IAMとは? IAMとは、「AWS Identity and Access Management」というサービスの略で、IDやアクセス権限の管理が行えます。オンプレミスは物理機器を直接管理・運用するため、例えばデータセンターへの入出管理など物理的な制限を設けることができます。しかし、クラウドはインターネットを介して操作するため、オンプレミスとは異なる管理が必要です。 IAMではAWSを操作するユーザーの作成、権限の設定を行うことで、誰が、どのよう操作を行ったかを把握することができます。 IAMユーザーとは ルートユーザーに対して、IAMで作成したユーザーのことを指します。 IAMユーザーはユーザー名とパスワードを設定し、IAMユーザーでAWSアカウントにログインすることでAWSの操作が行えます。 AWS内でできる操作は、付与したIAMポリシーによって規定され、自由にカスタマイズすることがで
How to enable secure seamless single sign-on to Amazon EC2 Windows instances with AWS IAM Identity Center | Amazon Web Services
AWS Security Blog How to enable secure seamless single sign-on to Amazon EC2 Windows instances with AWS IAM Identity Center September 23, 2022: This blog post has been updated with correction on sample custom permissions policy download URL. September 12, 2022: This blog post has been updated to reflect the new name of AWS Single Sign-On (SSO) – AWS IAM Identity Center. Read more about the name ch
AWS Workshopの「How and when to use different IAM policy types」をやってみました はじめに データアナリティクス事業本部のおざわです。 7月25日は、自宅で井上尚弥選手の試合を観戦して盛り上がっていました。勝利者インタビューで「まだ改善の余地がある」と答えていたのが印象的でした。次の試合も楽しみですね。 今回は、AWSのWorkshop Studioの中から「How and when to use different IAM policy types」というワークショップをやってみました。普段、IAMポリシーを自分で設定する機会があまりなかったので、自分で手を動かしながらいろいろと試したくなったというのが理由です。 いまのところ英語版しかないようです。環境構築はワークショップ用のCloudFormationテンプレートが用意されてい
全メンバーアカウントにおける全リージョンのAWS IAM Access Analyzerを一括削除してみた | DevelopersIO
はじめに クラスメソッドメンバーズのAWSアカウントをご利用の場合、セキュリティ強化とメンバーズサービス提供のため、複数のAWSサービスが自動的に有効化され、関連リソースが作成されます。 その一環として、cm-access-analyzerという名前のAWS IAM Access Analyzerが自動的に全リージョンで作成されます。このAnalyzerの信頼ゾーンは、アカウント単位で設定されています。 以下の記事で解説されているように、マルチアカウント構成においては、通常、管理アカウントのみにAnalyzerを作成し、メンバーアカウントにはAnalyzerを作成しないケースが多いです。 このため、各メンバーアカウントの全リージョンに存在するcm-access-analyzerを一括で削除する必要があります。本記事では、その効率的な方法をご紹介します。 実施手順の概要は以下の通りです。 管
メンバーやサービスアカウントの権限を考える際に、ロールの持つ権限を比較したいことがしばしばある。そういう時は gcloud と diff を使うことで比較できるという素朴なテク。 ロールと権限 ロール(role)は roles/{roleName}, roles/{service}.{roleName} などで表され、許可されている操作を表す権限(permission)の集合である。 例えば BigQuery データ閲覧者 (roles/bigquery.dataViewer) は、以下の permission を持つ。 bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.models.export bigquery.models.getData bigquery.models.getMetadata bigquery
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?
こんにちは、大前です。 Amazon Linux2 上で s3fs の設定を実施する機会があったのですが、ググっても Amazon Linux 上での設定しかなかったり、IAM ロールを使った設定例が出てこなかったりで苦労したので、備忘録としてブログに手順を残したいと思います。 やってみた 1. S3 バケットの作成 何はともあれ、S3 のバケットが必要ですので、作成します。 特にアクセス権限など弄る必要はないのですが、できたてホヤホヤのバケットを使用すると下記が発生してしまい、s3fs でのマウント設定に失敗する可能性がありますのでご注意ください。 Amazon S3 から HTTP 307 Temporary Redirect レスポンスが返るのはなぜですか? 2. IAM ロールの作成 今回は掲題にある通り IAM ロールを使いますので、EC2 にアタッチするロールを作成します。 検
IAM Access Analyzer Update – Policy Validation | Amazon Web Services
AWS News Blog IAM Access Analyzer Update – Policy Validation AWS Identity and Access Management (IAM) is an important and fundamental part of AWS. You can create IAM policies and service control policies (SCPs) that define the desired level of access to specific AWS services and resources, and then attach the policies to IAM principals (users and roles), groups of users, or to AWS resources. With
背景 権限を付与する google_project_iam_member のリソースの role が配列を持てないので、複数の role を一度に設定することができません。 したがって、複数の role をあるアカウントに付与するためにはツラツラ書く必要があって、少し辛いところがあります。 参考 https://www.terraform.io/docs/providers/google/r/google_project_iam.html#google_project_iam_member-1 # create account resource "google_service_account" "sample_app_user" { account_id = "app-mgr" display_name = "app-mgr" } # add role1 resource "google_
概要 AWSのIAMで、スイッチロールを利用して顧客のAWSアカウントを利用しました。その際の設定手順について備忘も兼ねて記載します。 前提 自分の会社を「会社A」、顧客の会社を「会社B」として記載してます。 踏み台アカウント(ジャンプアカウント)を利用して、スイッチロールします。一つの入り口からのみ複数環境(ステージング・本番・検証など)にスイッチできる、セキュアな方式です。 踏み台アカウントについて、顧客BからID/Passは連携済とします(MFA認証のキーも)。より強いセキュリティ権限を付与したい場合は別途検討されてください。 AWSリソース図 実行手順 ①ロールを作成する(会社B) ②スイッチロールを設定する(会社B) ③スイッチロールで切り替えを行う(会社A) ①ロールを作成する(会社B) IAM画面→ロールの作成→クロスアカウントアクセスを選択 スイッチロールを許可したいアカウ
虎の穴ラボのH.Hです。AWSのLambdaを使用した際に調べた内容をまとめました。 AWSのユーザーには細かなIAMポリシーが設定できるが、細かすぎるために新しくサービスを使用する際に必要なIAMポリシーの確認に時間がかかってしまう。だが時間の短縮のために関連するサービスの全てのIAMポリシーをつけると様々な操作ができてしまい、後々問題が発生する可能性が出てきます。 今回Lambdaをデプロイする作業があり調べましたが、必要なIAMポリシーについてまとめられているページが見つかりませんでした。ということでデプロイする際に使用するユーザーを新設し必要なIAMポリシーを確認したのでまとめました。 コマンドラインからAWSにLambda関数をデプロイするためのツール コマンドラインからデプロイするには「AWS SAM CLI」が必要になります。詳細は以下のAWS公式ページを参照してください。
Use IAM roles to connect GitHub Actions to actions in AWS | Amazon Web Services
AWS Security Blog Use IAM roles to connect GitHub Actions to actions in AWS May 22, 2023: We updated the post to reflect case sensitivity in the IDP entered: https://token.actions.githubusercontent.com. The IDP created in this post should be entered in lowercase through the post. Have you ever wanted to initiate change in an Amazon Web Services (AWS) account after you update a GitHub repository, o
「どのAWSサービスの」、「どのリソースに対して」、「どんな操作を」、「許可するか(許可しないか)」を権限とし、利用者(IAMユーザーなど)に対して設定することが出来る定義のこと。 バケットとその中のオブジェクトへのアクセス許可を付与できるリソースベースのポリシーのこと。 バケット所有者のみが、ポリシーをバケットに関連付けることができる。 バケットに添付された許可は、バケット所有者が所有するバケットのすべてのオブジェクトに適用される。 5. やってみた 前提条件として、AWSのアカウントおよび管理者用IAMユーザーが作成されていること。 5-1. ユーザー用のIAMユーザーを作成 IAM Management Consoleから「ユーザー」➡「ユーザーを追加」をクリック。 今回は、ユーザー名を「S3-Test」としました。 アクセス権限は以下の内容のポリシーを作成し、アタッチします。ポリシ
ハンズオン(簡易版): IAM入門(ユーザー)¶ 作成者: 波田野 裕一 公開日: 2020-06-22 更新日: 2023-12-26 目的¶ IAMユーザー/グループの要素の作成・更新・削除を行う。 前提¶ 作業権限条件¶ 本作業は、以下の権限を有する「IAMユーザー」もしくは「IAMロール/インスタンスプロファイルが付与された環境(Cloud9などを含むEC2環境)で行います。 作業権限条件: 必要なIAMポリシー IAMFullAccess 必要なIAMポリシーを利用する環境(「IAMユーザー」「IAMグループ」もしくは「IAMロール/インスタンスプロファイル」)にアタッチした後に、手順を実施します。 作業環境条件¶
Session Manager の追加サンプル IAM ポリシー - AWS Systems Manager
サポートする Session Manager ユーザーのアクセスシナリオ用のカスタム AWS Identity and Access Management (IAM) ポリシーの作成に役立つ、次のサンプルポリシーを参照してください。 例 1: コンソールでドキュメントへのアクセスを許可する ユーザーが Session Manager コンソールを使用してセッションを開始する場合、カスタムドキュメントを指定できるようにすることができます。次の IAM ポリシーの例では、指定された AWS リージョン および AWS アカウント で SessionDocument- で始まる名前のドキュメントにアクセスする許可を付与します。 このポリシーを使用するには、独自の情報を含むそれぞれのリソースプレースホルダーの例を置き換えます。 { "Version": "2012-10-17", "Stateme
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?
SSMエージェントはIAMロールの夢を見るか を語りました #jawsug #opsjaws | DevelopersIO
コンバンハ、IAMロール *1です。 わたしは IAM ロールが好きです。EC2 もそこそこ好きです。そんな中、OpsJAWS Meetup#27 EC2の運用と監視が開催されました。 Ops な皆さん、こんにちは! EC2 使ってますか?使っていますよね。誰もが使ったことがある基本的なサービスですし、今でも活躍の場は多いと思います。 EC2 の運用と監視について改めて学び直します。 EC2 がテーマのようです。EC2 がテーマなのですが、わたしはどうしても IAM ロールの話がしたいです。 EC2、運用……と言えば Systems Manager…… Systems Manager でノード管理するには SSM エージェントが必要…… SSM エージェントが AWS API を実行するには IAM ロールの権限が必要! …… よし、繋がった! ということで、「SSMエージェントはIAMロ
はじめに AWSのIAMロールに付与するIAMポリシーの権限は、セキュリティリスクを考えれば、必要最小限にとどめる必要があります。 AWSの任意のインスタンスに関連付けられたIAMロールでは、設定時は最小権限になっていても、その後の運用で過剰な権限が付与される可能性があります。 また、開発者や運用者が作るIAMポリシーの権限も、必ずセキュリティベストプラクティスに沿っているかどうかは分かりません。 このIAMポリシーの検査を継続的に実施可能な環境を作るために、自動化されたメカニズムの導入を検討します。 アプローチ AWS IAM Access Analyzerには、IAMポリシーのチェック機能があり、この機能を利用してポリシーを検証できます。 マネジメントコンソール上だけではなく、AWS CLIやSDKでも実行可能であり、自動化できます。 IAM Access Analyzerのポリシーチ
この記事は Retty Advent Calendar 2022 Part2 の16日目の記事です。昨日はたちばなさんの『アイドルヲタクが応援うちわで考えるユーザー体験設計』でした。 もちろん Part1 もあります。Part 1 では CLI バージョンマネージャーに関する記事を書いたのでぜひ見てください! engineer.retty.me はじめに 背景 なぜ IAM User を減らしたいのか 期限のないアクセスキーの漏洩リスク 管理コストの増加 IAM User を減らすための取り組み IAM Identity Center (AWS SSO) の利用 SaaS 向け IAM User を IAM Role への切り替え Treasure Data Datadog Fastly CI 向け IAM User を IAM Role への切り替え GitHub Actions Cir
AWS IAM Access AnalyzerをSecurity Hubに統合時、各検出結果のタイプごとのSeverity(重要度)を教えてください | DevelopersIO
AWS IAM Access AnalyzerをSecurity Hubに統合時、各検出結果のタイプごとのSeverity(重要度)を教えてください わからないこと AWS IAM Access AnalyzerをSecurity Hubに統合し、EventBridgeで通知を設定する際、Severity(重要度)でフィルタリングしたいと考えています。 そこで、検出結果のタイプごとの重要度について教えてください。 回答 公式ドキュメントには、検出結果のタイプごとの重要度は記載されていません。 IAM Access Analyzerの検出結果は、Security Hubに送信される際、以下の6つのカテゴリのいずれかに分類されます。 外部アクセス検出 Effects/Data Exposure/External Access Granted タイトル:[リソースARN]はパブリックアクセスを許
[小ネタ] Terraform で Amazon SES のSMTPパスワード(IAMアクセスキー)を発行する際はSESと同じリージョンで発行しよう - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?
![[小ネタ] Terraform で Amazon SES のSMTPパスワード(IAMアクセスキー)を発行する際はSESと同じリージョンで発行しよう - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/84ccbb0b7384aa4227c40f952dac48ca6a15c599/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-412672c5f0600ab9a64263b751f1bc81.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-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%26mark-x%3D142%26mark-y%3D57%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZoPTc2Jnc9NzcwJnR4dD0lNDBzc2Mta3NhaXRvdSZ0eHQtY29sb3I9JTIzMUUyMTIxJnR4dC1mb250PUhpcmFnaW5vJTIwU2FucyUyMFc2JnR4dC1zaXplPTM2JnR4dC1hbGlnbj1sZWZ0JTJDdG9wJnM9ODc1YWI0ZmU0Y2UxYzZjMmQ3ZTExMTdkNDJkYTBhODE%26blend-x%3D142%26blend-y%3D436%26blend-mode%3Dnormal%26txt64%3DaW4gU1NDIFImRA%26txt-width%3D770%26txt-clip%3Dend%252Cellipsis%26txt-color%3D%25231E2121%26txt-font%3DHiragino%2520Sans%2520W6%26txt-size%3D36%26txt-x%3D156%26txt-y%3D536%26s%3D04b83b2c96b74d6e14df5b5e9196fef2)
目次 概要 EC2 利用制限の内容 Developer のIAMポリシー設計 始めにまとめ DenyUntagRole DenyRunInstancesCondition DenyEC2OperationsCondition DenyEC2DeleteTagsCondition DenyEC2CreateTagsCondition 動作確認 前提 インスタンスの起動 インスタンスの起動/停止/再起動/終了 タグの編集・削除対策 まとめ 参考 概要 管理者(Administrator) が開発者(Developer)の IAMロールを管理 所属するプロジェクト Project を示すタグを付与する 開発者(Developer) は 自身のロールに付与された Project タグの値に基づいて、 EC2利用が制限される 上記を実現させるための IAMポリシー例を紹介します。 EC2 利用制限の
iamlive はクライアント側での AWS API 呼び出しを監視して、 IAM ポリシーを作成してくれるツール https://github.com/iann0036/iamlive の README から引用 セットアップ cd /tmp curl --location https://github.com/iann0036/iamlive/releases/download/v0.10/iamlive-v0.10-darwin-amd64.tar.gz --remote-name tar xzvf iamlive-v0.10-darwin-amd64.tar.gz ./iamlive --set-ini # iamlive を起動しているのとは別のターミナルから AWS CLI で `aws sts get-caller-identity` などを実行し、 IAM ポリシーが表示さ
Amazon EKS Pod Identity は、Amazon EKS クラスター上のアプリケーションの IAM 許可を簡素化します | Amazon Web Services
Amazon Web Services ブログ Amazon EKS Pod Identity は、Amazon EKS クラスター上のアプリケーションの IAM 許可を簡素化します 11月26日より、Amazon EKS Pod Identity を使用して、AWS のサービスにアクセスするアプリケーションを簡素化できます。この拡張機能により、Amazon Elastic Kubernetes Service (Amazon EKS) クラスター内のアプリケーションに必要な IAM 許可を定義できるようになり、クラスター外の AWS のサービスに接続できるようになったため、シームレスで簡単な設定エクスペリエンスを享受できます。 Amazon EKS Pod Identity は、多くの EKS クラスターで直面することが増えた許可の管理に関する課題を解決するのに役立ちます。 Amazon
フィードバックを送信 IAM の概要 コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 Identity and Access Management(IAM)を使用すると、プロジェクト レベル、Spanner インスタンス レベル、Spanner データベース レベルで、Spanner リソースに対するユーザーとグループのアクセスを制御できます。たとえば、あるユーザーがプロジェクト内の特定のインスタンスのデータベースを管理できるものの、プロジェクト内でインスタンスの作成、変更、削除はできないように変更できます。IAM でアクセス制御を使用すると、Spanner のインスタンスやデータベースの権限を個別に変更することなく、ユーザーやグループに対する権限を付与できます。 このドキュメントでは、Spanner に関係する IAM の権限と、それらの権限を付与する
概要 今までIAMユーザのままでも見れたのですが、アクセス権を付けないと見れなくなったので手順を纏めました。 尚、公式にも書いてありますのでこちらも参考までに アカウント設定 Rootユーザの名称からアカウントを選択 "IAMユーザ/ロールによる請求情報へのアクセス"の編集ボタンをクリック "IAMアクセスのアクティブ化"にチェックを入れて更新 IAMポリシーの作成 IAMのポリシーを選択、ポリシーの作成をクリック サービスの”Billing”を選択 検索欄に”Bill”と入力 フルアクセスのポリシーを作成 "すべての Billing アクション"にチェックしReview Policyをクリック 名前欄に"BillingFullAccess"と入力し、Create policyをクリック "BillingFullAccess"が作成されたことを確認 読み取り専用アクセスのポリシーを作成 "
Posted Nov 11, 2022 2022-11-11T07:00:00+01:00 by Xavier Garceau-Aranda This is going to be a highly opinionated blog post. I think AWS is great and use it daily, but their implementation of IAM is unnecessarily complicated. If you can’t tolerate critics, don’t do anything new or interesting. Jeff Bezos Let’s get started. The policy evaluation logic reads like a James Joyce novel: Does it need to b
[AWS CDK] 発行したIAMアクセスキーがスタックの再デプロイ時に変更されないのか確認してみた | DevelopersIO
こんにちは、CX事業本部の若槻です。 AWS上に構築したシステムを外部サービスと連携する時はAWSでIAMユーザーのアクセスキーを発行することが多いですが、このIAMアクセスキーの作成は手動で行うと手数が多くなかなか手間が掛かり、また数が増えすぎると管理も大変になります。 そこで「IAMアクセスキーについても他のリソースと同様にAWS CDKで管理できないか?」と考えたのですが、その際にCDKスタックの再デプロイ時にアクセスキーの値が変更されてしまわないか?という懸念があり、今回実際に確認してみました。 確認してみた スタック初回デプロイ 発行したアクセスキーのIDとシークレットをAWS System ManagerのパラメータストアにString形式で格納しています。 import * as cdk from "@aws-cdk/core"; import * as iam from "
![[AWS CDK] 発行したIAMアクセスキーがスタックの再デプロイ時に変更されないのか確認してみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/92a069de3c7b583973daaf530883535d2e2b3e5a/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F08%2Faws-cloud-development-kit.png)
Exploiting Authentication in AWS IAM Authenticator for Kubernetes
Exploiting Authentication in AWS IAM Authenticator for Kubernetes Amazon Elastic Kubernetes Service (Amazon EKS) is a managed service that helps you to create, operate, and maintain Kubernetes clusters. Amazon EKS has several deployment options including AWS cloud and on-premises (Amazon EKS Anywhere). Amazon EKS uses IAM to provide authentication to the cluster through the AWS IAM Authenticator f
How to monitor and query IAM resources at scale – Part 2 | Amazon Web Services
AWS Security Blog How to monitor and query IAM resources at scale – Part 2 In this post, we continue with our recommendations for using AWS Identity and Access Management (IAM) APIs. In part 1 of this two-part series, we described how you could create IAM resources and use them soon after for authorization decisions. We also described options for monitoring and responding to IAM resource changes f
AWS Analytics simplify users’ data access across services with IAM Identity Center
AWS Analytics services, including Amazon QuickSight, Amazon Redshift, Amazon EMR, AWS Lake Formation, and Amazon S3 via S3 Access Grants, now use trusted identity propagation with AWS IAM Identity Center to manage and audit access to data and resources based on user identity. This new capability passes identity information between connected business intelligence and data analytics applications. Ad
[仕様変更] IAM ロール信頼ポリシーの挙動が変更になり IAM ロールの「暗黙的な自己信頼」がなくなりました | DevelopersIO
(※)2022年6月30以降に「暗黙的な自己信頼」の使用実績があるロールでは、2023年2月15日まで「許可」 個人的にちょっと勘違いしていたのは#4,#16のケースで、「同一アカウント」かつ「ユーザー/ロール単位で信頼している」場合にはプリンシパル側の IAM ポリシーでの許可はいらない、という点でした。 ちょっと試してみた 上記のパターンからいくつかピックアップして試してみます。 同一アカウントで信頼ポリシーだけで許可されているパターン #4,#5に該当するパターンです。 IAMUser0 に IAM ポリシーがアタッチされていない状態で、IAMRoleA を Assume Role します。 まずは IAMRoleA の信頼ポリシーが以下の場合です。(#4) IAMRoleAの信頼ポリシー { "Version": "2012-10-17", "Statement": [ { "Ef
インスタンスプロファイル作成とAWS Systems Managerの設定をAWS CLIを使ってやってみようとしたら、IAM ロールとポリシーとAssumeRoleでハマったのでやってみた順番で整理してみた | DevelopersIO
インスタンスプロファイル作成とAWS Systems Managerの設定をAWS CLIを使ってやってみようとしたら、IAM ロールとポリシーとAssumeRoleでハマったのでやってみた順番で整理してみた みなさんどうも、新卒エンジニアのたいがーです? 何が起こったのかと言いますと、タイトル通りです。AWS CLIでインスタンスプロファイルとAWS Systems Manager(以下、SSM)の設定をしようとして、とても詰まりました。 私が"どういうところにハマったか、どう解決したか"、実際の流れに沿って書いていきたいと思います。 そもそも何があったのか 始めは、AWS CLIを使ってCloud Formationのテンプレートからスタックを作成しようとしていました。 今回のテンプレートでは、スタック実行前にインスタンスプロファイルを作成する必要があったため、IAMロールを新たに作成
EC2 インスタンスに適切な権限の IAM ロールを割り当てたにも関わらず、権限エラーが発生したときの対処方法 | DevelopersIO
困っていた内容 EC2 インスタンスに IAM ロールを割り当てました。 IAM ロールに付与されている IAM ポリシーでは許可設定をしているにも関わらず、AWS CLI コマンドを実行した際に権限エラーが発生します。 考えられる原因を教えてください。 前提となる知識 AWS CLI コマンド実行時に使われる認証情報には以下の優先順位があります。 1. コマンドラインオプション 2. 環境変数 3. CLI 認証情報ファイル 4. CLI 設定ファイル 5. コンテナ認証情報 6. インスタンスプロファイル認証情報 EC2 インスタンスに割り当てる IAM ロールの優先順位は、インスタンスプロファイル認証情報にあたるため、6 番目となります。インスタンスプロファイル認証情報よりも優先順位の高い認証情報が使用されているかどうかを、チェックする必要があります。 どう対応すればいいの? 前提
[58→142] IAM Access Analyzer によるポリシー生成でより多くの AWS サービスがアクションレベルの情報に対応しました(144.8%アップ) | DevelopersIO
[58→142] IAM Access Analyzer によるポリシー生成でより多くの AWS サービスがアクションレベルの情報に対応しました(144.8%アップ) IAM Acces Analyzer による CloudTrail 履歴をベースにしたポリシー生成で「アクションレベルの情報」に対応した AWS サービスが増えました。
Amazon Simple Storage Service (Amazon S3) ユーザーが Amazon Simple Storage Service (Amazon S3) の特定のフォルダにしかアクセスできないように制限したいと考えています。 解決策 ユーザーとバケットが同じ AWS アカウントに属している場合は、IAM ポリシーを使用してユーザーにバケットフォルダへのアクセス権を付与します。IAM ポリシーがアクセスを許可している場合、バケットポリシーを更新する必要はありません。 注: Amazon S3 バケットポリシーが IAM ユーザーによるフォルダへのアクセスを明示的に拒否している場合は、バケットポリシーを更新する必要があります。 IAM ユーザーと S3 バケットが異なる AWS アカウントに属している場合は、IAM ポリシーとバケットポリシーの両方でアクセス権を付与し
こんにちは!AWS事業本部のおつまみです。 みなさん、IAMユーザー・アクセスキーを棚卸ししたいと思ったことはありますか?私はあります。 検証をしていると、いつの間にか溜まってしまうIAMユーザーやアクセスキー。 不要なIAMユーザー・アクセスキーを放置することはセキュリティ的に危険です。 特にアクセスキー漏洩は不正利用に繋がる恐れがあります。 そこで今回はIAMの認証情報レポートを使用し、不要なIAMユーザー・アクセスキーを棚卸しする方法をご紹介します。 IAMロールやIAMポリシーの棚卸方法を知りたい方はこちらのブログもご参考ください。 AWSアカウントの認証情報レポートとは AWSアカウントの認証情報レポートは、IAMで管理されているユーザ認証情報の一覧を提供する機能です。 これにより、ユーザーの資格情報やパスワード、アクセスキー、MFA(多要素認証)設定などを確認することができます
[アップデート] AWS CDKでEC2インスタンスに割り当てられたIAMロールにAmazonSSMManagedInstanceCoreを簡単にアタッチできるようになりました | DevelopersIO
[アップデート] AWS CDKでEC2インスタンスに割り当てられたIAMロールにAmazonSSMManagedInstanceCoreを簡単にアタッチできるようになりました 都度IAMロール定義するの面倒だな こんにちは、のんピ(@non____97)です。 皆さんはAWS CDKで検証用のEC2インスタンスを立てるときにAmazonSSMManagedInstanceCoreがアタッチされたIAMロールを定義するのが面倒だなと思ったことはありますか? 私はあります。 AWS CDK 2.70.0からssmSessionPermissionsをtrueとすることでEC2インスタンスに割り当てられたIAMロールにAmazonSSMManagedInstanceCoreを簡単にアタッチできるようになりました。 これにより、AWS SSM Default Host Management Co
![[アップデート] AWS CDKでEC2インスタンスに割り当てられたIAMロールにAmazonSSMManagedInstanceCoreを簡単にアタッチできるようになりました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/70c486e32d6bbcefd2f954f4d6e6b698a2df7b51/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F08%2Faws-cdk.png)
IAM ユーザーに対して AWS コンソールへ一時的なアクセスを制御する方法について | DevelopersIO
困っていた内容 一部のユーザーには制限されたリソース アクセスでAWSコンソールアクセスを一時的に提供する予定です。 特定の日付が過ぎるとアクセスをできなくする方法を教えてください。 どう設定すればいいの? IAMポリシーを設定することにより特定の時間帯内の対象サービスへのアクセス制限が可能です。 実行例 IAM ユーザーが 2023-02-01 (UTC) ~2023-02-03(UTC)すべてのアクションを許可する場合 { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "*", "Resource": "*", "Condition": { "DateGreaterThan": {"aws:CurrentTime": "2023-02-01T00:00:00Z"}, "DateLessThan"
EC2 内の Docker コンテナで IAM ロール認証情報を利用する方法を教えてください | DevelopersIO
困っていた内容 EC2 インスタンスに IAM ロールをアタッチし、インスタンスプロファイル認証情報を利用していますが、EC2 内にインストールした Docker 上のコンテナアプリケーションからも IAM ロールの認証情報を利用したい要件があります。実現する方法を教えてください。 どう対応すればいいの? 対象 EC2 インスタンスの HttpPutResponseHopLimit という属性を変更することで、EC2 内の Docker コンテナ上からも IAM ロールの認証情報を取得できるようになります。 まずは対象インスタンスに対して ec2 describe-instances コマンドを実行し、現在の設定を確認します。 初期状態では HttpPutResponseHopLimit が 1 になっているはずです。 コマンド例 $ aws ec2 describe-instances
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【研究でクラウド利用】IAMの使い方・IAMユーザーの作成方法【AWS】 - LabCode
IAMポリシーのワークショップをやってみた | DevelopersIO
GCP IAM ロールの持つ権限を比較するテク - ぽ靴な缶
AWS (/SAM/EB) CLI で IAM Role / MFA を使用する - Qiita
Amazon Linux2でIAMロールを使ったs3fsの設定をやってみた | DevelopersIO
TerraformでGCPのIAMをちょっとだけ上手に管理する - Qiita
【AWS】IAMでスイッチロールを利用して複数アカウントにログインする方法 - Qiita
AWS Lambdaのデプロイに必要なIAMポリシーについて - Qiita
特定のIAMユーザーのみがアクセスできるS3バケットを作成してみた - Qiita
ハンズオン(簡易版): IAM入門(ユーザー) — ハンズオン(簡易版): IAM入門(ユーザー)
GCPセキュリティ変更に伴うAppEngineのIAM更新について - Qiita
AWS IAM Access Analyzerによる継続的ポリシーチェックを自動化する方法 - Qiita
AWS の IAM User を減らす取り組み - Retty Tech Blog
EC2インスタンスの作成や起動/停止をタグベースのIAMポリシーで制御する例 | DevelopersIO
クライアントサイドモニタリングで IAM ポリシーを作成する iamlive
IAM の概要 | Spanner | Google Cloud
【AWS】IAMユーザで請求情報を見る - Qiita
AWS IAM Roles, a tale of unnecessary complexity
IAM ユーザーに対し Amazon S3 バケットにある特定フォルダーへのアクセス権を付与する
認証情報レポートで不要なIAMユーザー・アクセスキーを棚卸ししてみた | DevelopersIO