AWSアクセスキーセキュリティ意識向上委員会って何? 昨今、AWSのアクセスキーを漏洩させてしまうことが原因でアカウントへの侵入を受け、 多額の利用費発生・情報漏洩疑いなど重大なセキュリティ事案が発生するケースが実際に多々起きています。 そこで、アクセスキー運用に関する安全向上の取組みをブログでご紹介する企画をはじめました。 アクセスキーを利用する場合は利用する上でのリスクを正しく理解し、 セキュリティ対策を事前に適用した上で適切にご利用ください。 AWS Valutとは AWSのアクセスキー/シークレットキーを安全に保存・利用するためのOSSソフトウェアです。 AWS CLIだけではなく、boto3等AWS SDKを用いた開発、 Terraform等のサードパーティアプリケーションでも利用することが出来ます。 AWS VaultはIAM認証情報をOSのキーストアに保存し、認証情報の利用時
あけましておめでとうございます。河内です。 数ヶ月前に aws-vault を使い始めて安全の高まりを感じるので紹介します。 AWSのサービス上では IAM Role をできるだけ使ってアクセスキーを使わないようにしていますが、ローカルでの開発時にIAMのアクセスキーを利用することはあります。 アクセスキーが漏れると困ったことになります。 本番環境で利用している AWS アカウントで漏れると、付与している権限次第では機密情報が漏洩したりサービスが壊される可能性があります。 また開発環境としてのみ利用しているAWSアカウントであっても、ビットコインのマイニングなどで容赦なくリソースを消費され高額な請求が来たりする可能性ががあります。 そのようなことが起きないようにアクセスキーは安全に管理する必要があります。 通常はAWS SDK のデフォルト参照先である ~/.aws/credentials
クラウドワークス SREチームの @kangaechu です。アンタッチャブルのコンビ復活に目が離せないこの頃です。 クラウドワークス Advent Calendar 2019の4日目として、最近SREチーム内で使われるようになったツール、 aws-vault を紹介します。 背景 aws-vaultの話をする前に、少しだけAssumeRoleの話をします。 AssumeRole assumeは引き受けるなどの意味を持つ単語で、AWSを使用するユーザやリソースが本来持っている権限とは別の権限を引き受けることができるしくみです。ものすごいざっくりいうと、sudoコマンドのような感じです。AssumeRoleはどのようなときに便利なのでしょうか。 マルチアカウントでのIAMユーザ集約管理 リソースの分離や課金管理などを目的として、最近はAWS Organizationsを使用したマルチアカウン
TerraformをMFA & Assume Roleな環境でも実行 - aws-vaultでやってみた - SMARTCAMP Engineer Blog
Terraform 0.12がbetaになりワクワクしていたら、それより前にTerraformのAWS Providerの2.0.0がリリースされていたことに気づいて焦る笹原です。 いきなりですが、AWSを使う際に、多要素認証(MFA)をかけるのは必須ですよね! また、IAM UserとしてログインするAWSアカウントから、Assume Roleして実際に作業するAWSアカウントに入ることも多くなっていると思います。 そういった環境だと、Assume RoleをするのにMFAを必須にすることもあると思います。 今回はそんなMFAをした上でAssume Roleする必要があるAWSアカウントでもTerraformを実行するために、aws-vaultを使った話をしようと思います! 背景 aws-vaultとは aws-vaultとTerraform aws-vaultの設定 Terraform
GitHub - 99designs/aws-vault: A vault for securely storing and accessing AWS credentials in development environments
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
IAM Identity Centerでもaws-vaultでセキュアにAWS CLIを使う - Nealle Developer's Blog
こんにちはSREチームの宮後(@miya10kei)です。最近、トリュフナッツにハマりビール🍺の消費量が増えています。 AWS CLIを使用する時にaws-vaultは使っていますか? AWSのユーザ管理をAWS IAM Identity Centerに移行した際にaws-vaultの設定でつまずいたので解決方法を紹介したいと思います。 AWS IAM Identity Centerとは? 複数の AWSアカウントやアプリケーションへのワークフォースのアクセスを一元管理するためのサービスです。外部IDプロバイダーと接続しSSO(シングルサインオン)連携をすることができます。ニーリーではGoogle Workspaceと連携させGoogleアカウントでログインできるようにしています。 aws-vaultとは? aws-vaultはAWS CLIを使用する際の認証情報を安全に保存し、アクセス
はじめまして、ソフトウェア・エンジニアの松岡です。 私はコマース事業部で先日に発表したネットスーパー機能のインフラ、バックエンド、たまにiOSなどわりといろいろなことを担当しています。 また今年の7月にサービスを終了したクラシルストアでは開発だけでなく、販売する商品の管理などストアの運営や、カスタマーサポートなどもやってました。 いろいろなことをやることは大変ですが、視点が増えることで新たに気づくことや考えが深まることがあり、そこには大変さ以上の恩恵があるので好きでやっています。 これは「dely #1 Advent Calendar 2020」の6日目のエントリーです。 「dely #2 Advent Calendar 2020」もあるのでぜひご覧ください。こちらの今日のエントリーはfukuさんのエンジニアの僕が初めてプロダクトマネージャーをする上で特に意識したことです。大作でした、最高
aws-vaultは、アクセスキー等のAWSの認証情報をセキュアに保管し、より便利に使用することができるツールです。 Linux環境でaws-vaultを使用する方法について解説しているサイトがあまりなく、導入に手間取ったので、導入手順やハマったポイントについて残しておきます。 aws-vaultの特徴 よりセキュアな認証情報の保管と利用を実現 AWS CLIなどのAWSコマンドラインツールを使用する際には、環境変数や、~/.aws/credentials などに、平文でアクセスキーを保存するのが通常です。 これでは自分以外のユーザーからも認証情報が見えてしまう可能性があり、少し心許ないです。ノートPCなどにAWS CLIを入れて使用している場合、外出先で端末を落とした場合にアクセスキーを抜かれたりする危険もあります。 aws-vaultを利用すると、OSの機密情報ストア※1Windows
こんにちは。λ沢です。 皆さんは普段どのようにローカルから AWS の API を実行していますか? AWS の基礎を学んだ人の多くは aws configure コマンドを使ってアクセスキーを入力し、 aws-cli や AWS SDK を使用しているのではないでしょうか。 しかし aws configure コマンドはアクセスキーを平文でローカルマシンの ~/.aws/credentials に保存します。 いくらローカルマシンとはいえ、様々なセキュリティリスクが存在する現代では平文でアクセスキーを管理することは好ましくないです。 最近だと faker.js と colors.js に DoS 攻撃のコードが仕込まれたことが話題になりました。 もしこのコードが DoS 攻撃ではなく、~/.aws/credentials の内容を悪意を持った人に対して送信するコードだとしたら、何が起きる
Windowsでaws-vaultの設定を最初から実施し、aws-vault経由でterraformの実行テストをしてみた | DevelopersIO
Windowsでaws-vaultの設定を最初から実施し、aws-vault経由でterraformの実行テストをしてみた こんちには。 データアナリティクス事業本部 インテグレーション部 機械学習チームの中村です。 今回はWindowsマシンに対して、以下記事に沿ってaws-vaultの設定をしてterraformの実行まで確認しましたので、その作業メモをブログにしました。 本記事の設定は以下の則っています。aw-vaultについての説明はこれらの記事もご参考にされてください。 aws-vaultでcliとterraformをいい感じにしてみる | DevelopersIO AWS Vaultで端末内のAWSアクセスキー平文保存をやめてみた | DevelopersIO aws-vaultのインストール Windowsマシンからの実行であるため、PowerShellを管理者権限で起動して
こんにちは!コンサル部のinomaso(@inomasosan)です。 下記のブログを参考にAWS ParallelCluster の管理コマンド(pclusterコマンド)の実行環境を準備していました。 ただ、AWS Vaultの認証情報をDockerコンテナに渡す部分に苦戦したので、備忘としてブログにまとめていきます。 AWS Valutとは AWSのアクセスキー/シークレットキーを安全に保存・利用するためのOSSソフトウェアです。 このソフトウェアを利用することで、ローカルPC内の認証情報ファイルに平文でアクセスキー/シークレットキーを設定することなく認証情報を利用することができます。 詳細につきましては、以下のブログをご確認ください。 AWSの認証情報を確認 AWSの認証情報は上記のブログの通り、利用時に一時的な認証情報を取得して利用する形となります。 AWS VaultはIAM認
はじめに aws-vault はAWSのアクセスキーをキーチェーンに保存しています。 しかしながらmacOSのキーチェーンのデフォルトのタイムアウトが短すぎて頻繁にパスワードを求められて、普段遣いするにはちょっとうざいです。これ伸ばせないのかなと思ったらできたのでメモ。 環境 macOS 10.14 (Mojave) aws-vault v4.6.4 解決方法 調べたところ、aws-vaultでmacOSのキーチェーンのパスワードが求められるのは、ちょっとわかりにくいんんですが、実は3種類あるようです。 99designs/aws-vault #219: Constantly have to re-enter keychain password, part 2 Keychain locked => タイムアウトを伸ばすことで解決可能 キーチェーンの設定を開きます。 「aws-vault」の
aws-vault を使ってマルチアカウント環境でも快適にコンソール画面へログイン - Galapagos Tech Blog
お疲れ様です、TECH石浪です。 みなさんAWSはマルチアカウントにしていますか? 株式会社ガラパゴスも僕がJOINした頃と比べると社員数が3倍を超え、入社当時は1アカウントで開発本番両方をVPCで区切って扱っていましたが、今ではプロダクト毎+本番/開発と各環境ごとにAWS アカウントを用意する正気な開発になりました。 さて、そうなるとAWSアカウントの切り替えどうやろうってなりますよね、自分はずっとBASTIONユーザーからスイッチロールするJumpアカウントの手法を使っていました。 参考記事: マルチアカウントな AWS環境のマネジメントコンソールへのアクセス方法をまとめてみた | DevelopersIO しかしこの切り替え、環境が増えるとちょっと、いやかなり面倒なんですよね。 そこでaws-vaultを使ってみたところ、めっちゃよかったので紹介したいと思います。 なお aws-va
$ curl "https://awscli.amazonaws.com/AWSCLIV2.pkg" -o "AWSCLIV2.pkg" $ sudo installer -pkg AWSCLIV2.pkg -target / $ aws --version 準備 aws-vault にクレデンシャルを登録する クレデンシャルを選択するための sh を用意 ~/.aws/profile に credential_process 経由で sh を使ってクレデンシャルを選択 大きくはこの 3 ステップ。 aws-vaultにクレデンシャルを登録する macOSのAWSクレデンシャル管理 を参考に登録してください。 クレデンシャルを選択するための sh ファイルを用意 aws-vault のプロファイルを列挙するコマンドを利用してクレデンシャルをして peco で選択。 その内容を AWS CL
はじめに アホみたいなスクリプト作って AssumeRole してたんですが早く aws-vault 使えばよかったと後悔しました。 aws-vault について aws-vault でアクセスキーを安全に https://github.com/99designs/aws-vault Install # ご自身のIAMユーザーの credentials を入力する $ aws-vault add my-profile Enter Access Key ID: ??? Enter Secret Access Key: ??? Added credentials to profile "my-profile" in vault # 問題なければ ~/.aws/config に下記 が入力さるはず。 $ cat ~/.aws/config [profile my-profile] $ vim ~
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AWS Vaultで端末内のAWSアクセスキー平文保存をやめてみた | DevelopersIO
aws-vault でアクセスキーを安全に - FLINTERS Engineer's Blog
aws-vault についてのあれこれ - Qiita
VS Codeで作るAWS Vault付きのポータブルなTerraform環境 - dely Tech Blog
aws-vaultをLinux環境でも使う方法【セキュリティ向上】
aws-vault を使って AWS のアクセスキーを暗号化して扱おう
[小ネタ] AWS Vaultの認証情報をDockerコンテナに渡してみた | DevelopersIO
aws-vaultのmacOSのキーチェーンのタイムアウトを伸ばす - Qiita
AWS CLI v2とaws-vaultとpecoを使ってプロファイルを選択方式にする - Qiita
aws-vault で AssumeRole できるようにする。 - Qiita