大阪オフィスのちゃだいんです。 IAMのカスタムポリシーを1から作るぞってなったら、みなさんどうしてますか? ポリシーを最初から作るの、なかなか骨が折れますよね。 今日は、私の作成方法を紹介してみようと思います。(もっといい方法があるって場合はこっそり教えてください) 要件 例えば、このようなIAMポリシーを作成したいとします。 対象はIAMユーザー AWS Systems Manager の Run Command の実行のみ許可 実行するコマンドのタイプを自己所有のドキュメントのみに限定し CLIでもマネジメントコンソールからでも可能 自己アカウント内のEC2に対して、すでに作成済みのスクリプトのみを実行する権限だけ与えたい。そんな場合と仮定します。 1. まず、類似したポリシーのサンプルが公式ドキュメントにないか検索する これはいわゆる検索力が物を言います。 AWSドキュメントの中に
![[初心者向け] IAMカスタムポリシーを最初から作る方法の一つ | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/be87d4dc194a448afd90d0a4b97626b36839fd3a/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Faws-iam.png)
「AWS初心者のしくじり」1Passwordを利用したIAM ユーザの2要素認証設定(MFA) | DevelopersIO
はじめに 『最後まで気を抜くな!』 ~~「家に帰るまでが遠足です。 皆さん気を付けて帰りましょう・・・」 小学生の頃、遠足の帰りに教頭先生に言われた言葉を思い出した。~~ そんなしくじりと、その後の試行錯誤の体験です。 こんにちは、上山(かみやま)です。 前職では社内のセキュリティに関わる規定やルール、システム開発・導入の際の支援などしており、 AWSなどのクラウド上で構築したサービスについても扱うことが多く、やれ「IPアドレス制限してね」とか、 「2要素認証設定してね」などと言っていましたが、自身で直接設定した経験はゼロ。 そんなAWS初心者が当社で初めてAWSを触った実体験を、同じようにAWS初心者の皆様へほんの少しですが共有できればと思います。 今回のお題:1Passwordを利用した仮想MFAデバイス設定 今回は、複数のIDやパスワードを管理することができるアプリ「1Passwor
【Security Hub修復手順】[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります | DevelopersIO
皆さん、お使いのAWS環境のセキュリティチェックはしていますか? 当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。 本記事の対象コントロール [IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります [IAM.3] IAM users' access keys should be rotated every 90 days or less 前提条件 本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容です。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。 コントロールの説明 このコントロールは、IAMユーザーのアクティブなアクセスキーが90日以内に適切
![【Security Hub修復手順】[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/b5eb18f96ede2cf98d82eb160ccfa87db6695ef1/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2023%2F08%2Faws-security-hub.png)
はじめに こんにちは。大阪オフィスの林です。 タイトルの通りなのですが本エントリは、AWS環境で各種リソースやサービスに対する管理者権限を与えつつも、IAMユーザーの作成や変更に関する操作を禁じたいというピンポイントのユースケースにお答えする内容となっています。 デフォルトのポリシーでIAMReadOnlyAccessもありますが、ロールやポリシーの操作にも制限が掛かってしまうので、IAMユーザーの作成、変更に対する操作だけを禁止したいというユースケースに本エントリを参考にして頂ければと思います。 やってみた ポリシー作成 IAMのダッシュボード左メニューから「ポリシー」-「ポリシーの作成」を選択します。 「JSON」タブから下記のJOSNをコピペして次のステップに進みます。 { "Version": "2012-10-17", "Statement": [ { "Effect": "Al
IAMインスタンスプロファイルって?
概要 AWSリソースにIAMポリシー権限を渡すときはIAMポリシーがアタッチされているIAMロールを作成し、そのIAMロールをAWSリソースに付与することで付与されたAWSリソースは他のリソースへの操作権限が与えられます。 ですがEC2を作成する画面にIAMロールをアタッチする箇所がなく、IAMインスタンスプロファイルを設定する箇所が存在します。 AWS CLIでもパラメータにIamInstanceProfileという項目があり、Arnにもinstance-profileと記載されています。 aws ec2 describe-instances --query "Reservations[].Instances[].IamInstanceProfile.Arn" [ "arn:aws:iam::XXXXXXXXXXXX:instance-profile/Yuta20210911" ] この
Cloud9は、ブラウザのみでコードを記述できるクラウドベースのIDE(統合開発環境)です。 Cloud9ではデフォルトで、AWS Managed Temporary Credentials(以降、AMTCと呼ぶ)が有効になっています。 これが有効になっていることで、AWSマネジメントコンソールへログインしたユーザーと同等の権限をもつ一時クレデンシャルキーが自動で発行され、すぐにCloud9上のシェルでAWS CLIを利用できます。 AMTCについて詳しく知りたい方は弊社ブログをご覧ください。 AWS Cloud9環境で利用できる一時クレデンシャル『AWS Managed Temporary Credentials』について調べてみた | Developers.IO このブログの中でも触れられているのですが、AMTCを利用する場合、IAM等に対する一部のアクションが制限されています。 Cl
IAM Access Analyzerと既存の機能を比較してどう使っていくか考察してみた #reinvent | DevelopersIO
こんにちは、臼田です。 みなさん、セキュリティ運用してますか?(挨拶 re:Invent 2019でリリースされた新機能のIAM Access Analyzerは簡単に無料で便利に公開設定を確認できる機能です。ただ、既存の機能でも決して出来なかったわけではないです。みなさんご存知AWS ConfigとConfig Rulesを利用すればね。 というわけでその違いからどうやって使っていくかという考察をしていきたいと思います。 そもそもIAM Access Analyzerどんな感じ? IAM Access Analyzerについてはまず下記を見ていただくといいと思います。 [速報] AWS Identity and Access Management Access Analyzerがリリースされました! #reinvent しかしリリースの内容だけだと正直良くわからん、と思ったので私の個人的
ECS コンテナインスタンス IAMロール コンテナを動作させるホストインスタンスに適用されるIAMロールとなります。 ECSでコンテナを配置するホストインスタンスがEC2を利用している時にECSクラスターへ参加を行う際に必要となるIAMロールで、もしecs.configのような設定ファイルを配置する際にはS3へのアクセス権限をこちらのIAMロールに付与することで対応が可能かと思います。 このIAMロールに適用されるIAMポリシーとしてAmazonEC2ContainerServiceforEC2Roleは最低限必要になります。 ポリシーより、ECSでホストインスタンス情報を取得するために使用される権限がポリシーとして付与されております。 ecs:CreateCluster ecs:DeregisterContainerInstance ecs:DiscoverPollEndpoint e
Amazon Web Services ブログ 詳解: IAM Roles for Service Accounts この記事は Diving into IAM Roles for Service Accounts (記事公開日: 2022 年 2 月 28 日) を翻訳したものです。 AWS 上で Kubernetes ソリューションを設計するときにアーキテクトが直面するよくある課題は、コンテナ化したワークロードに対して、AWS サービスやリソースへのアクセス許可をどのように付与するのかという課題です。AWS Identity and Access Management (IAM) は、最小権限の原則を保証するために、誰がどの AWS サービスやリソースにアクセスできるかを指定できるきめ細かいアクセス制御を提供します。しかしながら、ワークロードが Kubernetes で実行されている場
AWS または Azure との Workload Identity 連携を構成する | IAM のドキュメント | Google Cloud
フィードバックを送信 AWS または Azure との Workload Identity 連携を構成する コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 このガイドでは、Workload Identity 連携を使用して、Google Cloud で AWS または Azure のワークロードの認証をサービス アカウント キーなしで実行できるようにする方法を説明します。 Workload Identity 連携を使用することで、AWS EC2 と Azure で実行されるワークロードは、環境固有の認証情報を有効期間の短い Google Cloud Security Token Service トークンと交換できます。 環境固有の認証情報は次のとおりです。 AWS EC2 インスタンスは、インスタンス プロファイルを使用して一時的な認証情報をリクエストでき
[アップデート] IAMロールによるアクション実行者を特定・制御できる、”ソースID属性”(Source identity attribute)が使えるようになりました! | DevelopersIO
ちゃだいん(@chazuke4649)です。 IAMロールによるアクション実行者を特定しやすくする、"ソースID属性"(Source identity attribute)が使えるようになりました! AWS Identity and Access Management now makes it easier to relate a user's IAM role activity to their corporate identity 何が嬉しいの? 今回新しくソースID属性(Source identity attribute)が追加されました。端的にいうと、これによってCloudTrailでAPIアクティビティを調査する際、IAMロールアクションの本当の実行者の特定が容易になります。 似たようなものとして「セッションタグ」や「ロールセッション名」がありますが、「ソースID」がこれらと異な
[アップデート] “ついに” IAM ユーザーのデフォルトパスワードポリシーが強化されました | DevelopersIO
ちゃだいん(@chazuke4649)です。 先日のアップデートで、"ついに"IAM ユーザーのデフォルトパスワードポリシーが強化されました。 AWS Identity and Access Management (IAM) now introduces new policy defaults for passwords of IAM users. This policy improves the default security for all AWS customers by ensuring customers set stronger passwords for IAM users in their AWS accounts. AWS Identity and Access Management introduces new policy defaults for IAM user
S3 へのアクセスを TLS 1.2 に限定! 新しく追加された IAM 条件キー s3:TlsVersion を使ってみた | DevelopersIO
S3 へのアクセスを TLS 1.2 に限定! 新しく追加された IAM 条件キー s3:TlsVersion を使ってみた コンバンハ、千葉(幸)です。 2020年12月のアップデートで、以下の Amazon S3 の IAM 条件キーが追加されました。 s3:ResourceAccount s3:TLSVersion 前者は使い方がパッと分かったのですが、後者はいまいち分からず……。 手探りで確認した結果、大まかに使い方が分かりましたので、ご紹介します。 まとめ "s3:TlsVersion": "1.x"の書式で使用する 以下クライアントによる S3 アクセスは基本的に TLS 1.2 で行われる AWS マネジメントコンソール AWS CLI AWS サービス AWS 製エージェント 条件キーの想定される主な用途は S3 アクセスを TLS 1.2 に限定すること 「 TLS 1.
IAMFinder: Open Source Tool to Identify Information Leaked from AWS IAM Reconnaissance
IAMFinder: Open Source Tool to Identify Information Leaked from AWS IAM Reconnaissance This post is also available in: 日本語 (Japanese) Executive Summary In a recent blog, “Information Leakage in AWS Resource-Based Policy APIs,” Unit 42 researchers disclosed a class of Amazon Web Services (AWS) APIs that can be abused to find existing users and Identity and Access Management (IAM) roles in arbitrary
AWS IAM の知っておくべき話と知らなくてもいい話 でチョークトークスタイルで登壇しました #devio2023 | DevelopersIO
「AWS IAM の知っておくべき話と知らなくてもいい話」をしました。当日あまりできなかった「知らなくてもいい話」をこの場で少しだけさせてください。 コンバンハ、千葉(幸)です。 2023/7/7 , 7/8 に行われた Developers IO 2023 にて、「AWS IAM の知っておくべき話と知らなくてもいい話」というタイトルで登壇しました。 AWS IAM の知っておくべき話と知らなくてもいい話 AWS IAMはAWSを利用する上で避けて通れないサービスです。使ったことがない、という方はいないと思います。そんなIAMについて、正解はないけどみんなどんな設計してるの?という話と、つまずきがちな複雑な評価論理の話と、知らなくてもいい裏側の話をします。皆さんのIAMライフをちょっとだけ豊かにすることを目指します。 クラスメソッド株式会社 AWS事業本部コンサルティング部 マネージャー
【小ネタ】GitHub Actions用のIAMロールをAWSマネジメントコンソールから作成する際の注意点 | DevelopersIO
GitHub Actionsで利用するIAMロールの信頼関係には、Conditionとして "token.actions.githubusercontent.com:sub" で組織とリポジトリとジョブ環境名を指定する必要があります。 コンサル部のとばち(@toda_kk)です。 先月、GitHub ActionsがOpenID Connect(OIDC)に対応したことが発表されました。 実はそれ以前から対応は進んでおり、公式なアナウンスはないものの、ちらほらと「試してみた」系の記事が上がっていました。 具体的には、AWS IAMのIDプロバイダーを利用することで、GitHub ActionsにAWSユーザーにアクセスキーなど永続的なクレデンシャルを渡すことなく、IAMロールをベースとした権限管理によってAWSリソースの操作ができるようになる、という内容です。 2021年現在、GitHub
ecspressoでデプロイ等(register/run/deploy/rollback)を行う際のIAMポリシー例
GitHub ActionsやCircle CIなどのCI/CD環境でecspressoを使ってECSにデプロイ(ecspresso register/run/deploy)を行う際のAWS IAMポリシーのサンプルです。 ここに記載するポリシーは、タスク実行ロールやタスクロールのポリシーではありません。 ecspressoの全てのコマンドをフォローしていません。例えばecspresso execは実行できません。コンテナの中に入って自由にコマンドを打てるecspresso execを実行可能な権限を、CI/CD環境に預けるユースケースを想定していないため。 環境 ecspresso 2.0.2 ポリシー例 { "Version" : "2012-10-17", "Statement" : [ { "Sid" : "RegisterTaskDefinition", "Effect" : "
AWS Lambda 関数に適切に AWS IAM のポリシーを設定しよう!- 変化を求めるデベロッパーを応援するウェブマガジン | AWS
builders.flash 読者の皆さん!こんにちは! AWS のシニアテクニカルトレーナー 野邊(のべ)です。 今回は AWS Lambda 関数に設定するポリシーについて初学者の方向けに解説していきます! なお、AWS Lambda の初学者の方は、この記事をご覧になる前に builders.flash の 「AWS Lambda 関数の実行の仕組みを知ろう!」 の記事を読んで頂くことをお薦めします! また、今回の記事のタイトルの中で「AWS Lambda 関数」という言葉を使ってますが、記事の本文では用語として次のように使っていきますので、あらかじめ確認しておいて下さい! AWS Lambda サーバーを意識せずにコードを実行できる AWS のサーバーレスコンピューティングサービス Lambda 関数 AWS Lambda によって管理、実行されるアプリケーションのコードとその設定
吉川@広島です。 早速ですが、AWSにおけるスイッチロールの設定手順をまとめてみましたので紹介します。 前提 以下の想定で考えます。 AWSアカウントA この配下にIAMユーザaが存在する(MFA必須) AWSアカウントB この配下にIAMロールbを作成し、IAMユーザaからスイッチできるようにする 2つのAWSアカウントがあり、アカウントAのユーザaはすでに存在するものとします。ユーザaからアカウントBのロールbにスイッチできるように設定していきます。また、IAMユーザのMFAは必須とします。 IAMポリシー作成+IAMユーザにアタッチ まずアカウントAで作業します。 下記のようなIAMポリシーを作成します。 { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Ac
IAM Roles AnywhereをAWS Private CAと連携させ、AWS外から一時クレデンシャルを取得してみた | DevelopersIO
IAM Roles AnywhereをAWS Private CAと連携させ、AWS外から一時クレデンシャルを取得してみた AWS IAM Roles AnywhereはAWS外のワークロードに対して一時的なAWSクレデンシャルを払い出すサービスです。 公開鍵基盤(PKI)の上に成り立っており、AWS IAM Roles Anywhereのトラストアンカーに登録した認証局(CA)が発行したX.509 証明書を元に、IAMロールを引き受ける一時的なクレデンシャルが払い出されます。 認証局がプラガブルなため、弊社ブログでも過去に様々なパターンが試されています。 Hashicorp Vault ADCS(Active Directory 証明書サービス) OpenSSL 一番シームレスに連携できるAWS Private Certificate Authority(以下AWS Private CA
スイッチロール先の本番・開発アカウントにてIAMロール、ポリシー、パーミッションバウンダリーを作ってみた | DevelopersIO
スイッチロール先の本番・開発アカウントにてIAMロール、ポリシー、パーミッションバウンダリーを作ってみた AWS IAM の機能の中でも割とマイナーなPermissions Boundary(パーミッションバウンダリー)。今回はこれを活用してみました。 ちゃだいん(@chazuke4649)です。 今日はスイッチロールを前提とした本番・開発アカウント用のIAMロール・ポリシー・パーミッションバウンダリーを考えてみたのでご紹介します。 今回ブログの発展版もありますので、よければ以下続編ブログもご覧ください。 どういうこと? 構成図 解説 AWS環境の中に複数の環境を持つ場合、複数のアカウントに分けて運用することで一定のメリットを享受することができます。詳しくはこちらをご覧ください。今回は上図の様に、中央管理用のAWSアカウントにIAMユーザーを一元管理し、実際に構築・開発・運用する環境はAW
AWSのアカウント作成とIAMの基本を体験できる無料ハンズオン(日本語)を受講しました | DevelopersIO
AWS認定トレーニング講師の平野@おんせん県おおいたです。 みんな、温泉入ってますかー? (挨拶 こんな方にオススメ これからAWSを勉強してみようと思っている方にオススメです。 このハンズオンでは、最初の一歩として、AWSのアカウント作成を行います。 自分のアカウントを持つことで、他のオンラインビデオや勉強会に参加して、様々なハンズオンにチャレンジできます。 ハンズオンの概要 準備するもの メールアドレス 電話番号(携帯電話推奨) クレジットカード or デビッドカード (利用した分のみ課金&新規登録向け無料利用枠もあります) 利用するサービス AWS Identity and Access Management (IAM) : 認証認可(ユーザー管理、アクセス管理)を行うサービスです 概要 まず、AWSアカウントを登録します。 次に、IAMユーザーを作成します(通常はAWSアカウントを
こんにちは。イムチェジョンです。 今回のブログではIAMロールをEC2インスタンスに設定をし、インスタンスの中でawsコマンドを実行してみたいと思います。 アジェンダ インスタンスでawsコマンドテスト IAMロールの作成 IAMロールをEC2インスタンスに設定 もう一回インスタンスでawsコマンドテスト まとめ 1. インスタンスでawsコマンドテスト EC2 Linux インスタンスにCLIが設置されているのを確認します。 $ aws --version aws-cli/1.18.147 Python/2.7.18 Linux/4.14.238-182.422.amzn2.x86_64 botocore/1.18.6 その後コマンドを実行してみるとエラーが出てきます。 エラーの内容は資格証明がされてないので、aws configureコマンドを使って資格証明をしてほしいということです。
re:Invent 2019 IAM Access Analyzerについて調べてみた #reinvent | DevelopersIO
こんにちは。 ご機嫌いかがでしょうか。 "No human labor is no human error" が大好きな吉井 亮です。 re:Invent 2019 に参加しています。 AWS Identity and Access Management Access Analyzer(以下、IAM Access Analyzer)がリリースされましたので調べてみました。 速報はこちらです。 [速報] AWS Identity and Access Management Access Analyzerがリリースされました! #reinvent IAM Access Analyzer とは そもそも IAM Access Analyzer とは何でしょうか。 外部プリンシパルと共有しているアカウント内のリソースを検出する機能です。 IAM Access Analyzer を有効したアカウント
MFA 強制ポリシーを適用した IAM ユーザーで初回ログイン時のパスワード変更(リセット)ができない時の対処法 | DevelopersIO
コンバンハ、千葉(幸)です。 今回想定しているのは以下のようなケースです。 IAM グループに MFA 強制ポリシーをアタッチしている 新規の IAM ユーザーを IAM グループに所属させる形で作成する IAM ユーザーには初回サインイン時のパスワードリセットを求める設定とする 当該ユーザーがパスワードリセットを試みた際にエラーが発生する 回避策をご紹介します。 先にまとめ 初回ログイン時のパスワード変更はiam:ChangePasswordというアクションを呼び出している 公式ドキュメントのポリシーを参考にする際は必要に応じてカスタマイズが必要 最低限iam:ChangePasswordを禁止対象から除外することで対応する iam:ChangePasswordを明示的に Allow する必要があるかどうかはアカウントのポリシーに依存する MFA 強制ポリシーとは 公式にそういった名称の
S3の特定のバケットおよびキーのファイルの更新のみ可能なIAMユーザー(コンソールアクセスのみ)を作成してみた | DevelopersIO
こんにちは、CX事業本部の若槻です。 今回は、S3の特定のバケットおよびキー(プレフィックスおよびファイル名)のファイルの更新のみ可能なIAMユーザー(コンソールアクセスのみ)を作成してみました。 概要 本記事では次の手順を紹介します。 管理者による操作 IAMユーザーの作成 ユーザーによる操作 AWSコンソールからサインインしてS3にアクセスし、特定のバケット、プレフィックス(フォルダ)にある特定のファイルの更新を行う 管理者による操作 IAMユーザーの作成 my-bucketというS3バケット内のfolder1というフォルダ配下のdata.csvという名前のファイルの更新のみ可能なIAMユーザーを作成します。 まず、IAMユーザーにアタッチするポリシーをを定義したファイルを作成します。 % touch policy.json { "Version": "2012-10-17", "St
背景 IAMはアクセス制御をする上で非常に重要な仕組みですが、一方で複雑になりがちです。 間違った理解のままだと必要以上の権限を与えてしまい、事故の原因となるので押さえておくべき点をいくつかまとめてみます。 リソース階層 GCPのIAMにはリソース階層があり、それぞれの階層を意識した上でIAMポリシーを設定する必要があります。 ref: リソース階層を使用したアクセス制御 | IAM のドキュメント | Google Cloud リソース階層は4つのレベルがあります。 組織レベル フォルダレベル プロジェクトレベル リソースレベル(一部のサービスのみ) IAMポリシーは階層構造になっていて、最終的にリソースで有効なポリシーは、そのリソースに設定されたポリシーとその上位レベルから継承されたポリシーの和となります。 このような考え方はReBAC(Relationship-Based A
既存 AWS IAM Identity Center ユーザーを Terraformにインポートする【import ブロックで超簡単】 | DevelopersIO
既存 AWS IAM Identity Center ユーザーを Terraformにインポートする【import ブロックで超簡単】 どうも、ちゃだいん(@chazuke4649)です。 Terraform v1.5にて新たに import ブロックと既存リソースのHCL生成が追加され、config-driven import (手動ではなく設定ファイルが起点となるインポート) が可能となりました。 背景 今まで既存のAWSリソースをTerraformにインポートする方法といえば、 terraform import コマンドによる地道な作業 Terraformer ツール頼み でどちらも厳しい状況でした。 そんな中、v1.5では救世主とも呼べる新たな選択肢が誕生しました。 今回は試しに、マネコン あるいは CLI で作成していた既存の AWS IAM Identity Center ユー
IAM Identity Centerを使って複数アカウント管理する。(その1:IAM Identity Centerでのログイン) - Qiita
IAM Identity Centerを使って複数アカウント管理する。(その1:IAM Identity Centerでのログイン)AWSSSOaws-ssoIAM_Identity_Center はじめに 仕事で初めてIAM Identity Centerを使う機会があり、使ってみたらマルチアカウントの管理が想像以上にやりやすかったので、紹介しようと思います。 【次】IAM Identity Centerを使って複数アカウント管理する。(その2:CLIでのアクセスと管理の委任) IAM Identity Centerとは AWS Single Sign-onの後継サービスとなり、AWS Organizationsで複数アカウントを運用している環境で各ユーザを集約管理し、各アカウントへのログインを簡単に行えるようにするためのサービスです。 前提として、AWS Organizationsを使
AWS を使うことが多かった自分が GCP をさわったところ、Cloud IAM に登場する用語が AWS の IAM と違うことで非常に混乱しました。 そこで、過去に AWS の IAM1 や Kubernetes の RBAC2 についてまとめたのと同じように、GCP の Cloud IAM に登場する基本概念をまとめました。 ※ 基本を理解するための記事なので、厳密ではない表現をしている箇所があります ※ Cloud IAM 初心者のため、間違いがあるかもしれません。見つけた方はご指摘ください Cloud IAM に登場する基本概念の全体像 整理した概念の全体像は以下の通りです。 AWS と比べながら順に説明していきます。 各概念の説明 メンバー GCP では IAM によって権限を付与できる対象を「メンバー」と言います。 「メンバー」には、 Google アカウント サービスアカウ
AWS IAMがやっぱりややこしい。
最初に 今回、AWSの各サービス群を振り返った際に自身アウトプット先とその対象をどんな層に対して向けるべきなのかを意識してみようと思ったが、Zennというサービスを使ってみようという個人的な意図と、そのサービスの理解を自分の言葉で文書化して残すことにした。 学んだ自身なりの所感や解釈によるものと言うことで、至らぬ点はどうかご容赦いただいた上でこちらを読んでいけると幸いです。 IAM(Identity and Access Management)とは AWSのサービスの一つであり、「アイアム」と呼ぶ。(一部別称もあるようです) これは「認証」と「認可」の設定を行うことができるサービスで、「認証」「認可」を正しく設定することで、AWSの利用者や、AWSのサービスがアクセスできる範囲を制御することができる。 ここでいう「利用者」や「サービス」とは後述の「プリンシパル」を指すと解釈している。 IA
Enhance programmatic access for IAM users using a YubiKey for multi-factor authentication | Amazon Web Services
AWS Security Blog Enhance programmatic access for IAM users using a YubiKey for multi-factor authentication Organizations are increasingly providing access to corporate resources from employee laptops and are required to apply the correct permissions to these computing devices to make sure that secrets and sensitive data are adequately protected. The combination of Amazon Web Services (AWS) long-t
はじめに CX事業本部IoT事業部の佐藤智樹です。 AWSのルートユーザを使うなと良く言われますが、IAMユーザを作って作業すると請求情報が見れませんでした。料金アラートは設定していても気になった時請求情報が頻繁に見れなくて困っている人がもしかしたらいるのではと思ったので記事にしました。参考になれば幸いです。 前提として、以下のドキュメントにあるような請求情報へのアクセス権限が既にIAMユーザへ付与されていることを条件とします。 公式ドキュメントの記載 以下のドキュメントを辿っていくことで確認できました。現時点でどう操作すれば設定できるのか分かりやすくするため次章で画面キャプチャを交えて紹介します。 実際のやり方 まずルートユーザでログインします。ログイン後画面右上のユーザ名の部分をクリックして「マイアカウント」のリンクへ飛びます。 遷移した画面の下の方に「IAM ユーザー/ロールによる請
![[小ネタ]AWSアカウントの請求情報をIAMユーザに見せる方法 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/3cd8e20259a86e231ed6daa151fd1bc59fa63c4a/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F11%2Faws-eyecatch.png)
OktaとAWSの連携方法ってAWS IAM Identity Center方式とAWS Account Federation方式どっちがいいのか?
こんにちは!たつみんです! AWSマネジメントコンソールへのSSOをOktaで実施しようとBrowse App CatalogからAWSと検索するとSAMLに対応したAWS IAM Identity CenterとAWS Account Federationの2つが確認できます。 この記事ではそれぞれの設定方法に触れながら最終的にどちらがおすすめか考えてみました。 3行まとめ AWS Account Federation方式は煩雑な印象だよ 公式CLIツール AWS CLI v2が使えるのはAWS IAM Identity Center方式だよ 特別な理由がない限りAWS IAM Identity Center方式がおすすめだよ AWS IAM Identity Center方式 特徴 OktaではSSOとユーザーとグループのProvisioningを行う AWS側でProvisionin
AWS IAM Userアクセスキーのローテーションを自動化しました - Money Forward Developers Blog
こんにちは。サービス基盤本部でPlatform SREとして全社共通のインフラ基盤を開発している @grezarjp というものです。私の所属しているチームが何をしているかについてはこちらの記事が詳しいです。 今回は、CI/CDのプラットフォームやTerraformなどで利用しているAWS IAM Userアクセスキーのキーローテーションを自動化して定期的なキーローテーションによるより安全なアクセスキーの運用を達成したのでご紹介したいと思います。 なお、この記事内でアクセスキーという用語を用いた場合は特に言及がない限りAWS IAM Userのアクセスキーを指すものとします。 大前提、アクセスキーは可能な限り持つべきでない 改めて言及する必要もないと思いますが、大前提として永続的なシークレットであるアクセスキーは漏洩のリスクやexpireのオペレーションなどを考えると可能な限り利用を避ける
IAMアクセスキーを90日以内にローテーションされている状態を維持するまでの道のり - Adwaysエンジニアブログ
こんにちは。かわばたです。冬の寒さも本番を迎え、12月下旬という時期的に身も心も冷え冷えとしておりますが皆様いかがお過ごしでしょうか。私が所属しているチームでは、AWSセキュリティガードレールの実装と運用を担当しています。今回はセキュリティガードレールの IAMアクセスキーが90日以内にローテーションされている状態 を維持するため、予防的ガードレールを設置したときの取り組みについての内容となります。 ※本記事のIAMアクセスキーとはユーザー個人が所有するIAMアクセスキーとなります(システム側で使用される IAMアクセスキーではありません) AWSセキュリティガードレールについて セキュリティガードレールの構成 AWS基礎セキュリティベストプラクティスのIAM.3について セキュリティガードレールの種類 予防的ガードレール 発見的ガードレール セキュリティガードレール敷設の道のり 運用開始
はじめに Firebase とは、Google 社が提供している、アプリを素早く構築できる mBaaS のサービスです。 非常に簡単に始めることができるためハッカソンで利用されることが多いですが、エンタープライズにおいても、スピード感を持ってサービスを立ち上げるには良い手段になり得るでしょう。 その場合、チーム開発におけるプロジェクト運用やセキュリティなどを考える必要がありますが、この記事ではチーム開発で利用する際の IAM 設計の考え方をまとめたいと思います。 Firebase で定義されているロール まず、Firebase で定義されているロールを確認してみましょう。公式のドキュメントは以下となります。 タイプ ロール 説明 基本 オーナー 編集者権限に加えて、請求やプロジェクトの削除などの権限を持ちます。ユーザと権限の管理はオーナーが行います。 基本 編集者 閲覧者権限に加えて、既存
IAM サービスに対する権限を設定するポリシー作成において、「アクセス権限の管理」に関するアクションの検討で混乱することがあったため、自分用メモも兼ねてアクションの早見表を作成しました。 IAM アクセス権限の管理アクションの早見表 2022 年 2 月 6 日時点のアクションです。 IAM グループに対するアクション アクション名 概要 ガイド
Amazon SageMaker ドメインのアクセス認証がAWS IAM Identity Centerの場合、ユーザー同士でファイル共有する方法2選 | DevelopersIO
Amazon SageMaker ドメインのアクセス認証がAWS IAM Identity Centerの場合、ユーザー同士でファイル共有する方法2選 はじめに Amazon SageMaker ドメイン(以降、ドメイン)へのアクセスの認証方法は、以下の2つがあります IAMユーザー等で、AWSマネジメントコンソールを使用してドメインにアクセスする AWS IAM Identity Center経由で、ブックマークされた URL を使用してドメインにアクセスする 前者の場合、ドメイン内のユーザー(ユーザプロファイル)同士でファイル共有する場合、共有スペース機能で簡単にファイル共有が可能です。 共有スペース機能とは、SageMaker Studioのユーザー同士が共同で作業を行うことのできるSageMaker Studio環境です。 下記記事が参考になります SageMaker Studio
Announcing AWS IAM Identity Center APIs for visibility into workforce access to AWS
Announcing List Assignment APIs for AWS IAM Identity Center, enabling you to view who has access to what AWS accounts and applications. With these APIs, you can list all AWS accounts and applications that a specific user or group can access. You can use the API response in workflows to generate periodic reports and audit your employee access to AWS, saving time and effort you previously spent on m
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
[初心者向け] IAMカスタムポリシーを最初から作る方法の一つ | DevelopersIO
管理者権限を与えつつIAMユーザーまわりの操作だけ禁止するIAMポリシー | DevelopersIO
Cloud9からIAM Roleの権限でAWS CLIを実行する | DevelopersIO
ECS(EC2)で利用するIAMロールを整理する | DevelopersIO
詳解: IAM Roles for Service Accounts | Amazon Web Services
スイッチ用のIAMロール作成手順 | DevelopersIO
IAMロールをEC2インスタンスに設定をしてみた | DevelopersIO
GCPのIAMを使う上で理解しておくこと - Carpe Diem
GCP の Cloud IAM に登場する基本概念まとめ + AWS IAM との対応 - Qiita
[小ネタ]AWSアカウントの請求情報をIAMユーザに見せる方法 | DevelopersIO
Firebaseをチーム開発で利用する際のIAM設計の考え方 | ymcloud blog
IAMサービスにおけるアクセス権限の管理アクション早見表 | DevelopersIO