【R&D DevOps通信】データ基盤におけるGoogleグループ・IAMによるアクセス制御 - Sansan Tech Blog
研究開発部 Architectグループにてデータエンジニアとしてデータ基盤の開発・運用を担当しているジャン(a.k.a jc)です。 データ基盤の構築はETL処理の実装やパイプラインの監視だけでなく、セキュリティ、データアクセス制御管理もデータエンジニアリングライフサイクルの一環として、重要な存在になっています*1。データ基盤の第四弾となる今回は、BigQuery上に構築したデータ基盤におけるGoogleグループ・IAMによるアクセス制御を中心に紹介したいと思います。 また、過去のデータ基盤関連の記事も併せてお読みいただければと思います。 【R&D DevOps通信】データ基盤におけるGitHub Actionsを使ったTerraformとCloud ComposerのCI/CD - Sansan Tech Blog 【R&D DevOps通信】Cloud Composerを用いたデータ基
こんにちは。仕事でAWSの構築し、プライベートでAWSの研究と技術書の執筆をし、Amazonで本を売っているAmazon依存症の佐々木(@dkfj)です。 なんかIAMの話をしてリクエストがあったので、IAMの「あ」というタイトルで、IAMの基本的な部分について話す機会を頂きました。運営の方々、ありがとうございます。 jawsug-bgnr.connpass.com 発表内容 10分のLTなので、後半の細かい話はすっ飛ばして、下記の3点を中心に説明しています。 認証認可とは IAMの動き IAMユーザーとIAMロール speakerdeck.com LT大会について 今回のテーマは、LT大会ということで10分・5分が沢山でした。最近、勉強会自体もあまり参加できずだったのですが、参加するといろいろな刺激があっていいですね。特に初心者支部は、初めての人に積極的に登壇を勧めているようです。登壇に
自己紹介 おはようございます。こんにちは。こんばんは。 株式会社プロトソリューション(沖縄)で自社開発チームに所属しているスナガワです。 みなさま、よいBeer Time🍺な日々をおくれてますか? 本記事について 本記事では以下の悩みを持った方へ小技を紹介する感じです。 管理するAWSアカウントが増えてきたよー AWS CLIを使用する際、毎回profileを指定するの面倒くさいよー かといって、環境変数で切り替えるのも面倒くさいよー もっと楽に、profileを指定せずスイッチしたいよー どうにかしてよー、ドラ○もん〜 環境 ちなみに環境は以下の感じです。 $ sw_vers ProductName: macOS ProductVersion: 12.6 BuildVersion: 21G115 $ echo $SHELL /bin/zsh $ node -v v16.17.1 $ n
[アップデート] IAM Access Analyzer によるポリシーの生成でより多くの AWS サービスが「アクションレベルの情報」に対応しました | DevelopersIO
コンバンハ、千葉(幸)です。 IAM Access Analyzer がよりきめ細やかなポリシーの生成に対応しました。 アクションレベルの情報を返してくれる AWS サービスが 16 → 58 に増加しています。 何が変わったのか IAM Access Analyzer によるポリシーの生成 IAM Access Analyzer によるポリシーの生成は 2021 年 4 月に発表された新機能です。 特定の IAM ユーザーや IAM ロールに対して、CloudTrail に記録された過去のアクティビティを基にポリシーの雛形を生成してくれるものです。最小権限を実現するのに役立ちます。 全体的な動作イメージは以下です。 発表当時のブログは以下です。併せてご参照ください。 サービスレベルとアクションレベルの情報 IAM Access Analyzer によるポリシーの生成では、ポリシーそのもの
![[アップデート] IAM Access Analyzer によるポリシーの生成でより多くの AWS サービスが「アクションレベルの情報」に対応しました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/be87d4dc194a448afd90d0a4b97626b36839fd3a/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Faws-iam.png)
terraformでiam roleにpolicyをアタッチする時のmanaged_policy_arnsとは - Qiita
はじめに terraformを使ってAWSのIAMを管理する際、ロールに管理ポリシーをアタッチする際にはaws_iam_role_policy_attachmentを使用していましたが、aws_iam_roleのmanaged_policy_arns引数を利用してもアタッチができるため、両者の違いは何か調べてみました。 aws_iam_role_policy_attachmentを用いたポリシーのアタッチ aws_iam_role_policy_attachmentを用いてロールにポリシーをアタッチする方法は以下の通り。 resource "aws_iam_role" "role" { name = "test-role" assume_role_policy = <<EOF { "Version": "2012-10-17", "Statement": [ { "Action": "st
フィードバックを送信 IAM Conditions の概要 コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 このページでは、Identity and Access Management(IAM)の Conditions の機能について説明します。IAM Conditions を使用すると、Google Cloud リソースに条件付きの属性ベースのアクセス制御を定義して適用できます。 IAM Conditions では、指定された条件を満たす場合にのみプリンシパルにアクセス権を付与するように設定できます。たとえば、本番環境に関する問題を解決するために、ユーザーに一時的なアクセス権を付与できます。また、会社のオフィスからリクエストを行う従業員にのみアクセス権を付与することもできます。 条件は、リソースの許可ポリシーのロール バインディングで指定します。条件が存
AWS Identity and Access Management (IAM) Access Analyzer を使った意図しないリソースアクセスの特定 | Amazon Web Services
Amazon Web Services ブログ AWS Identity and Access Management (IAM) Access Analyzer を使った意図しないリソースアクセスの特定 本日の発表をここでシェアしたいと思います。この発表は、AWS 上のビルダーの方のためのセキュリティ強化のみに留まりません。また、設定なしに利用料金不要でオンにすることが出来ます。AWS は、AWS Identity and Access Management (IAM) Access Analyzer と呼ばれる今までにない機能をリリースします。 IAM Acess Analyzer は数学的なアルゴリズムを使って AWS 上のリソースにアタッチされている アクセス制御ポリシーを分析し、他のアカウントもしくは、誰もがアクセスできるリソースが無いか見つけ出します。IAM Access Ana
aws:PrincipalArn 条件コンテキストキーで IAM グループのプリンシパル ARN を指定できるのか試してみた | DevelopersIO
コンバンハ、千葉(幸)です。 とある事情から IAM の AWS ドキュメントを上から下まで読んでいたのですが、IAM アクセスアナライザーの結果(Finding)のフィルタリングに関する記述で気になる部分を見つけました。 Principal ARN – Use this property to filter on the ARN of the principal (IAM user, role, or group) used in an aws:PrincipalArn condition key. To filter by Principal ARN, type all or part of the ARN of the IAM user, role, or group from an external AWS account reported in a finding. Filter
CloudFormationでIAMアクセスキーの発行とSecrets Managerへの格納をしてみた | DevelopersIO
こんにちは、CX事業本部 IoT事業部の若槻です。 今回は、CloudFormationでIAMアクセスキーの発行とSecrets Managerへの格納をしてみました。 なぜCloudFormationとSecrets Managerなのか? (主観ですが)AWSのIaC機能は下記の2つです。 AWS CLoudFormation AWS CDK また、AWSのセキュアなパラメータ管理機能は主に下記の2つです。 AWS Systems Manager Parameter Store(SecureStringを使用) AWS Secrets Manager このうち、IAMアクセスキーの発行とそのクレデンシャルの格納をIaCで完結させられる方法は、調べてみたところ「CloudFormationとSecrets Managerの組み合わせのみ」だったため、今回その方法についてご紹介します。ま
New for Amazon EFS – IAM Authorization and Access Points | Amazon Web Services
AWS News Blog New for Amazon EFS – IAM Authorization and Access Points When building or migrating applications, we often need to share data across multiple compute nodes. Many applications use file APIs and Amazon Elastic File System (Amazon EFS) makes it easy to use those applications on AWS, providing a scalable, fully managed Network File System (NFS) that you can access from other AWS services
EKS運用のGitLab RunnerジョブにAWSのIAMロールを適用する方法 | DevelopersIO
Kubernetes Executoreで動作しているGitLab RunnerのジョブにIAMロールを適用し、CI/CDプロセスの権限を適切に管理する方法の解説です。 「この環境のGitLab Runnerのジョブ、めっちゃ強権限もってるやん。駄目だよ。怖いわ」 「えー、NodeのIAMロールに全部ひっくるめて設定してるんじゃだめ?」 「あかんよ。それぞれのジョブはやること全然違うんだから」 現プロジェクトでは、GitLab RunnerをEKSでセルフホスティングで運用しているんですが、ジョブの数が100を超えてきたところから、こんな課題が出てきました。 以前から課題感はあったのですが、根本的にやり方を変えて、各ジョブで既定のIAMロールのみを利用してジョブが起動するように対応したので、その軌跡をお伝えします。 EKSにおいて、Podに適切にIAMロールを適用して運用するときにも汎用的
【AWS IAM 小ネタ】権限を狭めてスイッチロール(AssumeRole)する | DevelopersIO
何か作業を行う際に、作業用のIAMロールへ スイッチロール(AssumeRole)するケースは多いと思います。 そのときの権限は基本的には 「そのロールにアタッチされたポリシー」です。 ですが、その権限を AssumeRole 時に狭められることを最近(今更)知りました。 「セッションポリシー」というものを使って スイッチロール先での権限を狭められるとのこと。 今回はこのセッションポリシーを適用して スイッチロール(AssumeRole)を試してみました。 まずは普通にAssumeRole まずは aws sts assume-role コマンドを使った いつもどおりのスイッチロールを紹介します。 以下シンプルなコマンドサンプルです。 ### スイッチ先のロールARN role_arn="arn:aws:iam::123456789012:role/example-dev-role" ##
AWS IAM Identity Center にセッション管理機能が追加されました | DevelopersIO
いわさです。 本日のアップデートで IAM Identity Center にセッション管理機能が追加されたようです。 IAM Identity Center 上で IdP としてユーザー管理を行い、AWS のマルチアカウントを始め様々な外部サービスへのシングルサインオンを実現することが出来ます。 この独自管理するユーザーに対してセッション管理を行うための機能が追加されたという形のようです。 旧 AWS SSO のころからあまり IAM Identity Center に触る機会が少なかったのですが良い機会なのでアップデートの確認を兼ねて触ってみたいと思います。 セッション期間の設定 ひとつめは以下のようにセッション期間を設定することが出来るようになりました。 今までは固定で 8 時間だったようです。 設定メニューの認証タブに「セッション設定」が追加されています。 こちらはユーザーやグルー
Workload Identity Federation | IAM Documentation | Google Cloud
Send feedback Workload Identity Federation Stay organized with collections Save and categorize content based on your preferences. This document provides an overview of Workload Identity Federation. Using Workload Identity Federation, you can provide on-premises or multicloud workloads with access to Google Cloud resources by using federated identities instead of a service account key. You can use
こんにちは! 丸屋 正志(Maruya Masashi)です。 今日もブロックを掘ったり積み上げたり匠に壊されたりしていますか? 1, Minecraft for AWS シリーズについて Minecraft を用いて、AWS サービスを楽しく学習ができたらと思い、こちらのブログシリーズを始めました。 対象者としては、AWS 未経験or初学者、もしくはクラウドサービスを用いて Minecraft サーバーを立ててみたい人向けになります。 なお、一部 AWS を使用しなくても良い箇所もあるかと思いますが、基本的には "Minecraft for AWS" で全てを解決していきます。(一部外部サービスを使用する場合もあります) 現在、AWS サービスは約223個以上あります、私自身も全てを網羅しているわけではありませんが、 Minecraft を介して触れれる AWS サービスを全て触ってブロ
AWS 認定ソリューションアーキテクト – プロフェッショナル資格試験に向けた知識の整理 IAMポリシーサンプル - Qiita
概要 AWS 認定ソリューションアーキテクト – プロフェッショナル資格試験に向けた小ネタ集。 今回は様々なところで出題されるIAMポリシーで制限可能などの問題や設問に対し、具体的にIAMポリシーをどう書いたらいいかわからず調べてみたいくつかのIAMポリシーのサンプルです。 [2020年10月] 2回目の受験でついにプロフェッショナル試験に合格しました! 合格体験記/勉強法を以下で投稿しているので良かったら読んでください。 試験受ける予定がある方の少しでも役に立てればと思います(^^) AWS初心者がAWS 認定ソリューションアーキテクト – プロフェッショナル資格試験に合格した時の勉強法 EC2 インスタンスや EBS ボリュームの作成において、指定可能なタグを制限する方法 https://aws.amazon.com/jp/premiumsupport/knowledge-center
CloudFormationで作成したEC2から「S3の特定バケットに対してアクセス可能にする」方法の紹介です。 テンプレートファイルに「S3の特定バケットに対してアクセスを許可する」IAMロールを作成しEC2に付与しました。 4 Step テンプレートファイルに以下の4項目を追記します。 IAMロールの記述 IAMポリシーの記述 IAMインスタンスロールの記述 EC2インスタンスにIAMインスタンスロールを付与 1. IAMロールの記述 IAMユーザーと似ていますが異なる点があります。 IAMユーザーは人にアクセス権限を付与 IAMロールはAWSリソースにアクセス権限を付与 今回アクセス権限を付与したいのはEC2ですので、IAMロールを使用します。 S3AccessRole: Type: "AWS::IAM::Role" Properties: AssumeRolePolicyDocum
Assume AWS IAM Roles with MFA Using the AWS SDK for Go | Amazon Web Services
AWS Developer Tools Blog Assume AWS IAM Roles with MFA Using the AWS SDK for Go AWS SDK for Go v1.7.0 added the feature allowing your code to assume AWS Identity and Access Management (IAM) roles with Multi Factor Authentication (MFA). This feature allows your applications to easily support users assuming IAM roles with MFA token codes with minimal setup and configuration. IAM roles enable you to
AWS Control Tower が作成する AWS IAM Identity Center のアクセス許可セット、グループ、ユーザーを削除する | DevelopersIO
AWS Control Tower が作成する AWS IAM Identity Center のアクセス許可セット、グループ、ユーザーを削除する AWS Control Tower のアップデートにより AWS IAM Identity Center を自己管理できるようになりました。これにより、Control Tower 有効化時に作成されるアクセス許可セット、グループ、ユーザーを利用しないという選択ができます。そこで、本ブログでは構築済みの Control Tower 環境で、アクセス許可セット等を自動生成することを禁止する設定に変更し、有効化時に Control Tower が作成したアクセス許可セット、グループ、ユーザーを削除してみたいと思います。 アップデートの内容は次のブログで紹介されています。 試してみた 始めに Control Tower のランディングゾーン設定を変更し
特定の EC2 インスタンスのみを表示させる IAM ポリシーの権限設定は可能ですか? | DevelopersIO
困っていた内容 ある IAM ユーザーに対して特定の EC2 インスタンスのみを AWS コンソールに表示させ、その他は表示させないように設定したいのですが、IAM ポリシーでそのような許可設定は可能でしょうか? どう対応すればいいの? 残念ながら、特定の EC2 インスタンスのみをコンソールに表示/非表示にするような IAM ポリシーは設定できません。 理由として ec2:DescribeInstances 等の表示系アクションの多くは「リソースレベルのアクセス許可」に対応していないためです。 つまり「EC2 インスタンスをすべて表示させる」もしくは「すべて表示させない」のいずれかしか設定できないことになります。 試してみた 文章だけではイメージしにくいと思いますので、実際に試してみました。 タグ「Owner:HOGE」と「Owner:FUGA」が付与されたEC2インスタンスを用意し、下
最近、IAMをどのように管理するのがベストなのか悩んでいたので「AWS IAMのマニアックな話」を読みました。全部で126ページの薄い本ではありますが、内容はIAMについて分かりやすく丁寧に書かれているし、チュートリアルもあるので手を動かしながら理解を深められる良本だと思いました。 IAMについての説明は公式ドキュメントだったりクラスメソッドさんの記事にもまとまっていますが、どのようにIAMポリシーをデザインして運用していくのかについての知見は中々得られないので勉強になりました。 booth.pm 全部読んでみて この本を通して筆者が言いたいのは、「IAMベストプラクティスをよく読んで理解し、実践すること」だと感じました。そのために、IAMのベストプラクティスについて分かりやすく解説されているのがこの本なのかなと思います。 IAMベストプラクティス https://docs.aws.ama
Tori Hara on Twitter: "うおーーー実際の操作履歴(CloudTrail)から IAM ポリシーを作成できるように!!! いわゆる「最小権限の原則」実践がこれまで以上にやりやすくなる✨✨ / "IAM Access Analyzer makes it… https://t.co/DD8r5Qk665"
うおーーー実際の操作履歴(CloudTrail)から IAM ポリシーを作成できるように!!! いわゆる「最小権限の原則」実践がこれまで以上にやりやすくなる✨✨ / "IAM Access Analyzer makes it… https://t.co/DD8r5Qk665
フィードバックを送信 Workload Identity 連携 コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 このドキュメントでは、外部ワークロードのための ID 連携の概要について説明します。ID 連携を使用することで、サービス アカウント キーを使用せずに、Google Cloud リソースへのアクセス権を、オンプレミスまたはマルチクラウドのワークロードに付与できます。 ID 連携は、アマゾン ウェブ サービス(AWS)や、OpenID Connect(OIDC)をサポートする任意の ID プロバイダ(IdP)(Microsoft Azure など)、SAML 2.0 で使用できます。 ID 連携が必要な理由 Google Cloud の外部で実行されているアプリケーションは、サービス アカウント キーを使用して Google Cloud リソースに
[小ネタ] Kinesis Data FirehoseのIAMポリシーに含まれるプレースホルダーについて | DevelopersIO
しばたです。 検証用にAmazon Kinesis Data Firehose(以後Kinesis Firehose)を手作業で作成した際に気が付いた点について、ネット上に意外と情報が無かったのでブログにしてみました。 配信ストリーム作成時に生成されるIAMロール マネジメントコンソールからKinesis Firehose配信ストリームを新規作成する場合、配信ストリームと同時にIAMロールを新規作成することが可能です。 例として下図の様にシンプルなS3への配信ストリーム(PUT-S3-Test1)を作る場合、 Advanced settingsの「Permissions」欄でIAMロールを新規作成するかどうかを指定できます。 ここでIAMロールを新規作成した場合以下の様なポリシーを持つロールとなり、ところどころに%FIREHOSE_POLICY_TEMPLATE_PLACEHOLDER%と
![[小ネタ] Kinesis Data FirehoseのIAMポリシーに含まれるプレースホルダーについて | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/884975641c5db14bff3082afe3e0b5c719bc93f4/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F04%2Famazon-kinesis-firehose.png)
AWS SSO 管理者が AWS アカウント利用者に対して、 IAM ロールを作成する際に指定したポリシーを Permissions Boundary に割り当てることを強制することで権限を制限する方法を紹介します。 ユーザーを一元的に管理する AWS SSO の管理者と AWS アカウントの利用者が分かれている場合に、利用者が IAM ロール 作成時に付与できる権限を制限したい場合があります。 本ブログでは、利用者に対して IAM ユーザーの作成を禁止する次のシナリオを想定し、解決策の一つとして Permissions boundary を用いて IAM ロール作成時に付与できる権限を制限する方法を紹介します。 AWS SSO 管理者がユーザーを一元的に管理する AWS SSO 管理者は利用者にユーザーを払い出し、IAM ユーザーの作成権限は与えない AWS SSO 管理者は利用者に対し
[SageMaker Studio]IAMを使ってログインする #reinvent | DevelopersIO
コンニチハ、千葉です。 Amazon SageMaker Studioにログインする方法は、OrganizationsのSSOを利用した方式とIAMを利用した方式があります。 今回は、IAMを利用したログイン方式について整理します。 OrganizationsのSSOを利用したログイン方式についてはこちらでまとめています 注意事項 SSO利用時は、SageMaker Studio専用のログインURLが利用でき、マネージメントコンソールへのログインは不要でした。しかし、IAM認証の場合は、マネージメントコンソールへのログインが必要になります IAMからSSOへ切り替える場合は、SageMaker Studioの設定を一度削除する必要があります やってみた SageMaker Studioから「IAM で開始する」を選択します。 ロールを選択します。今回は、新規作成としました。 作成するIAM
![[SageMaker Studio]IAMを使ってログインする #reinvent | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/6ba8beebcc37b25dc7ff579a4dfe66d94571b792/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F12%2Freinvent2019_eyecatch.jpg)
Savings Plans のリリースにあわせてIAMの権限を修正した話 - サーバーワークスエンジニアブログ
CS課佐竹です。 最近、寒くなりましたね。 はじめに Savings Plansって何? Savings Plansのメリット Savings Plansを見ようと思うとエラーになる 新しいIAMの権限が必要になった Savings Plansのデメリットは? まとめ はじめに ついにリリースがされた Savings Plans について記載したいのですが、まだ検証が終わっていないので今回は小ネタです。ですので「Savings Plansって何?」と思われた方は以下のブログを(英語ですが)まずはご覧くださいませ。 New – Savings Plans for AWS Compute Services https://aws.amazon.com/jp/blogs/aws/new-savings-plans-for-aws-compute-services/ また、以下が製品ページのURL
すべての AWS プリンシパルを信頼ポリシーで許可している IAM ロールが環境にないか確認する | DevelopersIO
すべてのプリンシパルを信頼ポリシーで許可するのはリスクが高いです。そういったものがないかのチェックを AWS CLI だけでバチっとできないかなと思ったけど完璧とはいきませんでした。IAM Access Analyzer で対応しましょう。
[アップデート]API GWのHTTP APIでIAMによる認可とLambdaオーソライザーが利用可能になりました | DevelopersIO
CX事業本部@大阪の岩田です。 2020/9/9付のアップデートにより、API GatewayのAPIタイプとしてHTTP APIを選択した場合でもオーソライザーとして IAM Lambdaオーソライザー が選択可能になりました。 さっそく各機能を試してみたので、内容を簡単にご紹介します。 何がうれしいの? API GatewayのAPIタイプ HTTP APIはre:invent2019で発表された比較的新しい機能です。従来のREST APIと比較して 低コスト 低レイテンシ というメリットがありますが、REST APIの上位互換というわけではなくREST APIに存在するいくつかの機能は利用できず、なんでもかんでもHTTP APIに移行することはできません。 このREST APIには存在するものの、HTTP APIでは利用できない機能の代表格としてオーソライザー関連の機能が挙げられます
![[アップデート]API GWのHTTP APIでIAMによる認可とLambdaオーソライザーが利用可能になりました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/99c41667622f490e8ae3439387d88dc411a3b9b7/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Famazon-api-gateway.png)
Writing IAM Policies: Grant Access to User-Specific Folders in an Amazon S3 Bucket | Amazon Web Services
AWS Security Blog Writing IAM Policies: Grant Access to User-Specific Folders in an Amazon S3 Bucket Mar 25, 2024: We have fixed the JSON code examples which caused errors by replacing the curly quotes with straight quotes. November 14, 2023: We’ve updated this post to use IAM Identity Center and follow updated IAM best practices. In this post, we discuss the concept of folders in Amazon Simple St
IAM 認証を使用して、pgAdmin Amazon Aurora PostgreSQL または Amazon RDS for PostgreSQL に接続する | Amazon Web Services
Amazon Web Services ブログ IAM 認証を使用して、pgAdmin Amazon Aurora PostgreSQL または Amazon RDS for PostgreSQL に接続する Amazon Relational Database Service (RDS) では、AWS Identity and Access Management (IAM) を使用して、Amazon RDS for PostgreSQL データベースインスタンスと Amazon Aurora PostgreSQL クラスターのデータベースアクセスを管理できます。データベース管理者は、データベースユーザーを IAM のユーザーとロールに関連付けることができます。IAM データベース認証を使用すると、データベースクラスターに接続するときにパスワードを入力する必要がありません。代わりに、認証ト
Twitterで告知はしているのですが、ブログの方でも改めて告知です。 技術書典8向けに用意していた『AWSの薄い本 IAMのマニアックな話』の物理本、ただいまBOOTHで販売中です。 入庫作業に時間が掛かっているので、自宅から注文のたびに1冊1冊私が梱包してファミリーマートから発送しています。また、自宅から発送なので商品バリエーションの自由度があるということに気がついて、2冊セットや5冊セット、10冊セットなども用意しています。 takuros.booth.pm そういったバリエーションを用意しておいて何ですが、ポツポツと2冊セットや5冊セットが本当に売れているのですね。どういった人が買っているのか、気になります。商品に対してリクエストがあれば検討しますので、お気軽にお問い合わせください。
この記事は Classi developers Advent Calendar 2021 の13日目の記事です。 こんにちは。開発本部プロダクト開発部学習チームでエンジニアをしています、藤田です。 本記事では AWS の IAM の Policy の定義から、アクセス可能なリソース範囲・許可されるアクション等を事前に検証できる IAM Policy Simulator を紹介します。 記事を書こうと思った背景 Classi の Infrastructure as Code(IaC) への取り組み Classi では複数のシステムを AWS 上で運用しており、それらの AWS リソースの変更内容のレビュー・変更履歴の管理を適切に行うため、 組織的に Terraform を用いた Infrastructure as Code(IaC) を実践しています。 大部分のシステムは、システムと対応する
ハンズオン(簡易版): IAM基礎(インスタンスプロファイル)¶ 作成者: 波田野 裕一 公開日: 2020-07-02 更新日: 2022-11-10 目的¶ インスタンスプロファイルの要素の作成・更新・削除を行う。 前提¶ 作業権限条件¶ 本作業は、以下の権限を有する「IAMユーザー」もしくは「IAMロール/インスタンスプロファイルが付与された環境(Cloud9などを含むEC2環境)で行います。 作業権限条件: 必要なIAMポリシー IAMFullAccess AWSCloudFormationFullAccess CloudWatchLogsFullAccess AmazonEC2FullAccess 必要なIAMポリシーを利用する環境(「IAMユーザー」「IAMグループ」もしくは「IAMロール/インスタンスプロファイル」)にアタッチした後に、手順を実施します。 作業環境条件¶
「初期 IAM ユーザを複数アカウントにミスなく作成したい!!」 という要望があったので、AWS CloudFormation のテンプレートを作成しました。今回は作成したテンプレートを紹介します。想定読者は AWS CloudFormation 入門者レベルの方です。それでは早速やっていくっ! AWS CloudFormantionとは? BlackBelt で基本をおさらい。AWS CloudFormantion (以降、CFn) の概要は、以下のスライドが分かりやすいと思います。 AWS Black Belt Online Seminar 2016 AWS CloudFormation 作成する CFn テンプレートについて 要件 Admin 権限を持つ初期 IAM ユーザ グループ名:demo-admin-group-{アカウントID} ユーザー名:demo-iniadmin-us
IAM ポリシー作成時に「すべてのリソース を選択する必要があります」という警告が出た場合の対処方法 | DevelopersIO
困っていた内容 IAM ポリシーの作成時に「ポリシーのアクションはリソースレベルのアクセス許可をサポートしておらず、 すべてのリソース を選択する必要があります」というエラーメッセージが表示されています。解決方法を教えてください。 前提となる知識 IAM アクションには、リソースレベルのアクセス許可がサポートされているものと、されていないものがあります。 リソースレベルのアクセス許可がサポートされている場合 Resource 句に当該の IAM アクションが影響するリソースの範囲を指定することができます。 また、Resource 句にアスタリスク(*)を指定することで、すべてのリソースの範囲を指定することもできます。 一部のリソースを指定する場合の IAM ポリシー例 { "Version": "2012-10-17", "Statement": [ { "Sid": "IAMPolicy
IAM Access Analyzer を一発で有効にしてみた #reinvent | DevelopersIO
こんにちは。 ご機嫌いかがでしょうか。 "No human labor is no human error" が大好きな吉井 亮です。 IAM Access Analyzer 使っていますか~~(あいさつ) 外部エンティティからのアクセス可能性があるリソースを検出してくれる機能です。 追加料金は発生しないので、ご自身が管理している全てのアカウントで有効にしてしまいましょう。 CLI マネジメントコンソールから Access Analyzer を有効にすることが可能ですが 全てのリージョンでの操作をマネジメントコンソールから行うと手間です。 CLI で一発で実行してしまいます。 実行するまえに 公式ドキュメント を参照して AWS CLI を最新バージョンにしておきましょう。 CLI を最新にしたら以下の bash スクリプトを作成して実行します。 変数 AANAME の値は任意に変更してく
Amplified exposure: How AWS flaws made Amplify IAM roles vulnerable to takeover | Datadog Security Labs
research Amplified exposure: How AWS flaws made Amplify IAM roles vulnerable to takeover April 15, 2024 aws vulnerability disclosure Key Points We identified two variants of a vulnerability in AWS Amplify that exposed identity and access management (IAM) roles associated with Amplify projects, allowing them to become assumable by anyone in the world. If the authentication component was removed fro
IAM Recommender の仕組み: IAM 推薦事項を提供する Google Cloud のセキュリティ分析 | Google Cloud 公式ブログ
※この投稿は米国時間 2020 年 8 月 15 日に、Google Cloud blog に投稿されたものの抄訳です。 IAM Recommender によりセキュリティ専門家は Google Cloud Platform(GCP)リソースへの不要なアクセスを特定、削除できるようになるため、最小権限の原則を適用するのが容易になります。以前のブログで、IAM Recommender を使用してより少ない労力で最小権限を達成するためのベスト プラクティスについて説明しました。IAM Recommender は、機械学習を用いて 90 日間に使用した権限を分析し、ユーザーが実際に必要とするものを特定します。 この記事では、IAM Recommender の仕組みについて具体的な例を用いて詳しく説明します。 DIY 的なアプローチ背景情報を少し詳しく説明します。IAM Recommender は
DevelopersIO 2023 大阪 – 勉強会「AWS IAM Identity Centerを用いたAWSアクセス」 #devio2023 | DevelopersIO
DevelopersIO 2023 大阪 – 勉強会「AWS IAM Identity Centerを用いたAWSアクセス」 #devio2023 DevelopersIO 2023 大阪の AWS 質問ブース の勉強会「AWS IAM Identity Centerを用いたAWSアクセス」のブログです。 AWS IAM Identity Center を利用して AWS アカウントにアクセスする方法についてご紹介します。 AWS IAM Identity Center の概要 AWS アカウントやクラウドアプリケーションへのアクセスを一元管理できる AWS IAM Identity Center の全体イメージを紹介します。 IAM Identity Center はユーザーの認証情報をローカル(IAM Identity Center 自信)で保持する他、外部 ID プロバイダーや Ac
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
JAWS-UG 初心者支部でIAMの「あ」の話をしました - プログラマでありたい
〇野比太「〇〇えもん〜、複数のIAMを楽にスイッチしたいよー」 - Qiita
IAM Conditions の概要 | IAM のドキュメント | Google Cloud
【#Minecraft for AWS】IAMユーザーを作成してみた | DevelopersIO
CloudFormationでEC2にIAMロールを付与する - Qiita
「AWS IAMのマニアックな話」を読んでIAMについて勉強した - あきろぐ
Workload Identity 連携 | IAM のドキュメント | Google Cloud
AWS SSO管理者がユーザーの作成するIAMロールの権限を制限する方法 | DevelopersIO
IAM本こと『AWSの薄い本 IAMのマニアックな話』の物理本、販売中です #技術書典 - プログラマでありたい
IAM Policy Simulator で「必要な権限足りてる?」を確かめる - Classi開発者ブログ
ハンズオン(簡易版): IAM基礎(インスタンスプロファイル) — ハンズオン(簡易版): IAM基礎(インスタンスプロファイル)
AWS CloudFormationを利用したIAMユーザ作成 | DevelopersIO