AWS SAMでLambdaのPolicyとRoleを両方設定すると、Roleが優先されてハマった話 | DevelopersIO
AWS SAMでLambdaのPolicyとRoleを付与したとき、Roleが設定されてPolicyで付与した権限が無いという現象に遭遇しました。 よくよく考えれば当たり前なのですが、地味にハマったのでご紹介します。 なお、本記事はAWS LambdaとServerless #2の12日目です。 ハマったこと 最初はPolicyのみ付与していた たとえば、AWS SAMで次のLambdaを定義し、DynamoDBのReadOnlyAccessポリシーを付与していました。 template.yaml Resources: HelloWorldFunction: Type: AWS::Serverless::Function Properties: CodeUri: hello_world/ Handler: app.lambda_handler Runtime: python3.7 Poli
当記事は、Amazon Cognito を利用した認証と認可の流れを実装するうえで、自分が概要の理解に努めた記録を纏めたものになります。また、上記の図は 公式の説明図 を 自分が理解しやすいように加筆、修正をさせていただいた ものになります。 Amazon Cognito の機能 Amazon Cognito は大きく分けると User pool, Identity pool, Sync の3つの機能から構成されています。 Sync については、当記事の認証と認可の流れでは利用しないため調査を行っていません。 User pool について User pool は、ユーザーに関連する情報を格納し保持しつづける機能や、ユーザーのサインアップ、サインイン ( Google、Facebook、Amazon 経由などにも対応しています) 機能等を提供してくれています。「認証と認可の流れ」 では 認証
【入門編】AWSにおけるアクセスポリシーの評価ロジックを整理してみる - サーバーワークスエンジニアブログ
CI部1課に異動しました山﨑です。 AWSにおけるアクセスポリシーの評価ロジックについて簡単に整理したいと思います。 はじめに 2021年11月にアップデートがありました 評価ロジック 拒否の評価(明示的な拒否) Organizations SCP リソースベースのポリシー IAM Permissions Boundary セッションポリシー ユースケース:クロスアカウントのSwitch Role ①AssumeRole API Request ②temporary security credentials ③IAM Roleの権限でSwitch Role アイデンティティベースのポリシー まとめ はじめに AWSにおいて認証・認可(権限の付与)を司るサービスと言えば IAM(Identity and Access Management)が真っ先に思い浮かびます。例えば IAMのIAM P
こんにちは。Assume Roleしてますか。 スイッチロール先の環境でAWS関連のCLIツールを使用すると大抵Assume Roleを使う必要が出てきます。 assume-roleとdirenvを使って設定している ブログ もありますが、それすら面倒なので楽にする方法を考えてスクリプトを書いてみました。 スクリプトについて 前置きが長くなってしまいましたが本題に入っていきます。 実装して、その後に動作イメージを載せたいと思います。 前準備 まずスクリプトを書く前に準備を行います。 fzfとGrepをお手元に用意しておいてください。 fzfに関しては様々なOSでのインストール方法がREADMEに書いてあります。 私がmacユーザなのでmacOSでのインストール方法のみ記載しておきます。 $ brew install fzf スクリプトの配置 下記スクリプトを好きな場所に配置してください。
EKSクラスターを作成しました。この段階では作成者である自分のIAMエンティティのみがクラスターを操作できるsystem:masters権限を持っています。system:mastersって何?という方は、以下で詳しくまとめられていますのでご確認ください。 Kubernetesのsystem:mastersグループって何?- Qiita 先程「自分のIAMエンティティがsystem:masters権限を持っている」と書きましたが、厳密には、すべての権限が付与されている cluster-adminロールがあり、そしてそのロールにバインディングされているsystem:mastersグループがあり、さらにそのグループのメンバーに自分のIAMエンティティが入っている、という感じでしょうか。 今回はこの権限を他のIAMユーザーにも付与してみたいと思います。eksctlを使います。 やることは大きくわけ
こんにちは。サービスグループの武田です。 AWS CLIは好きですか?(挨拶) AWSの操作はマネジメントコンソールを利用してぽちぽちする方法も楽ですが、自動化などしたい場合にはAWS CLIも便利です。またAWS CLIにはプロファイルにIAMロールを設定しておくだけで自動的にAssumeRole(スイッチロール)してコマンドを実行してくれる機能もあります。 さてAssumeRoleをして一時的なクレデンシャルを取得する際にはセッション名の指定が必要です。次のようにassume-roleコマンドのリファレンスでも--role-session-nameが必須パラメーターとなっています。 assume-role --role-arn <value> --role-session-name <value> AWS CLIがプロファイルの設定から自動的にAssumeRoleする際には、セッション
今のはスイッチロールではない…AssumeRole からのフェデレーションサインインだ…をやってみた | DevelopersIO
IAM ロールの認証情報でマネジメントコンソールにアクセスする、を実現できるのはスイッチロールだけではありません。一時的な認証情報を使用してサインイントークンを取得し、フェデレーテッドユーザーとしてサインインすることもできます。 コンバンハ、千葉(幸)です。 …今のはスイッチロールでは無い… AssumeRole からのフェデレーションサインインだ… そんなセリフを言いたくなったことはありませんか?私はありません。「AssumeRole からのフェデレーションサインイン」なんて言い回しはきっとこの地球上に存在しないので、ありません。 ここでのスイッチロールとは「① IAM ユーザーのユーザー名とパスワードを利用してマネジメントコンソールにサインインする」「② IAM ロールに切り替える」の流れを指しています。 IAM ロールの認証情報を利用してマネジメントコンソールで操作したい場合には、こ
Retool で AssumeRole してDynamoDBテーブルにアクセスする(アクセスキーが流出しても、被害を最小限にしよう) | DevelopersIO
いろんなデータベースやAPIと接続してWebアプリをサクッと作れるRetoolですが、DynamoDBと連携する場合は、IAMユーザのアクセスキーを使います。 もし、アクセスキーが流出したら一大事です。 そこで、AssumeRoleを使って、少しでも影響が小さくなる方法を試してみました。 Retoolについては、下記をご覧ください。 おすすめの方 RetoolでAssumeRoleしたい方 IAMユーザとIAMロールと実験用のDynamoDBテーブルを作成する CloudFormationテンプレート 下記を作成します。 Retool用のIAMユーザ Retool用のIAMユーザに付与するIAMポリシー(AssumeRoleのみ可能) Retool用のIAMユーザがAssumeRoleするIAMロール(DynamoDBに対する操作権限のみ) DynamoDBテーブル AssumeRoleを
Amazon Q Business と AWS IAM Identity Center を利用して、プライベートでセキュアなエンタープライズ生成 AI アプリケーションを開発する | Amazon Web Services
Amazon Web Services ブログ Amazon Q Business と AWS IAM Identity Center を利用して、プライベートでセキュアなエンタープライズ生成 AI アプリケーションを開発する 本記事は、2024年4月30日に投稿されたBuild private and secure enterprise generative AI apps with Amazon Q Business and AWS IAM Identity Center を翻訳したものです。 2024 年 4 月 30 日現在、Amazon Q Business が一般提供開始 になりました。Amazon Q Business は、生成 AI を活用し、従業員の質問に答えたりタスクを完了させることで生産性の向上をサポートする対話型アシスタントです。従業員は Amazon Q Busi
GitHubと連携してアプリケーションを自動デプロイしたいが、 masterブランチにマージされたらすぐにデプロイするのではなく、承認フローを挟みたい、というケースに対応できます。 AWS CDK で、認証フロー付きの AWS CodePipeline を作ってみます。次のようなユースケースを想定しています。 GitHubと連携してアプリケーションを自動デプロイしたいが master ブランチにマージされたらすぐにデプロイするのではなく、承認フローを挟みたい これを CodePipeline でやりたい 一連のリソースを AWS CDK で作成したい デプロイ可能なコードベースをmasterブランチのみに集約し、その代わりリリースタイミングについては CICD側に任せるといった運用が可能になります。ブランチの数を最小限に押さえられる点がメリットです。AWS CDK を利用してのPipeli
[資料公開]「今すぐ使える!超コアサービス (IAM/S3/EC2) のアップデート紹介」で登壇しました #cmregrowth #reinvent | DevelopersIO
大阪オフィスのちゃだいんです。 本日、【12/16(月)大阪】CM re:Growth 2019 OSAKA 開催! 〜技術者による技術者のためのAWS re:Invent ふりかえり勉強会〜にて登壇しました。 その際に使用したスライドがこちらです。 登壇スライド資料 終わりに AWSは触ってナンボ!ということで、とにかく手軽に試していただけるものをご紹介しました。ぜひ実際にその手でre:Inventアップデートを実感してみてください! 以下は各章の最後にご紹介したサービス別ブログ一覧です。 IAM Access Analyzer 関連 [速報] AWS IAM Access Analyzerがリリースされました! IAM Access Analyzerと既存の機能を比較してどう使っていくか考察してみた re:Invent 2019 IAM Access Analyzerについて調べてみた
![[資料公開]「今すぐ使える!超コアサービス (IAM/S3/EC2) のアップデート紹介」で登壇しました #cmregrowth #reinvent | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/2eee616a6fe055c32d6f597f3f82644f051396b4/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F11%2F191216_regrowth2019_Osaka_1200x630.jpg)
IAMユーザーにAssumeRoleの権限が無くてもスイッチロールできる(ように見える)のはなぜですか? | DevelopersIO
困っていた内容 スイッチロールの信頼関係設定における AssumeRole権限について質問します。 自アカウントのIAMユーザーに、自アカウントのIAMロールにスイッチできるよう設定を行っています。 ロールの信頼関係を次のようにアカウント( root = アカウント自体 の意味になります)で指定した場合、ユーザーに「sts:AssumeRole」のアクセス権限が必要だと認識しています。 arn:aws:iam::XXXXXXXXXXXX:root 一方で、ロールの信頼関係を次のようにユーザー名で指定すると、ユーザーに「sts:AssumeRole」のアクセス権限が無くてもスイッチロールできてしまいます。 arn:aws:iam::XXXXXXXXXXXX:user/username このような振る舞いの違いが起きるのはどうしてでしょうか? ユーザー名で指定する方法でスイッチロールする場合、
AWSのKubernetesでサービスを公開する最高の方法~ALB,ACM,Route53の自動作成~ | monkey404
Container AWSのKubernetesでサービスを公開する最高の方法~ALB,ACM,Route53の自動作成~ Kubernetesが流行っているので、これからEKSを使ってサービスを公開していこうと考えている方の参考になれば嬉しいです。 AWSのEKSを使って構築しています。 はじめに EKSでサービスを公開したいけど、ロードバランサとか証明書とかの設定面倒くさいと考えている方が多いと思います。 今回の記事のゴールはymlファイルをKubernetesにデプロイするだけで、ALB作成、Route53にレコードセット追加、ACMの証明書をALBに割当の作業を自動でできるようにします。 EKSのGetting StartではCLB(Classic Load Balancer)を使用していますが、L7ロードバランサがいいのでALBで作成します。ホストベースでもパスベースでもどちらで
動機 ターミナルの窓を複数開いて、 CloudWatch Logsを観察しながら(aws logs tail --follow) AWS CDKをwatchでデプロイしながら(npx cdk watch) lambdaを実行したり、MQTTを飛ばしたりしたい時がある(aws lambda invoke, aws iot-data publish) ので、複数窓でassume-roleのクレデンシャルが共有されてくれると嬉しかった。 ので作りました。 先人たちの記事 クラスメソッドの先人たちが無限に記事を書いてくれている。 先輩方に感謝しながらAssume Roleスクリプト書いてみました Assume Roleをいい感じにするスクリプトを書いた [小ネタ]ディレクトリ移動した際に自動で一時クレデンシャルを取得・設定する 1 Password ワンタイムパスワードを使った Assume Ro
Cognito + API Gateway + Lambda で実行権限を動的に制御したい - サーバーワークスエンジニアブログ
はじめに 真面目な導入 元ネタ 状況設定 やりたいこと DynamoDB のテーブルを用意する Cognito User Pool を作る ユーザープールを作成する ユーザー作成 アプリクライアント作成 グループを作る Lambda 関数と API Gateway と Cognito Authorizer を作る serverless.yml Lambda あと必要なもの 何はともあれデプロイ どういうこと? もう少し具体的に 寄り道 リクエストしてみる さいごに はじめに こんにちは。アプリケーションサービス部の保田(ほだ)です。 最近さつまいもが滅茶苦茶美味しいということを再認識しました。 1センチぐらいの厚さに切ったのを茹でてオプションで塩をちょっとかけるだけで美味です。 という訳で今日は Lambda のポリシーを動的に制御する方法を考えます。 真面目な導入 例えば API Gat
SSM Session ManagerのSSHトンネリング機能をAssumeRoleで利用する方法 - サーバーワークスエンジニアブログ
技術一課の杉村です。2019年7月、AWS Systems Manager Session ManagerでSSH/SCPセッションを利用できる機能が発表されました。 Session Manager launches tunneling support for SSH and SCP この機能を利用すれば「踏み台インスタンス対してSession ManagerでSSHセッションを確立し、Private Subnetにいる他のEC2インスタンスに対してポートフォワードでアクセスする」のような、より柔軟な使い方できるようになります。 もちろん、SSH対象のEC2インスタンスのセキュリティグループではSSH用のポートを許可する必要はありません。 EC2インスタンスから443ポートでSystems ManagerのAPIエンドポイントに対してHTTPS通信ができさえすればいいのです。 この機能を利
AWS Organizationsの登場などにより、AWSを使ったシステムでは複数のAWS アカウントをつかったマルチアカウント運用が増えています。 マルチアカウント運用ではIAMロールによるユーザの集中管理などが重要となってきます。 この記事ではこの集中管理の時の思わぬ注意点をご紹介します。 AWSにおけるマルチアカウントのベストプラクティス AWSのマルチアカウント運用を行う場合複数のパターンが考えられます。 各アカウントにIAMユーザを作成して個別にログインする。 IAM管理用の踏み台アカウントを作成し、各アカウントにはIAMロールを作成しスイッチロールを利用する。 AWS SSO を利用し、SSOログインを行う。 OneLoginのようなサードパーティーの認証プロバイダを利用する。 各アカウントを利用する方式は、メンバー変更があった際に、全てのAWSアカウントでユーザの追加、削除を
AWS IoT Core の認証プロバイダを使って IoT デバイスからセキュアに AWS サービスを利用する | Amazon Web Services
Amazon Web Services ブログ AWS IoT Core の認証プロバイダを使って IoT デバイスからセキュアに AWS サービスを利用する こんにちは、プロトタイピングソリューションアーキテクトの市川です。 現在、様々なユースケースで IoT デバイスが AWS IoT Core を利用しています。ユースケースの中には AWS のサービスを直接利用したいという話もよく相談として受けます。 IoT デバイスのアプリケーションから AWS のサービスを利用する場合は、AWS 署名バージョン 4 形式 (SigV4) の AWS 認証情報を使用して呼び出すことができます。この署名を作成するためには、クレデンシャル情報(アクセスキー ID、シークレットアクセスキー)が必要になってきます。しかし、不特定多数が触る可能性がある IoT デバイスにこのクレデンシャル情報を持たせるのは
【AWS権限管理術②】AWS ポリシー設計基礎
はじめに さて、先日はIAMポリシーについての記事を書きましたが、AWSの権限管理で知っておくべき項目は他にも多数あります。 例えば、S3でファイルにアクセスするユーザを制限したいといった場合は、S3のバケットポリシー・ACLで管理しますし、サービスの暗号化で良く利用されるKMSでは、それぞれどのユーザ・サービスがそのキーを利用できるのかキーポリシーで権限を管理する必要があります。または、OrganizationsのSCPでアカウント毎に権限管理を行うなどなど…AWSの権限管理は、奥深いものになっております。 そこで、AWSの権限管理する上で知っておくべき情報をギュギュっとまとめてみました! AWSの権限管理の基本①:明示的許可・暗黙的拒否・明示的拒否 AWSの権限管理での基本の基本となるのが、明示的許可・暗黙的拒否・明示的拒否の考え方です。 簡単にまとめると下のような感じです。 ポリシー
DevelopersIO 2023 大阪 – 勉強会「AWS IAM Identity Centerを用いたAWSアクセス」 #devio2023 | DevelopersIO
DevelopersIO 2023 大阪 – 勉強会「AWS IAM Identity Centerを用いたAWSアクセス」 #devio2023 DevelopersIO 2023 大阪の AWS 質問ブース の勉強会「AWS IAM Identity Centerを用いたAWSアクセス」のブログです。 AWS IAM Identity Center を利用して AWS アカウントにアクセスする方法についてご紹介します。 AWS IAM Identity Center の概要 AWS アカウントやクラウドアプリケーションへのアクセスを一元管理できる AWS IAM Identity Center の全体イメージを紹介します。 IAM Identity Center はユーザーの認証情報をローカル(IAM Identity Center 自信)で保持する他、外部 ID プロバイダーや Ac
マルチテナント型 SaaS アプリケーションのための Amazon Forecast の構成 | Amazon Web Services
Amazon Web Services ブログ マルチテナント型 SaaS アプリケーションのための Amazon Forecast の構成 この記事は “Configure Amazon Forecast for a multi-tenant SaaS application” を翻訳したものです。 本投稿は、AWS の Sr. Software Development Engineer の Gunjan Garg、Technical Account Manager の Matias Battaglia、ISV Solutions Architect の Rakesh Ramadas により寄稿されました。 Amazon Forecast は、 Amazon.com で予測に使用されているのと同じ技術をベースにしたフルマネージドサービスです。Forecast は、機械学習(ML)を用いて
[AWS Organizations]特定メンバーの行動は制限しない SCP記述 | DevelopersIO
また、ワイルドカードを使って arn:aws:iam::*:role/admin-* ( "admin-" で始まるIAMロール ) といった書き方、登録方法も可能です。 試してみる 先の SCPが継承されたアカウントで操作してみます。 ※実施するIAMロールには AdministratorAccess が付与されています。 arn:aws:iam::*:role/operator で実施 > aws ec2 create-vpc --cidr-block 10.10.20.0/24 { "Vpc": { "CidrBlock": "10.10.20.0/24", "DhcpOptionsId": "dopt-xxx", "State": "pending", "VpcId": "vpc-xxx", "OwnerId": "73xxx", "InstanceTenancy": "defau
![[AWS Organizations]特定メンバーの行動は制限しない SCP記述 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/d2c2cbb34cdcda62e4504734b6e345b95ceca145/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F04%2Faws-organizations.png)
こんにちは。株式会社アダコテックのテックリードをしておりますkackyと申します。terraform Advent Calendar 2019の5日目の記事です。12月5日の22時から書き始めているのでかなりタイムアタックになっておりますw やりたいこと terraformでiamユーザを作って、それをグループに所属させる。そんなことをさくっとしたいときのやり方tipsです。 @raki さんのご指摘により記述を直しました!有用なご指摘ありがとうございます☆ ユーザー管理テーブルを変数定義する こんな感じでユーザーとグループを対で登録します。 variable "users" { type = map(list(string)) default = { "kacky" = ["developer"], "tech" = ["developer"], "adaco" = ["intern"]
AWS CloudShell 上でフェデレーションサインイン用 URL を生成してみた | DevelopersIO
ちょっと環境を覗いてもらうために一時的な URL を払い出す コンバンハ、千葉(幸)です。 「ちょっと環境を覗いてもらうために AWS マネジメントコンソールへの接続情報を提供したい」 「かといってわざわざ専用の IAM ユーザーやロールを払い出すのは避けたい」 ということがあるかもしれません。 AWS CloudShell のドキュメントを眺めていると、そんなケースにマッチしそうなチュートリアルを見つけました。 フェデレーションサインイン用の URL を生成するスクリプトを載せてくれているので、これが活用できそうです。 ここでは特定の S3 バケットの特定のプレフィックス配下のオブジェクトに対する操作のみ許可するというシチュエーションが想定されていますが、ある程度柔軟にカスタマイズできるのでそれ以外のケースでも転用できます。 何をするのか やっていることは以下のエントリとほぼ同じです。こ
Amazon Web Services ブログ AWS マルチアカウント統制の要件検討アプローチ例 はじめに 我々、AWS のプロフェッショナルサービスは、クラウド活用に関するお客様固有のブロッカーを取り除くための支援をするチームです。お客様の役割は様々ですが、組織全体の AWS アカウント管理を担われているお客様をご支援するケースもあります。組織全体で AWS をセキュアに利用いただくためには、クラウド利用の社内規定やガイドラインの作成だけでなく、ルールを強制的に適用したり、非準拠状態を発見・報告したりするための仕組み(このブログでは複数の AWS アカウントを統制するための基盤として統制基盤と呼びます)の構築を推奨することもあります。一方で統制基盤を構築したいと考えているが、「統制基盤のあるべき姿をどのように定義すればよいかわからない」といったお悩みを抱えているお客様も多いのではないで
Amazon DynamoDB用 NoSQL Workbenchでsession tokenを使って接続してみた | DevelopersIO
Amazon DynamoDB用 NoSQL Workbenchが、先日一般公開(GA)されたので色々試しています。 Amazon DynamoDB 用 NoSQL Workbench が一般公開されます。 個人的にはスイッチロールしてアクセスできるのかがすごく気になったので試してみました。 できます。 ただそれだけの話なのですがw、試す過程で全部CLIでテスト環境を用意できるようにしていて、せっかくなのでやったことを公開します。一部でも全部でも読者様(と、しばらく後に忘れかけるであろう自分)の参考になれば嬉しいです。 単純にツールの使い方だけ知りたい場合には「作成したロールにスイッチロールしてNoSQL Workbenchへ接続確認」のセクションから見ていただければと思います。 Amazon DynamoDB 用 NoSQL Workbenchとは DynamoDB用の開発ツールです。テ
EventBridge を利用して IAM User の SwitchRole 通知を行う - サーバーワークスエンジニアブログ
営業部 佐竹です。 本日は、EventBridge で SwitchRole の通知を行う設定方法について記載します。 はじめに EventBridge を利用して IAM User の SwitchRole 通知を行う AWS 環境構成図 具体的な EventBridge での設定方法 Name and description Define pattern Select event bus Select targets 動作確認 SwitchTo SwitchFrom ExitRole まとめ はじめに Amazon EventBridge は、サーバレス(フルマネージド)のイベントバスサービスで、この機能を起点に様々な処理をトリガーすることが可能です。 EventBridge から行われる最もシンプルな処理としては、SNS の Notification を利用した通知処理です。 今回は
Cedar(Amazon Verified Permissionsのポリシーのための言語)のチュートリアルを読んだ - s1r-Jの技術ブログ
Amazon Verified PermissionsとはAWSが提供するアクセス管理サービス(認可エンジンとも)です。 ざっくり言うと、アプリケーションでの操作を許可するか拒否するかを評価してくれます。 Amazon Verified Permissionsについては、以前にカンファレンスの動画を見てその内容をまとめたり、リンクをまとめたりしました。気になる方は最初にそちらを読んでください。 s1r-j.hatenablog.com さて、Amazon Verified Permissionsは、誰かが何かに対してどうするときにそれを許可するまたは拒否するということが書かれたポリシーをもとに評価をおこないます。このポリシーはCedarという言語で書かれています。 今回はCedarのチュートリアルをやったので、一部日本語訳をしながら備忘録としてまとめておきます。 チュートリアルの内容 1.
こんにちは。X(クロス)イノベーション本部 ソフトウェアデザインセンター セキュリティグループの耿です。 IAM の Permissions Boundary(アクセス許可境界)についてやもやしていました。効果はわかるものの、どうして IAM ポリシーだけではダメで Permissions Boundary が必要なのかよくわかりませんでした。この記事では IAM のポリシードキュメントと API の仕様から、 Permissions Boundary が導入された本質的な理由を考えてみます。 結論から先に述べると、Permissions Boundary を使うことで特定の権限を超えて IAM ユーザー/ロールが作成されるのを防ぐ効果があり、これは IAM ポリシーだけでは実現できません。Permissions Boundary は、特定のユーザーが IAM ユーザー/ロールを作成するの
こんにちは!AWS事業本部のおつまみです。 みなさん、IAMユーザー・アクセスキーを棚卸ししたいと思ったことはありますか?私はあります。 検証をしていると、いつの間にか溜まってしまうIAMユーザーやアクセスキー。 不要なIAMユーザー・アクセスキーを放置することはセキュリティ的に危険です。 特にアクセスキー漏洩は不正利用に繋がる恐れがあります。 そこで今回はIAMの認証情報レポートを使用し、不要なIAMユーザー・アクセスキーを棚卸しする方法をご紹介します。 IAMロールやIAMポリシーの棚卸方法を知りたい方はこちらのブログもご参考ください。 AWSアカウントの認証情報レポートとは AWSアカウントの認証情報レポートは、IAMで管理されているユーザ認証情報の一覧を提供する機能です。 これにより、ユーザーの資格情報やパスワード、アクセスキー、MFA(多要素認証)設定などを確認することができます
こんにちは。AWS CLIが好きな福島です。 はじめに JSONの見方 固定の記述 Sid Effect Action Resource Condition 終わりに はじめに 突然ですが、IAMポリシーは、JSONで表示および設定することができますが、 JSONで書かれているとなんとなく難しく感じ、敬遠している方もいるのではないでしょうか。 実は、JSON表記の見方はそんなに難しくなく、IAMの詳細は把握する上では、JSONの見方を理解する必要がありますし、 IAMポリシーを設定する場合、JSONでやった方が楽だと思っています。 ということで、今回は、IAMポリシー(JSON)の見方をご紹介いたします。 JSONの見方 今回は、以下のEC2のフルアクセス権限を持ったIAMポリシーのJSONを基に見方をご説明いたします。 ※今回は、よく使う要素(Sid,Effect,Action,Reso
はじめに CX事業本部の吉川です。 Assume Roleをいい感じにするスクリプトを書いた 1 Password ワンタイムパスワードを使った Assume Role をCLIだけで完結するようにしてみた AWS CLIでAssume Roleするのが手間が多く辛かったので、私もスクリプトを作ってみました。 先輩方の上の記事を参考にさせて頂きました。 MFA必須の設定がされている前提になります。 シェルスクリプト #!/bin/bash SERIAL_NUMBER='arn:aws:iam::MY_AWS_ACCOUNT_ID:mfa/MY_USER' SOURCE_PROFILE='MY_SOURCE_PROFILE' DATE=`date +%s` echo 'Profile?' read PROFILE echo 'MFA Code?' read TOKEN_CODE ROLE_A
「AWS IAM」の「ABAC」で、ポリシーを変更せずにユーザー/リソース数の多いプロジェクトに対応する
「AWS IAM」の「ABAC」で、ポリシーを変更せずにユーザー/リソース数の多いプロジェクトに対応する:AWSチートシート 「Amazon Web Services」(AWS)活用における便利な小技を簡潔に紹介する連載「AWSチートシート」。今回は、「AWS IAM」の「属性ベースアクセスコントロール」(ABAC)について解説する。 「Amazon Web Services」(AWS)活用における便利な小技を簡潔に紹介する連載「AWSチートシート」。 AWSを利用する多くの方にとってなじみのある「AWS Identity and Access Management」(IAM)の一歩踏み込んだポリシー管理の手法として、記事『AWS活用のガードレール「IAM」の「Permissions Boundary」でアクセス境界を設定するには』ではPermissions Boundaryを利用したアク
Amazon EKS クラスターリソースへのクロスアカウントアクセスを有効にする | Amazon Web Services
Amazon Web Services ブログ Amazon EKS クラスターリソースへのクロスアカウントアクセスを有効にする この記事は、Satya Sai Naga Venkata Kumar Vajrapu と Jason Smith が寄稿しました。 Amazon Elastic Kubernetes Service (Amazon EKS) は、Kubernetes コントロールプレーンを立ち上げたり維持したりすることなく、AWS で Kubernetes を簡単に実行できるマネージドサービスです。管理対象ノードグループと AWS Fargate での Amazon EKS の最近のリリースにより、ポッド向けにインフラストラクチャをプロビジョニングおよび管理する必要がなくなりました。Kubernetes は、コンテナ化されたアプリケーションのデプロイ、スケーリング、および管理を
S3にあるオブジェクトを異なるアカウントと共有する3つの方法 part2 - サーバーワークスエンジニアブログ
こんにちは、CI部技術5課の村上です。 今回はS3にあるオブジェクトを異なるアカウントと共有する方法part2です。前回の記事ではバケットのレプリケーションによって共有する方法を紹介しました。この記事では残り2つの方法を紹介します。 ↓前回の記事はこちらからご覧ください。 S3にあるオブジェクトを異なるアカウントと共有する3つの方法 part1 やりたいこと 前回の記事でも記載しましたが、やりたいことを図にすると、以下のような感じです。 前提として、アカウントAのIAMユーザーであるuser-aがS3にオブジェクトを保存しているとします。このオブジェクトをアカウントBのIAMユーザーであるuser-bが参照または取得する方法を3つ検証してみましたので、その方法を紹介します。 今回検証した3つの方法 バケットのレプリケーションで実現する(前回記事に掲載済み) バケットポリシーとIAMポリシー
AWS Identity and Access Management (IAM) にて、AWS のサービスがお客様の代わりに実行するリクエストに新たな管理機能を導入
本日より、AWS Identity and Access Management (IAM) では、お客様に代わり AWS のサービスが実行するリクエストへのアクセスを管理できるようになりました。たとえば、この新しい管理機能を使用することで、IAM プリンシパルに、AWS CloudFormation を介してのみ、Amazon Elastic Compute Cloud (EC2) インスタンスを起動できる機能を付与できるようになります。つまり、EC2 に直接アクセス権を付与する必要はありません。 今回のリリースより、プリンシパルによって行われる AWS への初期コールにルールを定義する新しい条件が導入されます。これによりサービスが実施する他のコールに影響を及ぼさないようにするのがねらいです。たとえば、AWS へのすべての初期コールが、Virtual Private Cloud (VPC)
もうずっといなかぐらし
こんにちは、かたいなかです。 おかげさまで、ゆるSRE勉強会は好評を頂いており、2/22に4回目の開催を迎えることとなりました。 yuru-sre.connpass.com これは、ひとえにイベントを盛り上げていただいている参加者の方や、開催場所等で協力いただいているスポンサー企業の皆様あってのことと思っております。 本当にありがとうございます。 ゆるSRE勉強会の開催に至った経緯や、これからの展望について盛り上がっているうちに記事してしまおうと思い、この記事を書き始めました。 ゆるSRE勉強会とは 開催したいと思った理由 SREとしてエンジニアを続けていく中で、あまり外向けに発表しづらい泥臭いことばかりやる期間がある フォーマルな雰囲気の大きな勉強会への踏み台となるような勉強会があまりない 開催に向けて ツイート 勉強会の設計 初回開催とその後 参加者の方々へのメッセージ ゆるSRE勉強
Workload Identityを使用して、AWS環境からGoogle Cloudリソースを作成する - NRIネットコムBlog
こんにちは、上野です。 今回はGoogle Cloud関連の内容です。みなさまGoogle CloudのリソースをTerraformなどのIaCでデプロイする場合、どのように実行されていますか? AWSがメイン処理+Google Cloud(BigQueryなど一部)という構成を取ることがあり、AWS側でデプロイ管理もしようとすることも我々の現場では多いです。 Google CloudのリソースをAWSからデプロイする場合、Google Cloud側にサービスアカウント+キーを作成してそれを使用することもあるかと思います。 ただ、この場合永続的なキー情報になるため、この漏えいが心配になります。 Workload Identity 連携を使用すると、永続的なキーを使用せずAWSからアクセスできるとのことなので、今回はそれを試してみます。次のような構成イメージです。 AWS 側のIAM Rol
AWS IoTの証明書を使って別アカウントのLambdaを叩く処理ができたがこれでいいのかモヤッとする。 | DevelopersIO
AWS IoTの証明書を使って別アカウントのLambdaを叩く処理ができたがこれでいいのかモヤッとする。 せーのでございます。 現在作っているシステムでIoTのエッジデバイスからAWSのLambdaを叩く、というものがあるのですが 設計ポリシーとしてエッジ上にAPI KEYを持ってはいけない。IoT証明書のみOK IoTがつながっているAWSアカウントは共通 対象となるLambdaは別アカウントにあり、PRD、STG、DEV環境と3つに分かれており、エッジから環境を切り替える という制約があります。 となると必要な処理はまず AWS IoTの証明書からAWSリソースを叩く となります。これは「Authorizing Direct Calls」という機能があり、AWS IoTをプロバイダとして一時クレデンシャルを引いてくることができます。 次に必要なのは AWSリソースからクロスアカウントで
SDKを使用したアプリケーションコードからIAMポリシーを生成するVSCodeプラグイン、iamfastを試してみた | DevelopersIO
こんにちは。枡川です。 SDKを使用してコードを書いた際に、面倒だからとAdministratorAccess等強めの権限で実行させたりしていることはないですか? 完璧に意図通り動作するならば権限を絞らなくても良いですが、どんな悪用のされ方をするかはわからないので最小権限で動作させることが推奨されます。 しかし、コードが複雑になればなるほど最小権限の設定は面倒な作業となります。 そんな時に便利なVSCodeプラグインであるiamfastを試してみました。 このプラグインはSDKを使用したアプリケーションコードから適切なIAMポリシーを生成してくれるものとなります。 今回はVSCodeプラグインとして使用してみますが、npmパッケージとして公開されているOSSでありCLIで使用することも可能です。 対応している言語は下記となります。 JavaScript(v2 SDK) Python3(Bo
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Amazon Cognito を利用した認証と認可の流れ - 概要の理解 編 - Qiita
Assume Roleをいい感じにするスクリプトを書いた | DevelopersIO
EKSでクラスター作成後に他のIAMユーザーに自分と同じ管理者権限を与える | DevelopersIO
AWS CLIがAssumeRoleする際のセッション名を指定する | DevelopersIO
AWS CDKで、承認フロー付き AWS CodePipeline を構築する | DevelopersIO
環境変数に依存しないassume-roleスクリプト作ってみた | DevelopersIO
PowerUserAccessだと全てのIAMロールにスイッチ出来てしまう問題の対処方法 - Qiita
terraformでさくっとiamユーザーとグループを作ってみる - Qiita
AWS マルチアカウント統制の要件検討アプローチ例 | Amazon Web Services
IAM Permissions Boundary の本質 - 電通総研 テックブログ
認証情報レポートで不要なIAMユーザー・アクセスキーを棚卸ししてみた | DevelopersIO
【初心者向け】IAMポリシー(JSON)の見方 - サーバーワークスエンジニアブログ
先輩方に感謝しながらAssume Roleスクリプト書いてみました | DevelopersIO