Cloud Billing IAM とは Cloud Billing IAMとは、Google Cloud Platform(GCP) の請求情報となる請求先アカウントに対する役割を制御します。 請求先アカウントにはクレジットカード情報等お支払い情報が設定されています。お支払い情報は、GCP の使用を始める際に設定する必要になります。 Cloud Billing IAMは、Cloud IAM の設定画面ではなく、お支払いの画面で設定します。(一部はCloud IAM で設定します。) コンシューマーが無料の@gmail.comからGCPを利用する場合は、特に意識することなく自分(ユーザー)がプロジェクトオーナーであり、請求先アカウント管理者となります。 G Suite や Google Cloud Identity を使って複数ユーザーを管理する場合、組織のアカウントの請求先アカウントを1
【AWS IAM】AWS IAM Roles Anywhereを、自己署名のプライベートCA局で試してみる - Qiita
【AWS IAM】AWS IAM Roles Anywhereを、自己署名のプライベートCA局で試してみるAWSIAM はじめに 先日、AWS IAM Roles Anywhereなるサービスが発表されました。 下記、公式blog記事に丁寧に書いてあるので詳細は割愛しますが、X.509証明書を用いてAWS Temporary Security Credentials (i.e. AccessKeyId/SecretAccessKey/SessionTokenの組み合わせ)を取得し、これを用いてAWS S3/DynamoDB等のAWSサービスを利用できる仕組みとなります。 Extend AWS IAM roles to workloads outside of AWS with IAM Roles Anywhere | AWS Security Blog https://aws.amazon
IAM makes it easier for you to manage permissions for AWS services accessing your resources | Amazon Web Services
AWS Security Blog IAM makes it easier for you to manage permissions for AWS services accessing your resources November 24, 2023: This post has been updated to show the differences between accessing data by way of an AWS service over public endpoints and over AWS PrivateLink (data access pattern 2). July 7, 2023: This post had been updated to use Amazon S3 Replication as an example in Data access p
フィードバックを送信 Workload Identity 連携 コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 このドキュメントでは、外部ワークロードのための ID 連携の概要について説明します。ID 連携を使用することで、サービス アカウント キーを使用せずに、Google Cloud リソースへのアクセス権を、オンプレミスまたはマルチクラウドのワークロードに付与できます。 ID 連携は、アマゾン ウェブ サービス(AWS)や、OpenID Connect(OIDC)をサポートする任意の ID プロバイダ(IdP)(Microsoft Azure など)、SAML 2.0 で使用できます。 ID 連携が必要な理由 Google Cloud の外部で実行されているアプリケーションは、サービス アカウント キーを使用して Google Cloud リソースに
[アップデート] Organizations環境のリソースアクセス制御がめっちゃ楽になる!IAMグローバル条件キーが追加されました(aws:SourceOrgID, aws:SourceOrgPaths) | DevelopersIO
[アップデート] Organizations環境のリソースアクセス制御がめっちゃ楽になる!IAMグローバル条件キーが追加されました(aws:SourceOrgID, aws:SourceOrgPaths) 以下アップデートを紹介します。 New organization-wide IAM condition keys to restrict AWS service-to-service requests AWS Organizations 環境において、 リソースベースポリシーの管理を簡素にする 新しい IAMグローバル条件キーが登場しました。 以下2つです。 aws:SourceOrgID (公式ドキュメントリンク) aws:SourceOrgPaths (公式ドキュメントリンク) 何が嬉しいか AWS Organizations 組織内における、 リソースベースポリシーの管理がめっちゃ
![[アップデート] Organizations環境のリソースアクセス制御がめっちゃ楽になる!IAMグローバル条件キーが追加されました(aws:SourceOrgID, aws:SourceOrgPaths) | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/0ead787fb8c991ad89bee3b2dd3ad86ba2979e63/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F08%2Faws-organizations.png)
S3の特定のプレフィックスに限定して、S3オブジェクトの基本操作(読み込み、書き込み、削除、オブジェクト一覧確認)のみを許可するIAMポリシーは、 結論 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::BUCKET/PREFIX/*" ] }, { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::BUCKET" ], "Condition": { "StringLike": { "s3:prefix": "PREFIX/*"
IAM権限エラー「AccessDeniedException」や「.. not authorized to perform」に遭遇時、必要な権限を付与するためのエラーの見方を解説 | DevelopersIO
はじめに AWSを触っていると、CLIやコンソール上で、以下のような権限エラーに遭遇することが多々あると思います。 An error occurred (AccessDeniedException) when calling the GetAuthorizationToken operation: User: arn:aws:sts::<アカウントID>:assumed-role/cm-hirai.yuji/botocore-session-xxxxxxxxx is not authorized to perform: ecr:GetAuthorizationToken on resource: * because no identity-based policy allows the ecr:GetAuthorizationToken action エラー解消するためのエラーの見方につい
AWSを活用する複数社が集まり、事例を共有する祭典「AWSマルチアカウント事例祭り」。ZOZOTOWNやWEARで有名なZOZOテクノロジーズから光野氏が、「マルチアカウントでのIAMユーザー把握と可視化 IAMユーザー棚卸しへの取り組み」をテーマに話しました。 組織全体のAWS運用がトークテーマ 光野達朗氏(以下、光野):「マルチアカウントでのIAMユーザー把握と可視化 IAMユーザー棚卸しへの取り組み」と題して、ZOZOテクノロジーズの光野が事例を共有します。よろしくお願いします。 まず始めに私の自己紹介をします。ZOZOテクノロジーズCTO室ならびに技術本部 SRE部 テックリードを務める光野です。ふだんは弊社AWS Organizationsの管理者を務めています。 弊社が手掛けるプロダクトについても簡単に触れます。1つ目はZOZOTOWNです。日本最大級のファッション通販サイトで
はじめに ECSには4つのIAM Roleが出てきます。それぞれAWS Management Consoleや公式ドキュメントには説明がありますが、実際の設定・挙動と突き合わせてどうなっているか分かりにくいため、整理しました。 なお、本稿では情報過多を避けるため、一旦、Service IAM role (Service-Linked Role) の説明は省いています。 3つのIAM Role ECSで稼働するコンテナの動作には、主に以下の3つのIAM Roleが関わってきます。それぞれの役割、利用されるタイミングを説明します。 Container Instance IAM Role Task Execution Role Task Role TL;DR ※ Launch Typeによる挙動の違い 参照。 解説 Container Instance IAM Role Fargateを利用しな
こんにちは。AWS事業本部のKyoです。 何をやっているのかよくわからないバケットポリシーってモヤっとしますよね。 不要ならば削除してしまいたいと思いつつ、アクセス制御に関わる部分なので触る際にはちょっと慎重になってしまうものだと思います。 最近CloudFrontのオリジンとなっていたS3バケットから奇妙なバケットポリシーを見つけました。 一見、よくあるOrigin Access Identity(以下、OAI)のアクセス許可を行ったバケットポリシーかと思いきやハイライトしてあるPrincipalの部分が見慣れてない形になっています。 復習をしておくと、OAIとは特別なCloudFrontのユーザーで、これを利用することでS3 バケットから直接ではなく、CloudFront 経由でのみファイルにアクセスできるようになります。 オリジンアクセスアイデンティティを使用して Amazon S3
目次 1. はじめに 2. IAMとは 3. IAMの基本 a) IAMユーザー(グループ)とは b) IAMポリシーとは c) IAMロールとは 4. IAMのベストプラクティス a) 権限は最小限にする b) 多要素認証をできるだけ行う c) CloudTrailでモニタリングをする d) アクセスキーは極力使わない 5. まとめ 1. はじめに AWS IAMについて詳しく記載していきます。IAMはAWSのセキュリティを考えるうえで基本的なサービスとなっていますので、AWSを安全に利用するためには正しく理解することが重要です。 2. IAMとは IAM(Identity and Access Management:アイアム)とは、AWSのサービスで「認証」と「認可」の設定を行うことができるサービスです。「認証」「認可」を正しく設定することで、AWSの利用者や、AWSのサービスがアクセ
Java ベースの Kubernetes オペレーターを使用した Amazon EKS での Kubernetes RBAC と IAM の統合 | Amazon Web Services
Amazon Web Services ブログ Java ベースの Kubernetes オペレーターを使用した Amazon EKS での Kubernetes RBAC と IAM の統合 はじめに Kubernetes ネイティブアプリケーションは、Kubernetes クラスターにデプロイされ、Kubernetes API と kubectl などのクライアント側ツールの両方を使用して管理されるアプリケーションです。Kubernetes オペレーターは、etcd データベースクラスターや Prometheus モニタリング/アラートシステムなど、重要な Kubernetes アプリケーションをデプロイするための抽象概念です。このようなアプリケーションに必要なドメイン固有の知識を持つカスタムリソースとコントローラを使用して Kubernetes 機能を拡張するメカニズムを提供します。
AWS IAM Identity Center のアクセス許可セットで IP アドレス制限を設定する | DevelopersIO
AWS IAM Identity Center のアクセス許可セットのインラインポリシーを利用して、IP アドレス制限を設定する方法を紹介します。 外部 ID プロバイダーと認証連携している場合は、外部 ID プロバイダーの機能で IP アドレス制限を実施できる場合があります。本ブログでは、cと認証連携していない場合や、外部 ID プロバイダー側で IP アドレス制限を設定できない場合などを想定して AWS IAM Identity Center で IP アドレス制限を実現してみます。 なお、外部 ID プロバイダーで IP アドレス制限を実施することで AWS アクセスポータルにアクセスする前にブロックできます。例えば、Azure AD では条件付きアクセス機能で AWS アクセスポータルへのアクセスを IP アドレスで制限できます。下記ブログでは AWS IAM Identity C
マルチアカウント環境におけるAWS IAM Access Analyzerの構成、通知方法、運用について考えてみた | DevelopersIO
それぞれのメリット・デメリットをまとめると以下のようになります。 EventBridgeルールを2つ利用する方法 メリット:運用がラク。 デメリット:IAMロールの検知結果が全リージョンで表示される。 アーカイブルールを利用する方法 メリット:EventBridgeルールが1つで済む。Security Hub上は、IAMロールの検知結果が1リージョンのみとなる。 デメリット:新リージョン対応時に管理アカウントでの再スクリプト実行が必要。 次章の「運用方法」では、EventBridgeルールを2つ利用する方法を採用した前提で解説します。 運用方法 「1. 管理アカウントのみアナライザーを作成」の運用において、以下の2点を考えます。 通知後の対応 新規アカウント発行時 通知後の対応 通知方法は「通知先がメンバーアカウントごとに異なる場合」を想定しています。 アナライザー検知時の対応の流れは以下
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
IAM Roles Anywhereのない世界とある世界 (2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料) 2022年11月24日(木) NTTデータ 奥村 康晃Read less
こんにちは!AWS事業本部のおつまみです。 みなさん、定期的なIAMユーザー・ロールの棚卸しはしていますか? AWSでは、IAMユーザー、IAMロール等に付与するIAMポリシーについては最小特権アクセス許可を適用するというベストプラクティスがあります。 そのため、出来る限りこのベストプラクティスに沿うように設計する必要があります。 ここでは、上記ベストプラクティスに近づけるための強力な権限を与えているIAMユーザー・ロールを棚卸する方法をご紹介します。 普段使っていないIAMリソースや新規作成したIAMリソースを定期的に棚卸する方法を知りたい方はこちらのブログもご参考ください。 強力な権限について IAMポリシーの中にはAWSが作成及び管理するマネージドポリシーと呼ばれるIAMポリシーがあります。 マネージドポリシーの中でも、以下の2つは強力な権限を持っています。 Administrato
はじめに 現在、API Gateway + Lambda + RDSを使ってWebアプリケーションを作っています。LambdaとRDSのIAM接続というのを見つけて、Goで試してみたので備忘録です。 IAM認証で接続するメリット・デメリット メリット コールドスタート問題の解決 アプリケーションでLambdaとRDSを接続することが避けられていた理由は、とにかく接続に時間がかかるためです。Webアプリを使っていて、DB接続に10秒も20秒も待ってられないですよね。(通称VPC Lambdaの10秒の壁?) LambdaがVPC内で通信を行うにはENI生成を行う必要があり、コールドスタートとなってしまいます。しかし、IAM認証で接続することで、LambdaをVPC内に設置する必要がなくなるので、問題とされていた10秒の壁が解決できるのです! 【朗報】 Lambda関数のVPC環境でのコールド
[アップデート] IAM Access Analyzer が AWS Organizations に対応しました! | DevelopersIO
ちゃだいん(@chazuke4649)です。 ちょっと前のアップデートですが、 IAM Access Analyzer が AWS Organizations に対応しました! 自社の AWS の組織外から AWS リソースへの意図しないアクセスが許可されていないかを確認し、それに対処する これにより、 AWS Organizatons の「組織」に属するすべてのメンバーアカウントに対し、アクセスアナライザーで一気に全アカウントの外部アクセスを検出できるようになりました。詳細は以下のブログをどうぞ。 新機能 – AWS Organizations での AWS IAM Access Analyzer 使用 | Amazon Web Services ブログ また、このブログにはこんな記載がありました。 組織内のメンバーアカウントを、IAM Access Analyzer のための委任された
![[アップデート] IAM Access Analyzer が AWS Organizations に対応しました! | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/d2c2cbb34cdcda62e4504734b6e345b95ceca145/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F04%2Faws-organizations.png)
Determining AWS IAM Policies According To Terraform And AWS CLI
Meir Gabay Posted on Apr 23, 2021 • Updated on Apr 30, 2021 • Originally published at meirg.co.il I find myself mentioning the term Principle Of Least Privilege often, so I thought, "Let's write a practical blog post of how to implement this principle in the CI/CD realm". In this blog post, I'll describe the process of granting the least privileges required to execute aws s3 ls and terraform apply
[レポート][SEC309]IAM Access Analyzerの詳細 #SEC309 #reinvent | DevelopersIO
こんにちは。芳賀です。 AWS re:Invent 2019で「IAM Access Analyzerの詳細」のお話を聞いてきたのでレポートします。 SEC309 - [NEW LAUNCH!] Dive Deep into IAM Access Analyzer Speaker Andrew Gacek - Senior Applied Scientist, Amazon Web Services Ujjwal Pugalia - Sr. Product Manager, Amazon Web Services Aaron Fagan - Principal Cloud Security Engineer, Millennium Management Mark Horta - Head of Cloud Engineering, Millennium Management Additio
![[レポート][SEC309]IAM Access Analyzerの詳細 #SEC309 #reinvent | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/9419c6cf4ac1d0e1323fa1560dfc995d191622f5/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F12%2Freinvent2019_report_eyecatch.jpg)
Amazon API Gateway(以下、API Gateway)の HTTP API で IAM 認証をかけてアクセスする方法について紹介します。 IAM 認証の設定 API Gateway のマネジメントコンソールから API の詳細に行き、「認可」選択して、下図のようにオーソライザーに「IAM(組込み型)」をアタッチします。 設定後 API Gateway の URL をたたくと Forbidden になります(設定前は誰でもアクセスできる状態でした)。 必要な権限 管理ポリシー AmazonAPIGatewayInvokeFullAccess をアタッチしておく必要があります。最低でも execute-api:Invoke が必要です。 Postman でアクセスする ローカル環境でアクセスする場合 Postman を使うと簡単です。前もって AWS アクセスキーとシークレットキ
![[サンプルコード付き]IAM認証をかけたAmazon API Gatewayにアクセスする](https://cdn-ak-scissors.b.st-hatena.com/image/square/19ffa7ac392a0ad687f3bfa29435b201c07aa331/height=288;version=1;width=512/https%3A%2F%2Fres.cloudinary.com%2Fzenn%2Fimage%2Fupload%2Fs--Rdj6M9IM--%2Fc_fit%252Cg_north_west%252Cl_text%3Anotosansjp-medium.otf_55%3A%25255B%2525E3%252582%2525B5%2525E3%252583%2525B3%2525E3%252583%252597%2525E3%252583%2525AB%2525E3%252582%2525B3%2525E3%252583%2525BC%2525E3%252583%252589%2525E4%2525BB%252598%2525E3%252581%25258D%25255DIAM%2525E8%2525AA%25258D%2525E8%2525A8%2525BC%2525E3%252582%252592%2525E3%252581%25258B%2525E3%252581%252591%2525E3%252581%25259FAmazon%252520API%252520Gateway%2525E3%252581%2525AB%2525E3%252582%2525A2%2525E3%252582%2525AF%2525E3%252582%2525BB%2525E3%252582%2525B9%2525E3%252581%252599%2525E3%252582%25258B%252Cw_1010%252Cx_90%252Cy_100%2Fg_south_west%252Cl_text%3Anotosansjp-medium.otf_37%3Aohsawa0515%252Cx_203%252Cy_121%2Fg_south_west%252Ch_90%252Cl_fetch%3AaHR0cHM6Ly9saDMuZ29vZ2xldXNlcmNvbnRlbnQuY29tL2EtL0FPaDE0R2o4aTRycXBrS19ZVlFnMHhnZGdScWgyV1hTVjI1TkR3NDVXdDFMY2c9czI1MC1j%252Cr_max%252Cw_90%252Cx_87%252Cy_95%2Fv1627283836%2Fdefault%2Fog-base-w1200-v2.png)
AWS IAM Policy Visualizer
IAM Policy Visualizer
AWS はルートユーザーと IAM ユーザーにパスキー多要素認証 (MFA) を追加します | Amazon Web Services
Amazon Web Services ブログ AWS はルートユーザーと IAM ユーザーにパスキー多要素認証 (MFA) を追加します セキュリティは Amazon Web Services (AWS) の最優先事項であり、6月11日、お客様の AWS アカウントのセキュリティ体制を強化するのに役立つ 2 つの機能をリリースします。 まず、ルートユーザーと AWS Identity and Access Management (IAM) ユーザー向けに、サポート対象の多要素認証 (MFA) のリストにパスキーを追加します。 次に、ルートユーザーに MFA を適用し始めました。最も機密性の高いユーザー、つまり AWS Organization の管理アカウントのルートユーザーから始めました。2024年の残りの期間中に、この変更を他のアカウントにも引き続き適用します。 MFA は、アカウン
IAMとは? IAMとは、「AWS Identity and Access Management」というサービスの略で、IDやアクセス権限の管理が行えます。オンプレミスは物理機器を直接管理・運用するため、例えばデータセンターへの入出管理など物理的な制限を設けることができます。しかし、クラウドはインターネットを介して操作するため、オンプレミスとは異なる管理が必要です。 IAMではAWSを操作するユーザーの作成、権限の設定を行うことで、誰が、どのよう操作を行ったかを把握することができます。 IAMユーザーとは ルートユーザーに対して、IAMで作成したユーザーのことを指します。 IAMユーザーはユーザー名とパスワードを設定し、IAMユーザーでAWSアカウントにログインすることでAWSの操作が行えます。 AWS内でできる操作は、付与したIAMポリシーによって規定され、自由にカスタマイズすることがで
My team has a pipeline which runs under an execution IAM role. We want to deploy code to AWS through CloudFormation or the CDK. In the past, we would upload some artifacts to S3 buckets before creating/updating our CloudFormation stack, using the execution IAM role. We recently switched to the CDK, and are trying to get as much automated with using CDK Deploy as possible, but are running into a lo
How to enable secure seamless single sign-on to Amazon EC2 Windows instances with AWS IAM Identity Center | Amazon Web Services
AWS Security Blog How to enable secure seamless single sign-on to Amazon EC2 Windows instances with AWS IAM Identity Center September 23, 2022: This blog post has been updated with correction on sample custom permissions policy download URL. September 12, 2022: This blog post has been updated to reflect the new name of AWS Single Sign-On (SSO) – AWS IAM Identity Center. Read more about the name ch
AWS Workshopの「How and when to use different IAM policy types」をやってみました はじめに データアナリティクス事業本部のおざわです。 7月25日は、自宅で井上尚弥選手の試合を観戦して盛り上がっていました。勝利者インタビューで「まだ改善の余地がある」と答えていたのが印象的でした。次の試合も楽しみですね。 今回は、AWSのWorkshop Studioの中から「How and when to use different IAM policy types」というワークショップをやってみました。普段、IAMポリシーを自分で設定する機会があまりなかったので、自分で手を動かしながらいろいろと試したくなったというのが理由です。 いまのところ英語版しかないようです。環境構築はワークショップ用のCloudFormationテンプレートが用意されてい
全メンバーアカウントにおける全リージョンのAWS IAM Access Analyzerを一括削除してみた | DevelopersIO
はじめに クラスメソッドメンバーズのAWSアカウントをご利用の場合、セキュリティ強化とメンバーズサービス提供のため、複数のAWSサービスが自動的に有効化され、関連リソースが作成されます。 その一環として、cm-access-analyzerという名前のAWS IAM Access Analyzerが自動的に全リージョンで作成されます。このAnalyzerの信頼ゾーンは、アカウント単位で設定されています。 以下の記事で解説されているように、マルチアカウント構成においては、通常、管理アカウントのみにAnalyzerを作成し、メンバーアカウントにはAnalyzerを作成しないケースが多いです。 このため、各メンバーアカウントの全リージョンに存在するcm-access-analyzerを一括で削除する必要があります。本記事では、その効率的な方法をご紹介します。 実施手順の概要は以下の通りです。 管
メンバーやサービスアカウントの権限を考える際に、ロールの持つ権限を比較したいことがしばしばある。そういう時は gcloud と diff を使うことで比較できるという素朴なテク。 ロールと権限 ロール(role)は roles/{roleName}, roles/{service}.{roleName} などで表され、許可されている操作を表す権限(permission)の集合である。 例えば BigQuery データ閲覧者 (roles/bigquery.dataViewer) は、以下の permission を持つ。 bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.models.export bigquery.models.getData bigquery.models.getMetadata bigquery
こんにちは、大前です。 Amazon Linux2 上で s3fs の設定を実施する機会があったのですが、ググっても Amazon Linux 上での設定しかなかったり、IAM ロールを使った設定例が出てこなかったりで苦労したので、備忘録としてブログに手順を残したいと思います。 やってみた 1. S3 バケットの作成 何はともあれ、S3 のバケットが必要ですので、作成します。 特にアクセス権限など弄る必要はないのですが、できたてホヤホヤのバケットを使用すると下記が発生してしまい、s3fs でのマウント設定に失敗する可能性がありますのでご注意ください。 Amazon S3 から HTTP 307 Temporary Redirect レスポンスが返るのはなぜですか? 2. IAM ロールの作成 今回は掲題にある通り IAM ロールを使いますので、EC2 にアタッチするロールを作成します。 検
各種 CLI から IAM ロールを使って AWS リソースにアクセスする方法をまとめました。 参考 AWS CLI での IAM ロールの使用 EB CLI の設定 方法1) プロファイルによるロール切り換え プロファイルとして使用する IAM ロールを設定しておき、コマンド実行時の環境変数やコマンドライン引数でプロファイルを指定して実行する。 プロファイルを作成する ~/.aws/config を編集してプロファイルを追加する。プロファイル名は IAM ロールに合うような一意のものをつける。 [profile profile-name] region = ap-northeast-1 output = json role_arn = (IAM ロールの ARN) source_profile = default MFA 設定 IAM ロールで MFA 必須 (aws:MultiFact
検索してここにたどり着いた人はとにかくやり方を知りたいと思うので、まずは結論から。 なお、Profileの登録って何?って方は以下の記事を参考にしてください 【小ネタ】AWS CLIでスイッチロールして作業を行うための設定をやってみた Profile名をソースコードに埋め込むパターン from boto3.session import Session session = boto3.Session(profile_name="switch-role-name") s3_client = session.client("s3") s3_client.list_buckets() Profile名は環境変数で設定するパターン(Mac/Linux) ソースコードに埋め込む場合、コードを展開するケースですとprofile名を統一しないとだめじゃないか、って声が聞こえてきそうですね。 その場合は起動
概要 AWSのIAMで、スイッチロールを利用して顧客のAWSアカウントを利用しました。その際の設定手順について備忘も兼ねて記載します。 前提 自分の会社を「会社A」、顧客の会社を「会社B」として記載してます。 踏み台アカウント(ジャンプアカウント)を利用して、スイッチロールします。一つの入り口からのみ複数環境(ステージング・本番・検証など)にスイッチできる、セキュアな方式です。 踏み台アカウントについて、顧客BからID/Passは連携済とします(MFA認証のキーも)。より強いセキュリティ権限を付与したい場合は別途検討されてください。 AWSリソース図 実行手順 ①ロールを作成する(会社B) ②スイッチロールを設定する(会社B) ③スイッチロールで切り替えを行う(会社A) ①ロールを作成する(会社B) IAM画面→ロールの作成→クロスアカウントアクセスを選択 スイッチロールを許可したいアカウ
虎の穴ラボのH.Hです。AWSのLambdaを使用した際に調べた内容をまとめました。 AWSのユーザーには細かなIAMポリシーが設定できるが、細かすぎるために新しくサービスを使用する際に必要なIAMポリシーの確認に時間がかかってしまう。だが時間の短縮のために関連するサービスの全てのIAMポリシーをつけると様々な操作ができてしまい、後々問題が発生する可能性が出てきます。 今回Lambdaをデプロイする作業があり調べましたが、必要なIAMポリシーについてまとめられているページが見つかりませんでした。ということでデプロイする際に使用するユーザーを新設し必要なIAMポリシーを確認したのでまとめました。 コマンドラインからAWSにLambda関数をデプロイするためのツール コマンドラインからデプロイするには「AWS SAM CLI」が必要になります。詳細は以下のAWS公式ページを参照してください。
IAM Access Analyzer Update – Policy Validation | Amazon Web Services
AWS News Blog IAM Access Analyzer Update – Policy Validation AWS Identity and Access Management (IAM) is an important and fundamental part of AWS. You can create IAM policies and service control policies (SCPs) that define the desired level of access to specific AWS services and resources, and then attach the policies to IAM principals (users and roles), groups of users, or to AWS resources. With
背景 権限を付与する google_project_iam_member のリソースの role が配列を持てないので、複数の role を一度に設定することができません。 したがって、複数の role をあるアカウントに付与するためにはツラツラ書く必要があって、少し辛いところがあります。 参考 https://www.terraform.io/docs/providers/google/r/google_project_iam.html#google_project_iam_member-1 # create account resource "google_service_account" "sample_app_user" { account_id = "app-mgr" display_name = "app-mgr" } # add role1 resource "google_
Use IAM roles to connect GitHub Actions to actions in AWS | Amazon Web Services
AWS Security Blog Use IAM roles to connect GitHub Actions to actions in AWS May 22, 2023: We updated the post to reflect case sensitivity in the IDP entered: https://token.actions.githubusercontent.com. The IDP created in this post should be entered in lowercase through the post. Have you ever wanted to initiate change in an Amazon Web Services (AWS) account after you update a GitHub repository, o
「どのAWSサービスの」、「どのリソースに対して」、「どんな操作を」、「許可するか(許可しないか)」を権限とし、利用者(IAMユーザーなど)に対して設定することが出来る定義のこと。 バケットとその中のオブジェクトへのアクセス許可を付与できるリソースベースのポリシーのこと。 バケット所有者のみが、ポリシーをバケットに関連付けることができる。 バケットに添付された許可は、バケット所有者が所有するバケットのすべてのオブジェクトに適用される。 5. やってみた 前提条件として、AWSのアカウントおよび管理者用IAMユーザーが作成されていること。 5-1. ユーザー用のIAMユーザーを作成 IAM Management Consoleから「ユーザー」➡「ユーザーを追加」をクリック。 今回は、ユーザー名を「S3-Test」としました。 アクセス権限は以下の内容のポリシーを作成し、アタッチします。ポリシ
ハンズオン(簡易版): IAM入門(ユーザー)¶ 作成者: 波田野 裕一 公開日: 2020-06-22 更新日: 2023-12-26 目的¶ IAMユーザー/グループの要素の作成・更新・削除を行う。 前提¶ 作業権限条件¶ 本作業は、以下の権限を有する「IAMユーザー」もしくは「IAMロール/インスタンスプロファイルが付与された環境(Cloud9などを含むEC2環境)で行います。 作業権限条件: 必要なIAMポリシー IAMFullAccess 必要なIAMポリシーを利用する環境(「IAMユーザー」「IAMグループ」もしくは「IAMロール/インスタンスプロファイル」)にアタッチした後に、手順を実施します。 作業環境条件¶
概要 GCPから以下のようなメールが来ていた 要約すると「セキュリティの変更を行うけどIAMで権限を変更しないとデプロイできなくなるから2021年1月27日までに権限変更しておいてね」かと 参考までに実際対応した記録を以下に記載 件名:ご対応のお願い - AppEngineのIAMの更新が必要です Google App Engine をご利用のお客様 Google Cloud では、App Engine のセキュリティ体制の変更を行っております。 今後、App Engine アプリケーションをデプロイするデベロッパーは、 App Engine のデフォルトサービス アカウントに対する iam.serviceAccounts.actAs 権限が必要になります。 これらの変更は、2021 年 1 月 27 日から適用されます。 デベロッパーの皆様がAppEngineアプリケーションのデプロイを
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Google Cloud Platform Cloud Billing IAM を軽く説明 - Qiita
Workload Identity 連携 | IAM のドキュメント | Google Cloud
S3の特定のフォルダのみを許可するIAMポリシー - Qiita
ユーザーも利用状況も一括把握 認証情報レポートでAWSのIAMユーザー棚卸し
【ECS】ECSに関するIAM Roleを整理する【AWS】 - Qiita
奇妙なバケットポリシーからチラ見するIAMの裏側 | DevelopersIO
【AWS IAMとは?】初心者にもわかりやすく解説|WafCharm|WAF自動運用サービス
強力な権限を与えているIAMユーザー・ロールをAWS CLIで棚卸してみた | DevelopersIO
【Go】Lambda + RDSをIAM認証で接続する - Qiita
[サンプルコード付き]IAM認証をかけたAmazon API Gatewayにアクセスする
【研究でクラウド利用】IAMの使い方・IAMユーザーの作成方法【AWS】 - LabCode
What IAM permissions are needed to use CDK Deploy?
IAMポリシーのワークショップをやってみた | DevelopersIO
GCP IAM ロールの持つ権限を比較するテク - ぽ靴な缶
Amazon Linux2でIAMロールを使ったs3fsの設定をやってみた | DevelopersIO
AWS (/SAM/EB) CLI で IAM Role / MFA を使用する - Qiita
スイッチロールしたIAM RoleをPython Boto3で使いたい | DevelopersIO
【AWS】IAMでスイッチロールを利用して複数アカウントにログインする方法 - Qiita
AWS Lambdaのデプロイに必要なIAMポリシーについて - Qiita
TerraformでGCPのIAMをちょっとだけ上手に管理する - Qiita
特定のIAMユーザーのみがアクセスできるS3バケットを作成してみた - Qiita
ハンズオン(簡易版): IAM入門(ユーザー) — ハンズオン(簡易版): IAM入門(ユーザー)
GCPセキュリティ変更に伴うAppEngineのIAM更新について - Qiita