロールを AWS 外部のワークロードに拡張する | Amazon Web Services
AWS IAM アイデンティティセンターの機能 - Amazon Web Services (AWS)
AWS IAM ポリシーの arn と Azure RBACのスコープの比較 - Qiita
【AWS】IAMとは?概要と使い方を詳しく説明 no.2 - Qiita
[小ネタ] AWS IAMポリシーの Conditionで使える条件演算子 “Null” の使いみちを考える | DevelopersIO
【徹底解説】AWS IAMユーザのベストプラクティス設計
CSM: AWS IAM 認証をためす - Qiita
AWS IAM ユーザーの作成方法 - Qiita
AWS IAMポリシーについて考える - Qiita
AWS IAM の記事一覧 | DevelopersIO
【AWS】IAMとは(IAMポリシー、ロールなど含む) - Qiita
【AWS IAMとは?】初心者にもわかりやすく解説|WafCharm|WAF自動運用サービス
【AWS IAM】MFA設定していないユーザーの権限を制限する。 - Qiita
AWS IAM Identity Centerを使用したSSOユーザー作成
AWS iam:PassRoleって何だ
【初心者向け】AWS IAM でのマルチアカウント管理入門!完全ガイド
AWS IAMアカウントの作成とaws configureの設定 - Qiita
どこで動いてるの?AWS IAM のコントロールプレーンとデータプレーンに思いを馳せる #devio2022