[速報] AWS Identity and Access Management Access Analyzerがリリースされました! #reinvent | DevelopersIO
こんにちは。サービスグループの武田です。 現在re:Invent 2019に参加していますが、キーノートを前にして新機能のリリースが止まりません!今回新しく、AWS Identity and Access Management Access Analyzer(以下、IAM Access Analyzer)がリリースされましたのでお届けします。 Introducing AWS Identity and Access Management (IAM) Access Analyzer IAM Access Analyzerとは IAM Access Analyzerはサポートしているリソースが、意図したどおりのアクセスのみを提供しているかを継続的にチェックできるサービスです。リリース時点でサポートしているリソースは次のとおりです。 Amazon S3バケット AWS KMSキー Amazon S
![[速報] AWS Identity and Access Management Access Analyzerがリリースされました! #reinvent | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/098a01a332248d791825217579652e1b7f202bcb/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F12%2Freinvent2019_update_eyecatch.jpg)
IAM Roles Anywhere で AWS IAM ロールを AWS 外部のワークロードに拡張する | Amazon Web Services
Amazon Web Services ブログ IAM Roles Anywhere で AWS IAM ロールを AWS 外部のワークロードに拡張する この記事は Extend AWS IAM roles to workloads outside of AWS with IAM Roles Anywhere を訳したものです。 IAM Roles Anywhere のリリースの通り、AWS Identity and Access Management (IAM) を用いて AWS 外部で稼働しているワークロードに IAM ロールを簡単に使用できるようになりました。この機能は、IAM ロールの機能を AWS 外部のワークロードに拡張します。IAM Roles Anywhere を利用することで、オンプレミスのサーバー、コンテナ、またはアプリケーションが一時的な AWS クレデンシャルを取得
IAM Permissions boundary(アクセス権限の境界)で明示的に許可していないアクションでも条件次第で実行できるということを評価論理の流れを眺めて再認識してみた | DevelopersIO
コンバンハ、千葉(幸)です。 突然ですが問題です。 以下の条件があったとします。 同一の AWS アカウントに S3 バケット A と IAM ユーザー A が存在する IAM ユーザー A の Permissions boundary には AWS 管理ポリシーViewOnlyAccessが設定されている ここで、IAM ユーザー A が S3 バケット A に対してPutObjectを実行したいとします。(補足しておくと、ViewOnlyAccessにはPutObjectの Allow は含まれていません。) 以下のうち、アクションの結果について最も適切に説明しているものを選択してください。 IAM ユーザー A の Permissions policy で適切な Allow が設定されていればアクションは成功する S3 バケット A のバケットポリシーで適切な Allow が設定され
AWS Organizationsから新規AWSアカウントを作成してスイッチロールしてみた | DevelopersIO
こんにちは、臼田です。 みなさん、アカウント管理してますか?(挨拶 今回はAWS Organizationsを利用して新規のAWSアカウントを作成してみました。ついでにスイッチロールでアクセスしてみます。 AWS Organizationsとは AWS Organizationsは複数のAWSアカウントをまとめて管理する事ができる便利な機能です。 主に請求をまとめたり、アカウントを跨いでSCP(サービスコントロールポリシー)で権限管理を行うなどガバナンスを効かせたりすることができます。 Organizationsでは組織という単位を作成してその中にアカウントを持ちます。 組織にアカウントを追加する方法は、既存のアカウントを招待する方法と、新規アカウントをOrganizationsから作成する方法があります。 今回はOrganizationsから作成してみます。 AWS Organizati
IAM ポリシーで新規 IAM ユーザーがマネジメントコンソールへアクセスするのを防ぐための対処方法 | DevelopersIO
困っていた内容 IAM ポリシーで IAM ユーザー作成時のプログラムによるアクセス用の IAM ユーザの作成は許可するが、AWS マネジメントコンソールへのアクセス用の IAM ユーザの作成を拒否するという設定は可能でしょうか。可能な場合は方法を教えてください。 IAM コンソールでは以下の設定箇所に該当します。 どう対応すればいいの? プログラムによるアクセスを許可し、AWS マネジメントコンソールへのアクセスを拒否する IAM ポリシーは設定可能です。 IAM コンソールのチェック項目は以下の API に該当します。 プログラムによるアクセス: CreateAccessKey AWS マネジメントコンソールへのアクセス: CreateLoginProfile 新規作成する IAM ユーザーの AWS マネジメントコンソールへのアクセスを判定するアクションはiam:CreateLogi
IAMユーザーやAWSアカウントのルートユーザー に複数の MFA デバイスを割り当てる事ができるようになりました | DevelopersIO
お疲れさまです。とーちです。 IAM に複数の MFA デバイスを割り当てる事ができるようになったというアナウンスを見たので試してみました。 かんたんまとめ AWS アカウントのルートユーザーや IAM ユーザーに最大8つの MFA を割り当てられる ログインするときには割り当てられた中のどれか一つの MFA を使ってログイン さっそく試してみた 適当な IAM ユーザーを用意してどんな動きになるのかを確認してみました。 まずは MFA の設定をします。MFA の設定方法は従来と変わらず、AWS マネージメントコンソールの IAM 画面から登録をしていきます。 2022/11/17 追記: MFA の設定方法について従来と変わらずと記載しておりましたが、正確には従来と異なり MFA の名前をつける必要があります。 またこの名前については、AWS アカウント内で一意※1である必要 があり、例
この記事は Google Cloud Japan Customer Engineer Advent Calendar 2020 の 2日目の記事です。 TL;DR本記事ではGoogle Cloud でのアクセス管理について整理していきます。 はじめにGoogle Cloud Japan Customer Engineer Advent Calendar 2019 で、Google Cloud の IAM をおさらいしよう という記事を書いたのですが、多くの方に読んでいただいたのですが、逆に多くの方が悩まれるトピックなのだなと感じました。2020年も多くのアップデートがありましたので、改めて Google Cloud の アクセス管理をおさらいしていきましょう。 クラウドを使う上で、ユーザー管理や権限管理は非常に重要です。Google Cloud を使う際に、どのようにユーザー管理できるのか
社外の開発メンバーをAWSアカウントに入れるときのIAM設定を考えている - kmiya_bbmのブログ
サービスを開発する際に、社外の業者さんに開発をお願いしたり、社外パートナーに開発に参加してもらう、ということがよくあります。 開発に使うAWS環境として、うちの会社で作成したAWSアカウントに入ってきてもらうこともあるのですが、このときにAWSアカウントの管理者として社外の開発メンバーにどのような権限を持たせるのが良いか、それをどう実現するのが良いか、いつも悩みます。 このエントリでは現時点での考えと実装方法をまとめておこうと思います。 課題 私が関わる案件で社外の開発メンバーに協力を仰ぐ場合、大抵はPoCから始まるような新規サービスの構築案件となるためAWSのどのサービスを使うか最初からすべて決まっていることは稀です。 最初は ALB + EC2 + RDS で作り始めたシステムにDynamoDBが導入され、AWS IoT coreが導入され、Kinesis Stream が導入され、、
GitHub ActionsにAWSクレデンシャルを直接設定したくないのでIAMロールを利用したい | DevelopersIO
こんにちは!コンサル部のinomaso(@inomasosan)です。 前回と前々回でGitHub ActionsからECSのCI/CDやIAMポリシーの最小権限作成を試してみました。 [初心者向け] GitHub ActionsからECS FargateにCI/CDしてみた GitHub ActionsからECSとECRへのCI/CDを最小権限で実行したい 今回はGitHub ActionsでAWSの一時的なクレデンシャル(アクセスキーID、シークレットアクセスキー)を利用したいので、IAMユーザーの代わりにOIDCプロバイダとIAMロールを設定していきます。 IAMユーザーのクレデンシャルだとダメなの? IAMユーザーで発行したクレデンシャルは永続的に利用可能です。 GitHubではAWSのクレデンシャルをSecretsにより秘匿化できますが、AWS外のサービスに永続的なクレデンシャル
○○ ができない! IAM ポリシーを確かめよう。実例から学ぶ原因と解決策 〜オペ部だより〜 | DevelopersIO
こんにちは、札幌在住 AWS 事業本部 オペレーション部(通称オペ部)の池田です。オペ部ではクラスメソッドメンバーズにご加入いただいているお客様が直面されたお困りごとや疑問など、様々なお問い合わせに対して各種ドキュメントや技術検証結果のご案内をしたり、場合によっては AWS と連携してお客様が直面している問題解決の支援を行なっています。 本記事では、タイトルにある通り実際にいただいた「○○ ができない」といったお問い合わせの中から IAM ポリシーに原因があったいくつかの事例とその解決策をご紹介したいと思います(今回も全ての事例と原因を網羅できているわけではありませんが、調査方法の参考にしていただけると嬉しいです)。 RDS インスタンスが作成できない 事象 AdministratorAccess、PowerUserAccess 以外の IAM ユーザーで RDS インスタンスを新規作成し
GCPのWorkload Identityを使ってAWSのRoleとGCPのサービスアカウントを連携させる 2022.12.09 技術 AWS, GCP 動機と解決法 サービスアカウントのシークレットキーjsonをEC2上に置くのやだなー(何かの拍子に流出とかしたらめんどいなー) アクセス元のバッチがAWSにあるんだから、asumerole的なことがAWSとGCPをまたいでできれば便利なんだけどなー という動機から、表題の通り Workload Identity を使って、AWS IAM Role と GCP Service Account を連携させました。 Workload Identity連携 とは? Workload Identity 連携は、キーなしの新しいアプリケーション認証メカニズムであり、オンプレミス、AWS、Azure で実行するワークロードは、外部 ID プロバイダ(I
IAM Access Analyzer makes it easier to implement least privilege permissions by generating IAM policies based on access activity | Amazon Web Services
AWS Security Blog IAM Access Analyzer makes it easier to implement least privilege permissions by generating IAM policies based on access activity In 2019, AWS Identity and Access Management (IAM) Access Analyzer was launched to help you remove unintended public and cross account access by analyzing your existing permissions. In March 2021, IAM Access Analyzer added policy validation to help you s
AWS Identity and Access Management introduces IAM Roles Anywhere for workloads outside of AWS
AWS Identity and Access Management (IAM) now enables workloads that run outside of AWS to access AWS resources using IAM Roles Anywhere. IAM Roles Anywhere allows your workloads such as servers, containers, and applications to use X.509 digital certificates to obtain temporary AWS credentials and use the same IAM roles and policies that you have configured for your AWS workloads to access AWS reso
本当はre:Inventかその周辺で発表されたアップデートについて書こうかなと思ったんですが、自分自身の時間の都合と、例によって某ブログに大量に情報があるので今回は見送りましたw zennに何か書こうと思って書くのも今回が初ですね。 さて、今回は個人的に以前から非常に気になってしまう使われ方が多いIAMの使い方について、あらためてネタにしようと思います。 どちらかというとAWSにそれほど詳しくない人向けのつもりです。 しれっと使ってますが、そもそもベストプラクティスって何? という方はとりあえずこちらを ベストプラクティス (best practice)とは あくまでもベストプラクティスなのでいきなり全部を満たすのは難しいかもしれませんが、こういうものがあるんだよ、というのを認知してもらえればと思います。 とりあえず真っ先に気を付けたほうがよいことや注意してほしいことは よく見るまずい(と
AWS IAM Identity Center を利用して Azure AD のユーザー情報で AWS アカウントへのアクセスを試してみる | DevelopersIO
AWS IAM Identity Center を利用して Azure AD のユーザー情報で AWS アカウントへのアクセスを試してみる Azure AD と AWS IAM Identity Center を連携させて、Azure AD の認証情報で AWS アカウントにアクセスする設定方法をまとめました。 Azure AD ユーザーの認証情報を使って AWS IAM Identity Center 経由で AWS アカウントにアクセスする方法を紹介します。以前にも同様のブログを書きましたが、AWS Single Sign-On 時代だったため、改めて書き直しました。手順に変わりがないか確認したい意図もありましたが、ほぼ同じ手順で設定できました。 構成と全体の流れ 構成図と設定内容を示します。 ユーザー/グループ情報の同期は SCIM による自動同期を採用しています。 設定の流れ SA
AWS CLIで動かして学ぶCognito IDプールを利用したAWSの一時クレデンシャルキー発行 | DevelopersIO
「Cognito IDプールってやつはAWSリソースへのアクセスを制御する認可部分を担当しているらしいけど、いったいどういう理屈でそうなってるんだ…?」 そんな自分の疑問からAWSのドキュメントを読み実際に手を動かして得られたCognito IDプールに対する理解をまとめました。 「Cognito IDプールってやつはAWSリソースへのアクセスを制御する認可部分を担当しているらしいけど、いったいどういう理屈でそうなってるんだ…?」 そんな自分の疑問からAWSのドキュメントを読み手を動かして得られたCognito IDプールに対する理解を、 AWS CLIで再現できる形にまとめてみました。 Cognito IDプールでAWSの一時クレデンシャルキーを発行することによって、Cognito IDプールの世界からIAMの世界へ落とし込めると、だいぶイメージが付きやすいんじゃないかと思います。 AW
はじめにこんにちは、Technology Innovation GroupのDXユニット所属の村田と申します! DXユニットとはデジタルトランスフォーメーションに関わる仕事を主に推進していくチームです。 私は現在Future IoTプロジェクトに携わっており、最近はもっぱらクラウドインフラに従事しています。 メインの仕事は複数のGoogle Cloud Platform(以下、GCP)プロジェクトとそれぞれの環境(Production/Staging/Developmentなど)の構築・運用です。 この中で個人的にとても面白いと思った知見を得たので「これはぜひブログにしよう!」といま筆を走らせています。 クラウドインフラの使命クラウドインフラと一言で言っても意味する範囲はとても広いですが、私がこのブログで紹介する内容はどちらかというと地味かもしれません。 私が今日紹介したいのは、GCPの「
Capital Oneデータ漏洩経路の考察
2019年8月に発生した Capital Oneのデータ漏洩事件に関する各種報道等の情報からそのデータ漏洩経路を考察する。FBIの起訴状、CapitalOneの公式発表のほか、インターネット上で報道されている各種情報から考察をしており、内容には推測も含まれる。 なお本考察は個人的な調査に基づくものであり、いかなる公式発表でもなく、技術的な観点から事象や対策について検討したものである。 漏洩したデータS3バケットに保存されていたデータが漏洩した。また非公式な情報では、Twitterで犯行を告知しているメッセージから読み取るに、EBS Volume Snapshotも漏洩した可能性がある。 取得したというデータのリスト (KrebsOnSecurityより)主な漏洩の流れ構成ミスがあったWAF (Reverse Proxyとも)を利用され、その後にS3バケット内にあったデータなどが漏洩した。
CloudFormationでパスワードを自動生成してテンプレート内で利用する | DevelopersIO
CloudFormationでパスワードを取り扱う場合、パスワードをどこに保存するか悩ましいです。 パラメータストアに保存しておいて参照するというのもよい方法ですが、 もっとサクッと作りたい!と、いうことで、CloudFormationでパスワードを自動生成する方法を紹介します。 CloudFormationでパスワードを取り扱う場合、パスワードをどこに保存するか悩ましいです。 たとえば、CloudFormationでIAM Userを作りたい場合、IAM Userのパスワードはどこに保存しましょう? CloudFormationテンプレート内にハードコーディングするのは、セキュリティの観点から好ましくありません。 パラメータストアのSecureStringに保存しておいて参照するというのは、よい方法だと思います。 [新機能]AWS CloudFormationでAWS Systems M
[アップデート] IAM アクセスアドバイザーによる「アクションレベルでの最終実行履歴の表示」に EC2、IAM、Lambda が対応しました! | DevelopersIO
コンバンハ、千葉(幸)です。 IAM アクセスアドバイザーで、新たに EC2、IAM、Lambda もアクションレベルで最終アクセス時刻を確認できるようになりました! Review last accessed information to identify unused EC2, IAM, and Lambda permissions and tighten access for your IAM roles 必要最小限の権限に絞っていく、そのアプローチがまた一つ楽になりました。 何が変わったのか IAM アクセスアドバイザーは、特定の IAM リソース(ユーザー/グループ/ロール/ポリシー)に対して以下を分析、取得してくれる機能です。 アクセス可能な AWS サービス 最終アクセス時刻 IAM リソースのアイデンティティベースポリシーを基に「どのサービスにアクセス可能か」を判断し、その上
additive: add members to role, old members are not deleted from this role. authoritative: set the role's members (including removing any not listed), unlisted roles are not affected.
RBAC DeepDive - SAML Authentication | IAM Role for Service Accounts
「GW直前!まだ間に合うコンテナバケーション with Amazon EKS」で話した内容です。 SAML 認証と IAM Role for Service Accounts について話しています。
You can now assign multiple MFA devices in IAM | Amazon Web Services
AWS Security Blog You can now assign multiple MFA devices in IAM At Amazon Web Services (AWS), security is our top priority, and configuring multi-factor authentication (MFA) on accounts is an important step in securing your organization. Now, you can add multiple MFA devices to AWS account root users and AWS Identity and Access Management (IAM) users in your AWS accounts. This helps you to raise
この記事は「本番環境でやらかしちゃった人 Advent Calendar 2020」24日目の記事です。 遠い昔、はるか彼方の銀河系での話です。 TL;DR IAMの権限はしっかりやりましょう。検証環境と本番環境でアカウントを分けるとより安心できます。 何をやらかしたのか やらかし前の状態 マッチングサービスの開発をしています。そのサービスにはサービス内でメッセージが届くとその旨をEメールで通知する機能があります。 システム的にはサービスを動かしているWebアプリケーションからSQSのメール用のキュー(以後Maill Queue)にメッセージを送信し、メール送信用のWorkerがMaill Queueからメッセージを取得、差出人やURLなどの情報を埋めてEメールを送信します。差出人やURLは本番環境、検証環境でそれぞれ別の値が入ります。 また検証環境と本番環境は同一のAWSアカウント内にあ
lambrollでシェルスクリプトをLambdaにデプロイして実行する投稿者: inamuu 投稿日: 2023年1月19日2023年1月19日 概要 仕事をしていると、歴史のあるシェルスクリプトがEC2で動いていたりすることがある。 そういったスクリプトをなにかしらのスクリプト言語で書き換えるのもやぶさかではないのだが、数が多いと諦めの気持ちが湧き出てくる。 そこで、シェルスクリプトのままでもLambdaにデプロイしてバッチ的に動かして、サクッと移行できたりしないかなという思いが出てきた。 そこで、Lambdaのデプロイツールにlambrollを検証してみることにした。 インストール 手元がMacOSなのでbrewでインストール。 $ brew install fujiwara/tap/lambroll $ lambroll versions 2023/01/18 23:14:53 [i
管理ポリシーの差分を出力する AWS CLI エイリアス aws diff を作ってみた | DevelopersIO
コンバンハ、千葉(幸)です。 管理ポリシー、特に AWS 管理ポリシーの変更差分を確認したい機会がたまにあります。 マネジメントコンソール上で差分表示するような機能があれば便利なのですが、現時点では実装されていません。 ないなら AWS CLI でやってみるか、ということでエイリアスを組んでみました。 管理ポリシーの差分を表示するエイリアス 以下のエイリアスを設定しました。 ~/.aws/cli/alias [toplevel] diff = !f() { VERSION=$(aws iam get-policy --policy-arn $1 --query 'Policy.DefaultVersionId' --output text | tr -d "v") BEFORE_VERSION=$((VERSION-1)) BEFORE_RESULT=$(aws iam get-polic
How to create IAM roles for deploying your AWS Serverless app | Serverless First
Getting IAM permissions right is one of the hardest parts about building serverless applications on AWS. Many official tutorials and blog posts cop out of giving you the full details on how to set up IAM, preferring something vague like “ensure you use least-privilege permissions when creating this role”. Or worse, they give you a wide open wildcard or admin-level example policy with a “don’t use
AWS CLIをAWS IAM Identity Center(SSO)で認証させるには? | DevelopersIO
AWS OrganizationsのAWS IAM Identity Center(旧AWS Single Sign-On;AWS SSO)を利用すると、Organizations配下のAWSアカウントにSSOできます。 本記事では、同機能をAWS CLIから利用する方法を紹介します。 AWS IAM Identity Centerの詳細は次のブログを参照ください。 なお、本記事ではAWS Identity Center directoryでユーザー管理しているものとします。 ポイント IAM Identity CenterにはAWS CLI v2が対応。v1は未対応 設定ファイルはAWS CLIだけでなくAWS SDK全般で流用可能 IAM Identity Centerはリージョナル・サービス IAM ユーザーのように永続的なアクセスキーは存在せず一時的な認証情報を利用 各アカウントへ
こんにちは。 サービスGの金谷です。 これまでIAMの設定を自分でやることがあまりなく、スイッチロールで何が起きているのか全然理解できていなかったのでまとめようと思います。 まず大前提 AWSアカウント≠ IAMユーザー です。 当然といえば当然なのですが別物です。 ざっくり説明するとAWSアカウントの中にIAMユーザーがいるといった形で、AWSアカウント=ルートユーザーのようなイメージです。 私個人の経験としてはプライベートでAWSを学び触り始めたばかりのときは IAMを何も設定せずに他のサービスを触ったりしていましたが、通常は使用するべきではないです。 ちゃんとIAMユーザーを作成してそちらで作業するようにしましょう。 スイッチロールとは 名前の通りIAMロールを切り替える機能です。 アカウントを跨いだロールの切り替えも可能です。(というかこちらをメインに使います) 上図ではスイッチ元
EC2インスタンスやLambda関数にはIAMロールをアタッチすることができます。 ゆるいIAMポリシーを採用していると、STS 可能な任意のIAMロールを利用できてしまいます。 この問題を解決するために、IAMロールとロールを利用するAWSサービスのペアを制限する方法を紹介します。 AWSサービスに渡すIAMロールを制限する 例えば、EC2 インスタンスに特定のIAMロールのみアタッチ出来るようにするには、次のように定義します。 { "Version": "2012-10-17", "Statement": [ { "Sid": "IAMPassRoleForEC2", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::12345:role/EC2Role", "Condition": {
はじめに Amplifyを利用してアプリケーションを作る場合、Cognito User Pool/Cognito Identity Pool(Cognito Federated Identities)を利用してAPI GatewayでAuthorizationする方法が暗黙裡にデフォルトになっているように見えます。 よく使われるであろうと思われる割には、その仕組みについての説明があまり見当たらなかったので解説記事を書こうとしましたが、前提となる事項があまりにも多いことが分かったので、個別の記事として分離しました。 本稿では、AccessKeyIdやSecretAccessKeyの使われ方、AWS APIにおけるSignature V4の仕組みなどについて解説します。 API GatewayのAuthorization方式として「AWS_IAM」という項目を選択できますが、本稿の内容を理解す
Workload Identity Federationを図で理解する - Carpe Diem
概要 GCPのWorkload Identity連携はサービスアカウントで秘密鍵を作らずともGCPリソースへのアクセス権を他の環境(オンプレ、別パブリッククラウド)に付与することができます。 これにより AWSからGCPリソースにアクセスする GitHub ActionsからGCRにDocker imageをpushする CircleCIでGKEのデプロイを行う といった連携が鍵なしで実現できます。 ただ実装だけだとイメージしづらいので今回は図示してみました。 Workload Identity Federation Workload Identity連携における登場人物は以下です。 左のWorkloadsがGCPリソースにアクセスしたいアプリケーションに当たります。 準備 Workload Identity Poolの作成とサービスアカウントの作成 まずはWorkload Identit
IAM ポリシー未設定の IAM ユーザーが生成した S3 署名付き URL (presigned URL) を使ってオブジェクトを Get できるのはなぜか | DevelopersIO
IAM ポリシー未設定の IAM ユーザーが生成した S3 署名付き URL (presigned URL) を使ってオブジェクトを Get できるのはなぜか コンバンハ、千葉(幸)です。 突然ですが以下のようなケースを考えてください。 IAM ポリシーがアタッチされていない IAM ユーザーが存在する 当該 IAM ユーザーが特定の S3 バケット内のオブジェクトに対する署名付き URL を生成する 生成された URL を用いて任意の利用者がオブジェクトを Get する 上記を実現したいと考えたときに必要となる設定が何か、皆さんは思いつくでしょうか。なお、 IAM ユーザーと S3 バケットは同一の AWS アカウントに存在するものとします。 「そもそも IAM ポリシーが無いのに署名付き URL を生成できるの?」という部分から引っかかる方もいるかと思いますが、実はできます。このエント
はじめに AWSを初めて学習して難しいと感じたIAMについて、自分なりの理解を書いてみました。 同じような初心者の方でも読みやすいように、なるべく平易な言葉で書くことを心掛けています。 対象者 これからAWSを学習したい初心者 IAMって何なのか、なんとなく理解したい方 そもそも何のためにそんな機能があるの?という疑問を持っている方 IAMとは IAMとは、「Identity and Access Management」の略で、その名のとおり、IDとアクセス権を管理する機能です。IAMを使用すれば、誰がどのサービスにアクセスできるのかを、許可または拒否することができます。全ての人が全てのサービスやデータに対してアクセス権を持つというのは安全ではありません。必要な人に、必要最低限の権限のみを付与することが推奨されています。 そもそもなぜ管理機能が必要なの? IT未経験の自分がAWSを勉強して
[AWS Organizations] SCP(サービスコントロールポリシー)の継承の仕組みを学ぼう | DevelopersIO
はじめに 大阪オフィスの川原です。 AWS Organizations の SCP(サービスコントロールポリシー)の継承 について、 仕組みを学びましょう。 前提知識 AWS Organizationsは マルチアカウントを統率するためのサービス です。 組織単位(OU) による アカウントのグループ化や、 サービスコントロールポリシー(SCP) によるグループ単位のサービス制限が可能です。 – 画像: AWS Organizations の用語と概念 | AWSドキュメント OUとは 組織単位(Organizational Unit: OU) は AWSアカウントのグループ化 を実現する要素です。 OU 配下に他OUをぶらさげる、ツリー構造を構築できます。 SCPとは サービスコントロールポリシー(SCP)は OUまたはアカウントに指定するポリシー です。 OU/アカウントで実行できるサ
Local cluster for EKS on AWS Outpostsについて紹介 - NTT Communications Engineers' Blog
はじめに こんにちは、イノベーションセンターの鈴ヶ嶺です。 本記事では、自社データセンター等でAWSサービスを利用可能なAWS OutpostsにおけるElastic Kubernetes Service(EKS)で新たに追加されたLocal clusterの概要や通信切断検証の結果について紹介します。 以前記事にした2022年3月17日時点では、ワーカーノードはAWS Outposts上で実行し、KubernetesコントロールプレーンはAWS Cloud上で実行する構成でした。この構成がLocal clusterによってKubernetesコントロールプレーンもAWS Outposts上で実行可能になりました。これによりAWS CloudとAWS Outposts間の通信切断などによるアプリケーションのダウンタイムのリスクを軽減することが可能となりました。 engineers.ntt.
はじめに IAMユーザを利用者へ引き渡す際に「絶対に多要素認証(MFA)の設定を入れてくださいね!!」と伝えても、 そのユーザが本当にMFAを有効化してくれたのか、その確認や催促に手間がかかるときがあります。 そんな手間を省くため、引き渡すIAMユーザには予め MFAを利用していないと権限に制限がかかる仕組みを仕込んでおくことができます。 概要 IAMユーザに以下の権限を付与すれば完了です。 (1) MFAを設定・有効化するための権限 (2) MFAを利用していない場合、(1)以外すべてのアクションを拒否する権限 (3) 本来許可したい権限 (2)の設定では、IAMポリシーのContdition要素を使ってMFA利用有無による条件分岐を設定します。 (3)で許可された権限であっても、 MFAを利用していない場合は(2)による明示的な拒否設定が上回り、利用することができなくなる仕組みです。
AWS Single Sign-onがAWS IAM Identity Centerになりました! | DevelopersIO
AWS Single Sign-on (AWS SSO) が AWS IAM Identity Center になりました。マネジメントコンソールで新しい設定画面を見る限り、AWS IAM Identity Center は AWS Single Sign-On の後継サービスの位置づけとなります。ざっくりと変更点を調べてみました。 AWS のブログでも紹介されています。 何が変わったのか 始めにまとめです。 現時点では、技術的な機能は変更されていない sso identitystoreなどの API、名前空間は下位互換性維持のため、変更されていない マネジメントコンソールを確認してみる 新しい設定画面を画面を見てみます。 メニューの構成は、AWS SSO のときからあまり変わっていないようです。関連コンソールとして、AWS IAM サービスへのリンクが追加されているくらいでしょうか。 冒
[UPDATE]フェデレーションでタグを渡せるSTSの新機能Session Tagがリリースされました #reinvent | DevelopersIO
こんにちは、臼田です。 みなさん、ID管理していますか? 今回はIDフェデレーションでIAMを利用している際に、IdPから属性(Attribute)をAWSのタグとして受け取ることができるSession Tagの機能がリリースされたので紹介します。 New for Identity Federation – Use Employee Attributes for Access Control in AWS | AWS News Blog RBACとABAC 良さを知るにはまず背景から。 アクセス制御の方式としてRBAC(Role-based Access Control)がよく使われます。RBACでは、権限を個人ではなくRole(役割)に割り当てて管理する方法で、個人ごとポリシーをメンテナンスしなくて良くなるのでユーザが増えても管理が楽になる仕組みでした。 しかしこれも進んでくると、今度は
IAM ロールの信頼ポリシーで設定する外部 ID(sts:ExternalId) について | DevelopersIO
IAM ロールの信頼ポリシーに設定する外部 ID(sts:ExternalI) について勉強しました。 こんにちは、岩城です。 3rd Party 製の SaaS と AWS アカウントを連携する際、専用の IAM ロールの作成と作成したロールに以下のような信頼ポリシーを定義して、特定の AWS アカウントから AssumeRole を許可することがあります。 { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::xxxxxxxxxxxx:iamuser" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "xxx
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Google Cloud のアクセス管理をおさらいしよう 2020アップデート版
GCPのWorkload Identityを使ってAWSのRoleとGCPのサービスアカウントを連携させる
AWSを使うにあたりIAMのベストプラクティスをもう一度確認する
GCPのIAMポリシー周りでドハマりした話 | フューチャー技術ブログ
Terraform で GCP IAM 設定どれ使うのがいいのか - pokutuna
検証環境のURLが入ったメールを本番環境のユーザーに送ってしまった話 - Qiita
lambrollでシェルスクリプトをLambdaにデプロイして実行する
IAM初心者がAWS CLIでスイッチロールするまで | DevelopersIO
AWSサービスに渡すIAMロールを制限する | DevelopersIO
【AWS】AWS APIの認証・認可の仕組みを理解する【Signature V4】 - Qiita
IT未経験の初心者がIAMを理解しようとしてみた | DevelopersIO
多要素認証(MFA)するまで使えません!なIAMユーザを作成してみた | DevelopersIO