AWS SAMでLambdaのPolicyとRoleを両方設定すると、Roleが優先されてハマった話 | DevelopersIO
AWS SAMでLambdaのPolicyとRoleを付与したとき、Roleが設定されてPolicyで付与した権限が無いという現象に遭遇しました。 よくよく考えれば当たり前なのですが、地味にハマったのでご紹介します。 なお、本記事はAWS LambdaとServerless #2の12日目です。 ハマったこと 最初はPolicyのみ付与していた たとえば、AWS SAMで次のLambdaを定義し、DynamoDBのReadOnlyAccessポリシーを付与していました。 template.yaml Resources: HelloWorldFunction: Type: AWS::Serverless::Function Properties: CodeUri: hello_world/ Handler: app.lambda_handler Runtime: python3.7 Poli
当記事は、Amazon Cognito を利用した認証と認可の流れを実装するうえで、自分が概要の理解に努めた記録を纏めたものになります。また、上記の図は 公式の説明図 を 自分が理解しやすいように加筆、修正をさせていただいた ものになります。 Amazon Cognito の機能 Amazon Cognito は大きく分けると User pool, Identity pool, Sync の3つの機能から構成されています。 Sync については、当記事の認証と認可の流れでは利用しないため調査を行っていません。 User pool について User pool は、ユーザーに関連する情報を格納し保持しつづける機能や、ユーザーのサインアップ、サインイン ( Google、Facebook、Amazon 経由などにも対応しています) 機能等を提供してくれています。「認証と認可の流れ」 では 認証
【入門編】AWSにおけるアクセスポリシーの評価ロジックを整理してみる - サーバーワークスエンジニアブログ
CI部1課に異動しました山﨑です。 AWSにおけるアクセスポリシーの評価ロジックについて簡単に整理したいと思います。 はじめに 2021年11月にアップデートがありました 評価ロジック 拒否の評価(明示的な拒否) Organizations SCP リソースベースのポリシー IAM Permissions Boundary セッションポリシー ユースケース:クロスアカウントのSwitch Role ①AssumeRole API Request ②temporary security credentials ③IAM Roleの権限でSwitch Role アイデンティティベースのポリシー まとめ はじめに AWSにおいて認証・認可(権限の付与)を司るサービスと言えば IAM(Identity and Access Management)が真っ先に思い浮かびます。例えば IAMのIAM P
こんにちは。Assume Roleしてますか。 スイッチロール先の環境でAWS関連のCLIツールを使用すると大抵Assume Roleを使う必要が出てきます。 assume-roleとdirenvを使って設定している ブログ もありますが、それすら面倒なので楽にする方法を考えてスクリプトを書いてみました。 スクリプトについて 前置きが長くなってしまいましたが本題に入っていきます。 実装して、その後に動作イメージを載せたいと思います。 前準備 まずスクリプトを書く前に準備を行います。 fzfとGrepをお手元に用意しておいてください。 fzfに関しては様々なOSでのインストール方法がREADMEに書いてあります。 私がmacユーザなのでmacOSでのインストール方法のみ記載しておきます。 $ brew install fzf スクリプトの配置 下記スクリプトを好きな場所に配置してください。
EKSクラスターを作成しました。この段階では作成者である自分のIAMエンティティのみがクラスターを操作できるsystem:masters権限を持っています。system:mastersって何?という方は、以下で詳しくまとめられていますのでご確認ください。 Kubernetesのsystem:mastersグループって何?- Qiita 先程「自分のIAMエンティティがsystem:masters権限を持っている」と書きましたが、厳密には、すべての権限が付与されている cluster-adminロールがあり、そしてそのロールにバインディングされているsystem:mastersグループがあり、さらにそのグループのメンバーに自分のIAMエンティティが入っている、という感じでしょうか。 今回はこの権限を他のIAMユーザーにも付与してみたいと思います。eksctlを使います。 やることは大きくわけ
こんにちは。サービスグループの武田です。 AWS CLIは好きですか?(挨拶) AWSの操作はマネジメントコンソールを利用してぽちぽちする方法も楽ですが、自動化などしたい場合にはAWS CLIも便利です。またAWS CLIにはプロファイルにIAMロールを設定しておくだけで自動的にAssumeRole(スイッチロール)してコマンドを実行してくれる機能もあります。 さてAssumeRoleをして一時的なクレデンシャルを取得する際にはセッション名の指定が必要です。次のようにassume-roleコマンドのリファレンスでも--role-session-nameが必須パラメーターとなっています。 assume-role --role-arn <value> --role-session-name <value> AWS CLIがプロファイルの設定から自動的にAssumeRoleする際には、セッション
今のはスイッチロールではない…AssumeRole からのフェデレーションサインインだ…をやってみた | DevelopersIO
IAM ロールの認証情報でマネジメントコンソールにアクセスする、を実現できるのはスイッチロールだけではありません。一時的な認証情報を使用してサインイントークンを取得し、フェデレーテッドユーザーとしてサインインすることもできます。 コンバンハ、千葉(幸)です。 …今のはスイッチロールでは無い… AssumeRole からのフェデレーションサインインだ… そんなセリフを言いたくなったことはありませんか?私はありません。「AssumeRole からのフェデレーションサインイン」なんて言い回しはきっとこの地球上に存在しないので、ありません。 ここでのスイッチロールとは「① IAM ユーザーのユーザー名とパスワードを利用してマネジメントコンソールにサインインする」「② IAM ロールに切り替える」の流れを指しています。 IAM ロールの認証情報を利用してマネジメントコンソールで操作したい場合には、こ
Retool で AssumeRole してDynamoDBテーブルにアクセスする(アクセスキーが流出しても、被害を最小限にしよう) | DevelopersIO
いろんなデータベースやAPIと接続してWebアプリをサクッと作れるRetoolですが、DynamoDBと連携する場合は、IAMユーザのアクセスキーを使います。 もし、アクセスキーが流出したら一大事です。 そこで、AssumeRoleを使って、少しでも影響が小さくなる方法を試してみました。 Retoolについては、下記をご覧ください。 おすすめの方 RetoolでAssumeRoleしたい方 IAMユーザとIAMロールと実験用のDynamoDBテーブルを作成する CloudFormationテンプレート 下記を作成します。 Retool用のIAMユーザ Retool用のIAMユーザに付与するIAMポリシー(AssumeRoleのみ可能) Retool用のIAMユーザがAssumeRoleするIAMロール(DynamoDBに対する操作権限のみ) DynamoDBテーブル AssumeRoleを
Amazon Q Business と AWS IAM Identity Center を利用して、プライベートでセキュアなエンタープライズ生成 AI アプリケーションを開発する | Amazon Web Services
Amazon Web Services ブログ Amazon Q Business と AWS IAM Identity Center を利用して、プライベートでセキュアなエンタープライズ生成 AI アプリケーションを開発する 本記事は、2024年4月30日に投稿されたBuild private and secure enterprise generative AI apps with Amazon Q Business and AWS IAM Identity Center を翻訳したものです。 2024 年 4 月 30 日現在、Amazon Q Business が一般提供開始 になりました。Amazon Q Business は、生成 AI を活用し、従業員の質問に答えたりタスクを完了させることで生産性の向上をサポートする対話型アシスタントです。従業員は Amazon Q Busi
GitHubと連携してアプリケーションを自動デプロイしたいが、 masterブランチにマージされたらすぐにデプロイするのではなく、承認フローを挟みたい、というケースに対応できます。 AWS CDK で、認証フロー付きの AWS CodePipeline を作ってみます。次のようなユースケースを想定しています。 GitHubと連携してアプリケーションを自動デプロイしたいが master ブランチにマージされたらすぐにデプロイするのではなく、承認フローを挟みたい これを CodePipeline でやりたい 一連のリソースを AWS CDK で作成したい デプロイ可能なコードベースをmasterブランチのみに集約し、その代わりリリースタイミングについては CICD側に任せるといった運用が可能になります。ブランチの数を最小限に押さえられる点がメリットです。AWS CDK を利用してのPipeli
[資料公開]「今すぐ使える!超コアサービス (IAM/S3/EC2) のアップデート紹介」で登壇しました #cmregrowth #reinvent | DevelopersIO
大阪オフィスのちゃだいんです。 本日、【12/16(月)大阪】CM re:Growth 2019 OSAKA 開催! 〜技術者による技術者のためのAWS re:Invent ふりかえり勉強会〜にて登壇しました。 その際に使用したスライドがこちらです。 登壇スライド資料 終わりに AWSは触ってナンボ!ということで、とにかく手軽に試していただけるものをご紹介しました。ぜひ実際にその手でre:Inventアップデートを実感してみてください! 以下は各章の最後にご紹介したサービス別ブログ一覧です。 IAM Access Analyzer 関連 [速報] AWS IAM Access Analyzerがリリースされました! IAM Access Analyzerと既存の機能を比較してどう使っていくか考察してみた re:Invent 2019 IAM Access Analyzerについて調べてみた
![[資料公開]「今すぐ使える!超コアサービス (IAM/S3/EC2) のアップデート紹介」で登壇しました #cmregrowth #reinvent | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/2eee616a6fe055c32d6f597f3f82644f051396b4/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F11%2F191216_regrowth2019_Osaka_1200x630.jpg)
IAMユーザーにAssumeRoleの権限が無くてもスイッチロールできる(ように見える)のはなぜですか? | DevelopersIO
困っていた内容 スイッチロールの信頼関係設定における AssumeRole権限について質問します。 自アカウントのIAMユーザーに、自アカウントのIAMロールにスイッチできるよう設定を行っています。 ロールの信頼関係を次のようにアカウント( root = アカウント自体 の意味になります)で指定した場合、ユーザーに「sts:AssumeRole」のアクセス権限が必要だと認識しています。 arn:aws:iam::XXXXXXXXXXXX:root 一方で、ロールの信頼関係を次のようにユーザー名で指定すると、ユーザーに「sts:AssumeRole」のアクセス権限が無くてもスイッチロールできてしまいます。 arn:aws:iam::XXXXXXXXXXXX:user/username このような振る舞いの違いが起きるのはどうしてでしょうか? ユーザー名で指定する方法でスイッチロールする場合、
AWSのKubernetesでサービスを公開する最高の方法~ALB,ACM,Route53の自動作成~ | monkey404
Container AWSのKubernetesでサービスを公開する最高の方法~ALB,ACM,Route53の自動作成~ Kubernetesが流行っているので、これからEKSを使ってサービスを公開していこうと考えている方の参考になれば嬉しいです。 AWSのEKSを使って構築しています。 はじめに EKSでサービスを公開したいけど、ロードバランサとか証明書とかの設定面倒くさいと考えている方が多いと思います。 今回の記事のゴールはymlファイルをKubernetesにデプロイするだけで、ALB作成、Route53にレコードセット追加、ACMの証明書をALBに割当の作業を自動でできるようにします。 EKSのGetting StartではCLB(Classic Load Balancer)を使用していますが、L7ロードバランサがいいのでALBで作成します。ホストベースでもパスベースでもどちらで
動機 ターミナルの窓を複数開いて、 CloudWatch Logsを観察しながら(aws logs tail --follow) AWS CDKをwatchでデプロイしながら(npx cdk watch) lambdaを実行したり、MQTTを飛ばしたりしたい時がある(aws lambda invoke, aws iot-data publish) ので、複数窓でassume-roleのクレデンシャルが共有されてくれると嬉しかった。 ので作りました。 先人たちの記事 クラスメソッドの先人たちが無限に記事を書いてくれている。 先輩方に感謝しながらAssume Roleスクリプト書いてみました Assume Roleをいい感じにするスクリプトを書いた [小ネタ]ディレクトリ移動した際に自動で一時クレデンシャルを取得・設定する 1 Password ワンタイムパスワードを使った Assume Ro
Cognito + API Gateway + Lambda で実行権限を動的に制御したい - サーバーワークスエンジニアブログ
はじめに 真面目な導入 元ネタ 状況設定 やりたいこと DynamoDB のテーブルを用意する Cognito User Pool を作る ユーザープールを作成する ユーザー作成 アプリクライアント作成 グループを作る Lambda 関数と API Gateway と Cognito Authorizer を作る serverless.yml Lambda あと必要なもの 何はともあれデプロイ どういうこと? もう少し具体的に 寄り道 リクエストしてみる さいごに はじめに こんにちは。アプリケーションサービス部の保田(ほだ)です。 最近さつまいもが滅茶苦茶美味しいということを再認識しました。 1センチぐらいの厚さに切ったのを茹でてオプションで塩をちょっとかけるだけで美味です。 という訳で今日は Lambda のポリシーを動的に制御する方法を考えます。 真面目な導入 例えば API Gat
SSM Session ManagerのSSHトンネリング機能をAssumeRoleで利用する方法 - サーバーワークスエンジニアブログ
技術一課の杉村です。2019年7月、AWS Systems Manager Session ManagerでSSH/SCPセッションを利用できる機能が発表されました。 Session Manager launches tunneling support for SSH and SCP この機能を利用すれば「踏み台インスタンス対してSession ManagerでSSHセッションを確立し、Private Subnetにいる他のEC2インスタンスに対してポートフォワードでアクセスする」のような、より柔軟な使い方できるようになります。 もちろん、SSH対象のEC2インスタンスのセキュリティグループではSSH用のポートを許可する必要はありません。 EC2インスタンスから443ポートでSystems ManagerのAPIエンドポイントに対してHTTPS通信ができさえすればいいのです。 この機能を利
AWS Organizationsの登場などにより、AWSを使ったシステムでは複数のAWS アカウントをつかったマルチアカウント運用が増えています。 マルチアカウント運用ではIAMロールによるユーザの集中管理などが重要となってきます。 この記事ではこの集中管理の時の思わぬ注意点をご紹介します。 AWSにおけるマルチアカウントのベストプラクティス AWSのマルチアカウント運用を行う場合複数のパターンが考えられます。 各アカウントにIAMユーザを作成して個別にログインする。 IAM管理用の踏み台アカウントを作成し、各アカウントにはIAMロールを作成しスイッチロールを利用する。 AWS SSO を利用し、SSOログインを行う。 OneLoginのようなサードパーティーの認証プロバイダを利用する。 各アカウントを利用する方式は、メンバー変更があった際に、全てのAWSアカウントでユーザの追加、削除を
AWS IoT Core の認証プロバイダを使って IoT デバイスからセキュアに AWS サービスを利用する | Amazon Web Services
Amazon Web Services ブログ AWS IoT Core の認証プロバイダを使って IoT デバイスからセキュアに AWS サービスを利用する こんにちは、プロトタイピングソリューションアーキテクトの市川です。 現在、様々なユースケースで IoT デバイスが AWS IoT Core を利用しています。ユースケースの中には AWS のサービスを直接利用したいという話もよく相談として受けます。 IoT デバイスのアプリケーションから AWS のサービスを利用する場合は、AWS 署名バージョン 4 形式 (SigV4) の AWS 認証情報を使用して呼び出すことができます。この署名を作成するためには、クレデンシャル情報(アクセスキー ID、シークレットアクセスキー)が必要になってきます。しかし、不特定多数が触る可能性がある IoT デバイスにこのクレデンシャル情報を持たせるのは
【AWS権限管理術②】AWS ポリシー設計基礎
はじめに さて、先日はIAMポリシーについての記事を書きましたが、AWSの権限管理で知っておくべき項目は他にも多数あります。 例えば、S3でファイルにアクセスするユーザを制限したいといった場合は、S3のバケットポリシー・ACLで管理しますし、サービスの暗号化で良く利用されるKMSでは、それぞれどのユーザ・サービスがそのキーを利用できるのかキーポリシーで権限を管理する必要があります。または、OrganizationsのSCPでアカウント毎に権限管理を行うなどなど…AWSの権限管理は、奥深いものになっております。 そこで、AWSの権限管理する上で知っておくべき情報をギュギュっとまとめてみました! AWSの権限管理の基本①:明示的許可・暗黙的拒否・明示的拒否 AWSの権限管理での基本の基本となるのが、明示的許可・暗黙的拒否・明示的拒否の考え方です。 簡単にまとめると下のような感じです。 ポリシー
DevelopersIO 2023 大阪 – 勉強会「AWS IAM Identity Centerを用いたAWSアクセス」 #devio2023 | DevelopersIO
DevelopersIO 2023 大阪 – 勉強会「AWS IAM Identity Centerを用いたAWSアクセス」 #devio2023 DevelopersIO 2023 大阪の AWS 質問ブース の勉強会「AWS IAM Identity Centerを用いたAWSアクセス」のブログです。 AWS IAM Identity Center を利用して AWS アカウントにアクセスする方法についてご紹介します。 AWS IAM Identity Center の概要 AWS アカウントやクラウドアプリケーションへのアクセスを一元管理できる AWS IAM Identity Center の全体イメージを紹介します。 IAM Identity Center はユーザーの認証情報をローカル(IAM Identity Center 自信)で保持する他、外部 ID プロバイダーや Ac
マルチテナント型 SaaS アプリケーションのための Amazon Forecast の構成 | Amazon Web Services
Amazon Web Services ブログ マルチテナント型 SaaS アプリケーションのための Amazon Forecast の構成 この記事は “Configure Amazon Forecast for a multi-tenant SaaS application” を翻訳したものです。 本投稿は、AWS の Sr. Software Development Engineer の Gunjan Garg、Technical Account Manager の Matias Battaglia、ISV Solutions Architect の Rakesh Ramadas により寄稿されました。 Amazon Forecast は、 Amazon.com で予測に使用されているのと同じ技術をベースにしたフルマネージドサービスです。Forecast は、機械学習(ML)を用いて
[AWS Organizations]特定メンバーの行動は制限しない SCP記述 | DevelopersIO
また、ワイルドカードを使って arn:aws:iam::*:role/admin-* ( "admin-" で始まるIAMロール ) といった書き方、登録方法も可能です。 試してみる 先の SCPが継承されたアカウントで操作してみます。 ※実施するIAMロールには AdministratorAccess が付与されています。 arn:aws:iam::*:role/operator で実施 > aws ec2 create-vpc --cidr-block 10.10.20.0/24 { "Vpc": { "CidrBlock": "10.10.20.0/24", "DhcpOptionsId": "dopt-xxx", "State": "pending", "VpcId": "vpc-xxx", "OwnerId": "73xxx", "InstanceTenancy": "defau
![[AWS Organizations]特定メンバーの行動は制限しない SCP記述 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/d2c2cbb34cdcda62e4504734b6e345b95ceca145/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F04%2Faws-organizations.png)
こんにちは。株式会社アダコテックのテックリードをしておりますkackyと申します。terraform Advent Calendar 2019の5日目の記事です。12月5日の22時から書き始めているのでかなりタイムアタックになっておりますw やりたいこと terraformでiamユーザを作って、それをグループに所属させる。そんなことをさくっとしたいときのやり方tipsです。 @raki さんのご指摘により記述を直しました!有用なご指摘ありがとうございます☆ ユーザー管理テーブルを変数定義する こんな感じでユーザーとグループを対で登録します。 variable "users" { type = map(list(string)) default = { "kacky" = ["developer"], "tech" = ["developer"], "adaco" = ["intern"]
AWS CloudShell 上でフェデレーションサインイン用 URL を生成してみた | DevelopersIO
ちょっと環境を覗いてもらうために一時的な URL を払い出す コンバンハ、千葉(幸)です。 「ちょっと環境を覗いてもらうために AWS マネジメントコンソールへの接続情報を提供したい」 「かといってわざわざ専用の IAM ユーザーやロールを払い出すのは避けたい」 ということがあるかもしれません。 AWS CloudShell のドキュメントを眺めていると、そんなケースにマッチしそうなチュートリアルを見つけました。 フェデレーションサインイン用の URL を生成するスクリプトを載せてくれているので、これが活用できそうです。 ここでは特定の S3 バケットの特定のプレフィックス配下のオブジェクトに対する操作のみ許可するというシチュエーションが想定されていますが、ある程度柔軟にカスタマイズできるのでそれ以外のケースでも転用できます。 何をするのか やっていることは以下のエントリとほぼ同じです。こ
Amazon Web Services ブログ AWS マルチアカウント統制の要件検討アプローチ例 はじめに 我々、AWS のプロフェッショナルサービスは、クラウド活用に関するお客様固有のブロッカーを取り除くための支援をするチームです。お客様の役割は様々ですが、組織全体の AWS アカウント管理を担われているお客様をご支援するケースもあります。組織全体で AWS をセキュアに利用いただくためには、クラウド利用の社内規定やガイドラインの作成だけでなく、ルールを強制的に適用したり、非準拠状態を発見・報告したりするための仕組み(このブログでは複数の AWS アカウントを統制するための基盤として統制基盤と呼びます)の構築を推奨することもあります。一方で統制基盤を構築したいと考えているが、「統制基盤のあるべき姿をどのように定義すればよいかわからない」といったお悩みを抱えているお客様も多いのではないで
Amazon DynamoDB用 NoSQL Workbenchでsession tokenを使って接続してみた | DevelopersIO
Amazon DynamoDB用 NoSQL Workbenchが、先日一般公開(GA)されたので色々試しています。 Amazon DynamoDB 用 NoSQL Workbench が一般公開されます。 個人的にはスイッチロールしてアクセスできるのかがすごく気になったので試してみました。 できます。 ただそれだけの話なのですがw、試す過程で全部CLIでテスト環境を用意できるようにしていて、せっかくなのでやったことを公開します。一部でも全部でも読者様(と、しばらく後に忘れかけるであろう自分)の参考になれば嬉しいです。 単純にツールの使い方だけ知りたい場合には「作成したロールにスイッチロールしてNoSQL Workbenchへ接続確認」のセクションから見ていただければと思います。 Amazon DynamoDB 用 NoSQL Workbenchとは DynamoDB用の開発ツールです。テ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Amazon Cognito を利用した認証と認可の流れ - 概要の理解 編 - Qiita
Assume Roleをいい感じにするスクリプトを書いた | DevelopersIO
EKSでクラスター作成後に他のIAMユーザーに自分と同じ管理者権限を与える | DevelopersIO
AWS CLIがAssumeRoleする際のセッション名を指定する | DevelopersIO
AWS CDKで、承認フロー付き AWS CodePipeline を構築する | DevelopersIO
環境変数に依存しないassume-roleスクリプト作ってみた | DevelopersIO
PowerUserAccessだと全てのIAMロールにスイッチ出来てしまう問題の対処方法 - Qiita
terraformでさくっとiamユーザーとグループを作ってみる - Qiita
AWS マルチアカウント統制の要件検討アプローチ例 | Amazon Web Services