こんにちは!イーゴリです。 AWS にとって、クラウドのセキュリティは最優先事項です。(AWS公式ページ) AWS環境のセキュリティ対策としてAWSサービスを解説するよりも、まずはAWS環境の最適な設計について考える必要があります。AWS Well-Architected Frameworkを考慮しながらの設計を推奨します。AWS Well-Architected Frameworkを全部詳しく読むことをおすすめしますが、この記事では個人的に一番重要だと思う点について記載します。 とてもざっくり説明しますと、AWS Well-Architected Frameworkとは、クラウドシステムの最適な設計方法を提供するAWSのガイドラインで、6つの柱があります。この記事では基本的に「セキュリティ」の柱を技術的観点から見てみたいと思います。 AWS Well-Architected Framew
「AWSセキュリティを「日本語で」学習していくための良いコンテンツをまとめてみた」というタイトルでAWS Summit Japan 2024のCommunity Stageで登壇しました #AWSSummit | DevelopersIO
「AWSセキュリティを「日本語で」学習していくための良いコンテンツをまとめてみた」というタイトルでAWS Summit Japan 2024のCommunity Stageで登壇しました #AWSSummit AWS Summit JapanのCommunity Stageで登壇した「AWSセキュリティを「日本語で」学習していくための良いコンテンツをまとめてみた」の解説です。 こんにちは、臼田です。 みなさん、AWSセキュリティの勉強してますか?(挨拶 今回はAWS Summit JapanのCommunity Stageで登壇した内容の解説です。 資料 解説 AWSとセキュリティの勉強をしていく時、嬉しいことにAWS関連の情報はたくさんあります。しかし、どの情報から勉強していくか迷いますよね?そこで、AWS Security Heroである私がオススメする「日本語で」学習するための良いA
AWS STS でリージョナルエンドポイントの利用が推奨されるとはどういうことか | DevelopersIO
AWS STS のサービスエンドポイントとしてグローバルエンドポイントとリージョナルエンドポイントがあります。デフォルトではグローバルエンドポイントが使用されますが、リージョナルエンドポイントの使用が推奨されています。一体それはどういうことなのか、整理してみます。 コンバンハ、千葉(幸)です。 AWS Security Token Service (STS) は、一時的な認証情報を提供するサービスです。 AWS STS に対して一時的な認証情報払い出しのリクエストを行う際、リクエスト先となる AWS サービスエンドポイントには以下の2種類があります。 グローバルエンドポイント リージョナルエンドポイント デフォルトでは前者のグローバルエンドポイントが使用されるものの、後者のリージョナルエンドポイントの利用を推奨する、という記述が各種ドキュメントにあります。 👇 デフォルトでは、AWS S
SRE 統制チームの oracle です。 この記事は freee 基盤チームアドベントカレンダー の12日目になります。 今回は AWS の 組織移行を行った話をさせて頂きます。 AWS の 組織移行というのはどういうこと?と思われる方もいらっしゃるかと思いますので、正しく説明しますと、 既存の複数の AWS アカウントを構成している AWS Organizations を解体し、新規に作成した AWS Organizations にすべてのアカウントを移動させました。 となります。 その動機とアプローチについてご紹介したいと思います。 背景 AWS 組織移行する前から、freee では 数十の AWS アカウントを運用していました。運用の仕方は組織によって様々ですが、一般的にはプロダクトで分けたり、環境で分けたりすることが多いかと思います。 freee でも同様の手法でアカウントを分け
AWS IAM Identity Center を使わないマルチアカウント環境のユーザー管理 #devio2024 | DevelopersIO
2024 年 7 月 31 日 にクラスメソッドの大阪オフィスで開催された DevelopersIO 2024 OSAKA において「AWS IAM Identity Center を使わないマルチアカウント環境のユーザー管理」というタイトルで話しました。 本ブログで資料を公開します。 登壇資料 次の内容について記載しています。 マルチアカウントのユーザー管理の課題 IAM ユーザーの一元管理の基礎 IAM ユーザーの一元管理のテクニック集 AWS Extend Switch Roles を利用したスイッチロール設定の管理 スイッチロールの条件として MFA 有無と送信元 IP アドレスを指定 スイッチロール先 IAM ロールの信頼ポリシーで複数ユーザーをまとめて許可 アクセスキーの利用 AWS CloudFormation を利用した IAM ロールの設定 外部 ID プロバイダとの連携
AWS入門ブログリレー2024〜AWS IAM Access Analyzer編〜 | DevelopersIO
コンバンハ、千葉(幸)です。 当エントリは弊社AWS事業本部による『AWS 入門ブログリレー 2024』の33日目のエントリです。 このブログリレーの企画は、普段 AWS サービスについて最新のネタ・深い/細かいテーマを主に書き連ねてきたメンバーの手によって、 今一度初心に返って、基本的な部分を見つめ直してみよう、解説してみようというコンセプトが含まれています。 AWS をこれから学ぼう!という方にとっては文字通りの入門記事として、またすでに AWS を活用されている方にとっても AWS サービスの再発見や 2024 年のサービスアップデートのキャッチアップの場となればと考えておりますので、ぜひ最後までお付合いいただければ幸いです。 では、さっそくいってみましょう。今回のテーマは『AWS Identity and Access Management (IAM) Access Analyze
【小ネタ】AWS Extend Switch Roles にて行うべきと思う設定 | DevelopersIO
複数のスイッチロールを管理出来る AWS Extend Switch Roles について今更ながら知ったことを展開する記事です。 こんにちは、高崎@アノテーションです。 はじめに 現在、多数の AWS アクセスロールを切り替えるために AWS Extend Switch Roles の Chrome 版を使用していますが、これがなかなか便利です。 この拡張機能において、最近気付いた便利な設定をチーム内で展開したところ、案外知られていなかったので小ネタとして記事にしてみました。 皆様のご参考になれば幸いです。 AWS Extend Switch Roles とは 通常、AWS でスイッチロールする時はマネージメントコンソールからアカウント ID とロール名を入力して切り替え、履歴からもアクセス出来ます。 しかしながら、ロール履歴には 5 つまでしか残すことが出来ず、その都度入力が必要になる
Amazon Q Business と AWS IAM Identity Center を利用して、プライベートでセキュアなエンタープライズ生成 AI アプリケーションを開発する | Amazon Web Services
Amazon Web Services ブログ Amazon Q Business と AWS IAM Identity Center を利用して、プライベートでセキュアなエンタープライズ生成 AI アプリケーションを開発する 本記事は、2024年4月30日に投稿されたBuild private and secure enterprise generative AI apps with Amazon Q Business and AWS IAM Identity Center を翻訳したものです。 2024 年 4 月 30 日現在、Amazon Q Business が一般提供開始 になりました。Amazon Q Business は、生成 AI を活用し、従業員の質問に答えたりタスクを完了させることで生産性の向上をサポートする対話型アシスタントです。従業員は Amazon Q Busi
"AWS Organizationsのユースケースで学ぶ AWSアカウント管理のベストプラクティス"というウェビナーで登壇しました | DevelopersIO
はじめに お疲れさまです。とーちです。 2024/7/31に開催された「AWS Organizationsのユースケースで学ぶ AWSアカウント管理のベストプラクティス」というウェビナーで登壇しました。 本記事ではその際に使用した資料をご紹介します。 登壇資料 資料概要 資料の流れとしては以下の通りです AWSを運用していく上ではマルチアカウント管理が重要 しかし、やみくもにAWSアカウントをたくさん作成していると多数のアカウントを管理しきれない等の課題も マルチアカウントにおける課題を解決するのがAWS Organizations 以下の課題についてAWS Organizationsを使うとどのように解決できるかをお伝え 複数アカウントがあるとログインや権限管理が煩雑に 複数アカウント間でのベースライン設定の統一できていない 複数のアカウントがあるとAWS全体のコストの把握や最適化が難し
Cedar(Amazon Verified Permissionsのポリシーのための言語)のチュートリアルを読んだ - s1r-Jの技術ブログ
Amazon Verified PermissionsとはAWSが提供するアクセス管理サービス(認可エンジンとも)です。 ざっくり言うと、アプリケーションでの操作を許可するか拒否するかを評価してくれます。 Amazon Verified Permissionsについては、以前にカンファレンスの動画を見てその内容をまとめたり、リンクをまとめたりしました。気になる方は最初にそちらを読んでください。 s1r-j.hatenablog.com さて、Amazon Verified Permissionsは、誰かが何かに対してどうするときにそれを許可するまたは拒否するということが書かれたポリシーをもとに評価をおこないます。このポリシーはCedarという言語で書かれています。 今回はCedarのチュートリアルをやったので、一部日本語訳をしながら備忘録としてまとめておきます。 チュートリアルの内容 1.
AWS IAM Identity CenterのMFA設定で、組み込みの認証アプリの指紋認証を試してみた | DevelopersIO
AWS IAM Identity CenterのMFA設定で、組み込みの認証アプリの指紋認証を試してみた はじめに AWS IAM Identity CenterのMFA(多要素認証)タイプで組み込みの認証アプリを試してみました。 Identity Centerのユーザーの管理(ID管理)が独自の ID ストアの場合、MFAタイプには以下のオプションがあります。 FIDO2 認証機能 組み込みの認証機能 セキュリティキー パスワードマネージャー、パスキープロバイダー、その他の FIDO 認証機能 仮想認証アプリ ワンタイムパスワード (OTP) ベースのサードパーティー認証アプリ RADIUS MFA AWS Managed Microsoft ADを介して利用 今回は、組み込みの認証機能のTouch IDによるログインを試してみます。 前提条件 AWS Identity Centerのユ
[オフライン世界最速?AWS re:Inforce 2024 re:Cap セミナー] IAM MFAのパスキー対応を理解したい 〜今更(?)多要素認証とパスキーについてキャッチアップしてみた〜 | DevelopersIO
あしざわです。 【オフライン世界最速?】AWS re:Inforce 2024 re:Cap セミナー にて、『IAM MFAのパスキー対応を理解したい 〜今更(?)多要素認証とパスキーについてキャッチアップしてみた〜』というタイトルで登壇しました。 先日のre:Inforceにて発表されたこちらのブログの内容を主題にしています。 パスキーや多要素認証についての知見が薄かったため、その辺りのAWSに関係しない領域のまとめに力を注ぐことになってしまいました。 セッション資料をご覧ください。 登壇資料 3行まとめ パスキーはFIDO(Fast Identity Online)という業界団体によって標準化されたFIDO2認証情報のことを指す。Apple、Googleなどの認証情報プロバイダーによるFIDO2実装の進化系。 パスキーはパスワードと比べると、セキュリティ観点・運用観点の様々なメリット
![[オフライン世界最速?AWS re:Inforce 2024 re:Cap セミナー] IAM MFAのパスキー対応を理解したい 〜今更(?)多要素認証とパスキーについてキャッチアップしてみた〜 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/6d17d62e8c21f31f6e575a129fa707d6f775d8e7/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2024%2F06%2F240617_AWS_reInforce-2024_reCap-1.png)
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
セキュアなAWS環境の設計についての解説【2024年版】 - サーバーワークスエンジニアブログ
AWS の組織移行をしました - freee Developers Hub