コーヒーが好きな木谷映見です。 今日はスイッチロールの概念と設定方法についてまとめていきます。 スイッチロールとは? ざっくりとしたイメージ 真面目なイメージ スイッチロールのイメージ 「帽子をかぶって力を得る」 IAM ポリシーの種類 アイデンティティベースのポリシー リソースベースのポリシー IAM ロールの信頼ポリシー sts:AssumeRole とは IAM ロールに付与されるポリシー スイッチロールをする際の権限まとめ スイッチロールの手順 スイッチ元アカウントA での準備① スイッチ先アカウントB での準備 スイッチ元アカウントA での準備② スイッチ元アカウントAからスイッチ先アカウントへスイッチロールする スイッチロールのユースケース 参考 具体的な設定方法を知りたい方は「スイッチロールの手順」をご参照ください。 スイッチロールとは? ざっくりとしたイメージ 「人んちの帽
AWS Fargate サービスを Terraform で構築、 コマンドラインからデプロイ - Qiita
動機 【AWS】 Fargate CLI + Terraform で Docker コンテナを動かす簡単なチュートリアル というのを書いたんですが、下記の問題点を感じました。 Fargate CLI のインストールが若干手間。 Fargate CLI を使うと、 Terraform だけで完結しないため、一部ハードコーディングが必要になる。 Fargate CLI は冪等性が無い。 SSL 証明書や Route53 周りは Terraform で設定したいが、 Fargate CLI で設定した値の取得には結局 aws-cli を叩く必要がある。 Fargate CLI でも設定可能だが、事前に Route53 で設定とかしないとうまく動いてくれなかった記憶があり、結局あんま信頼できなかった よって、最近は Fargate CLI は使わずに、 インフラ構築は Terraform に全て任
SREチームの橋本です。SRE連載の11月号になります。 AWSの多くのリソースはIAMでアクセスを一元管理されていますが、Lambdaではユーザーが実行したり他のAWSサービスから実行されたりする都合上、様々なポリシーが絡んでいます。 特に「Lambdaを呼び出す許可」についてはID(アイデンティティ)ベースのポリシーとリソースベースのポリシーで内容が被るため、どちらで設定するか混乱しているケースも見られます。 本記事ではこうしたポリシー事情をterraformの例と共に整理し、権限設定のベストプラクティスも検討します。 そもそもIAMのポリシーについて ドキュメントによればAWSのポリシーは実に6種類ものタイプがありますが、「使用頻度の高いものから」とあるように最初のIDベースが非常に多くのサービスで共通して使われており、次いで2番目のリソースベースが一部サービスで必要になるでしょう。
G-gen の杉村です。Google Cloud (旧称 GCP) には組織 (Organization) という概念があります。ガバナンスとセキュリティのために重要なこの機能を解説します。 組織の基本 組織 (Organization) とは リソースの階層構造 組織リソース フォルダ・プロジェクト 組織のメリット・ユースケース 組織を使う理由 複数プロジェクト管理 利用可能なサービス・機能 組織を使わないリスク 組織の作成 Google Workspace (Cloud Identity) と Google Cloud 組織の作成方法 組織作成直後の特権 組織の表示 階層構造 (ツリー) の表示 表示に必要な権限 組織の管理 組織の管理者ロール 強力な管理権限 管理の委任 監査 組織と Cloud Audit Logs 監査ログの収集 組織 (Resource Manager) 自体の
スイッチロール先の本番・開発アカウントにてIAMロール、ポリシー、パーミッションバウンダリーを作ってみた | DevelopersIO
スイッチロール先の本番・開発アカウントにてIAMロール、ポリシー、パーミッションバウンダリーを作ってみた AWS IAM の機能の中でも割とマイナーなPermissions Boundary(パーミッションバウンダリー)。今回はこれを活用してみました。 ちゃだいん(@chazuke4649)です。 今日はスイッチロールを前提とした本番・開発アカウント用のIAMロール・ポリシー・パーミッションバウンダリーを考えてみたのでご紹介します。 今回ブログの発展版もありますので、よければ以下続編ブログもご覧ください。 どういうこと? 構成図 解説 AWS環境の中に複数の環境を持つ場合、複数のアカウントに分けて運用することで一定のメリットを享受することができます。詳しくはこちらをご覧ください。今回は上図の様に、中央管理用のAWSアカウントにIAMユーザーを一元管理し、実際に構築・開発・運用する環境はAW
業務都合で GCP を使う機会が増えたけど、サービスアカウントってなんかわかりにくいなぁってずっと思ってた。でもそれは AWS の考え方を引きずっていたからだと気づいたので、両者の権限付与について違いをまとめる。ざっくりしたまとめなので、詳細な仕様は公式を参照。 権限そのものの考え方は大体同じ Policy: 権限そのもの。基本的にサービスごとのAPIに対する権限と考える。細かいことを書き出すときりがないので割愛。 Role: 権限をグループ化したもの。細か(略 PolicyやRoleの付与対象 違いは一番下。人以外に対する権限付与のアプローチが違う。 AWS IAM User IAM Group Resource GCP Google Account Google Group Service Account 違いは「何を抽象化したか」 AWS リソース(=プログラム)を人に見立てて権限を
こんにちは。イムチェジョンです。 今回のブログではIAMロールをEC2インスタンスに設定をし、インスタンスの中でawsコマンドを実行してみたいと思います。 アジェンダ インスタンスでawsコマンドテスト IAMロールの作成 IAMロールをEC2インスタンスに設定 もう一回インスタンスでawsコマンドテスト まとめ 1. インスタンスでawsコマンドテスト EC2 Linux インスタンスにCLIが設置されているのを確認します。 $ aws --version aws-cli/1.18.147 Python/2.7.18 Linux/4.14.238-182.422.amzn2.x86_64 botocore/1.18.6 その後コマンドを実行してみるとエラーが出てきます。 エラーの内容は資格証明がされてないので、aws configureコマンドを使って資格証明をしてほしいということです。
はじめにこんにちは、Google Cloud Customer Engineer の Yutty です。久しぶりの投稿です。今回の投稿は、kwjp@との共著です。 2019年の Advent calendar で「 GCP の IAM をおさらいしよう」という記事を書きました。未だに多くの方に読んでいただいており、IAM まわりで情報を探している方も多いのだろうと推測しています。 今回は、比較的新しい機能や、こういうときどうするの?といったプラクティスを紹介していきたいと思います。 Cloud Identity Groupsもしかしたら、このトピックは「サービスアカウント Google グループ」といったキーワードで検索された方にはピッタリかもしれません。 10 new security and management controls for GCP and G Suite でも紹介されて
背景 IAMはアクセス制御をする上で非常に重要な仕組みですが、一方で複雑になりがちです。 間違った理解のままだと必要以上の権限を与えてしまい、事故の原因となるので押さえておくべき点をいくつかまとめてみます。 リソース階層 GCPのIAMにはリソース階層があり、それぞれの階層を意識した上でIAMポリシーを設定する必要があります。 ref: リソース階層を使用したアクセス制御 | IAM のドキュメント | Google Cloud リソース階層は4つのレベルがあります。 組織レベル フォルダレベル プロジェクトレベル リソースレベル(一部のサービスのみ) IAMポリシーは階層構造になっていて、最終的にリソースで有効なポリシーは、そのリソースに設定されたポリシーとその上位レベルから継承されたポリシーの和となります。 このような考え方はReBAC(Relationship-Based A
AWS を使うことが多かった自分が GCP をさわったところ、Cloud IAM に登場する用語が AWS の IAM と違うことで非常に混乱しました。 そこで、過去に AWS の IAM1 や Kubernetes の RBAC2 についてまとめたのと同じように、GCP の Cloud IAM に登場する基本概念をまとめました。 ※ 基本を理解するための記事なので、厳密ではない表現をしている箇所があります ※ Cloud IAM 初心者のため、間違いがあるかもしれません。見つけた方はご指摘ください Cloud IAM に登場する基本概念の全体像 整理した概念の全体像は以下の通りです。 AWS と比べながら順に説明していきます。 各概念の説明 メンバー GCP では IAM によって権限を付与できる対象を「メンバー」と言います。 「メンバー」には、 Google アカウント サービスアカウ
IAM サービスに対する権限を設定するポリシー作成において、「アクセス権限の管理」に関するアクションの検討で混乱することがあったため、自分用メモも兼ねてアクションの早見表を作成しました。 IAM アクセス権限の管理アクションの早見表 2022 年 2 月 6 日時点のアクションです。 IAM グループに対するアクション アクション名 概要 ガイド
Announcing AWS IAM Identity Center APIs for visibility into workforce access to AWS
Announcing List Assignment APIs for AWS IAM Identity Center, enabling you to view who has access to what AWS accounts and applications. With these APIs, you can list all AWS accounts and applications that a specific user or group can access. You can use the API response in workflows to generate periodic reports and audit your employee access to AWS, saving time and effort you previously spent on m
IAM Policy ViewOnlyAccessとReadOnlyAccessの違い | DevelopersIO
This policy grants permissions to view resources and basic metadata across all AWS services. Provides read-only access to AWS services and resources. ViewOnlyAccessが「リソースと基本的なメタデータを閲覧するための権限」、ReadOnlyAccessが「サービスとリソースへの読み込み権限」という感じですが、これだけだと違いがよくわからないですね… Policyの中身の違い 「よーし、diffコマンドで両者のポリシーの違いを一目瞭然にしてやるぞー」と息巻いてみたのですが、差分がありすぎて私のdiff力ではわかりやすい結果を出力できませんでしたすみません。代わりに、いくつかのサービスに絞って権限の違いを調査し、両ポリシーの違いを考察し
概要 今回は他アカウントからのEC2管理操作(起動・停止・再起動など)を許可するAssume Roleの設定方法を紹介します。 Assume Roleとは IAM ロールを使用して、他アカウントにAWS リソースのアクセス許可を委任します。信頼するAWSアカウントと他の信頼される AWS アカウントとの信頼関係が確立されます。 信頼関係の作成後、IAM ユーザーまたはアプリケーションではSecurity Token Service (STS) のAssumeRole API オペレーションを使用できます。このオペレーションから提供される一時的なセキュリティ認証情報を使用して、他のアカウントの AWS リソースにアクセスできるようになります。 ロールの信頼関係とAssume Roleのイメージ 以下、今回のAssume Role設定の大まかな流れです。 イメージ図を参照ください。アカウント1
AWS SDK for JavaScriptで、「多要素認証(MFA)をしてAssumeRole(スイッチロール)」するスクリプトを書いてみた | DevelopersIO
AWS SDK for JavaScriptで、「多要素認証(MFA)をしてAssumeRole(スイッチロール)」するスクリプトを書いてみた Jumpアカウント環境でもAWS SDKを使って操作したかったので、AWS SDK for JavaScript でスクリプト(TypeScript)を書いてみました。 AWS SDK for JavaScriptで簡単に「多要素認証(MFA)をしてAssumeRole(スイッチロール)」したい こんにちは、のんピ です。 皆さんはAWS SDK for JavaScriptで以下のように「多要素認証(MFA)をしてAssumeRole(スイッチロール)」したいと思ったことはありますか? 私はあります。 AWS CLIの場合は、以下記事で紹介している通り、~/.aws/configを設定すれば簡単にスイッチロールして操作ができます。 しかし、それで
AWS ECS + Rails + MySQL(Aurora) – 同じセキュリティグループに ECサービスとRDSを作成して RailsからDBアクセス可能にする - Qiita
AWS ECS + Rails + MySQL(Aurora) – 同じセキュリティグループに ECサービスとRDSを作成して RailsからDBアクセス可能にするRailsMySQLAWSECS 概要 同じセキュリティグループ同士は無条件に全てのトラフィックが許可されるので、ECSサービスもRDSも同じセキュリティグループに作成することでRailsからDBへのアクセスを可能にする Rails scaffoldなどでDBアクセスが発生するページを作成しておく
[アップデート] IAMロールセッション名にユーザー名を強制できる条件 sts:RoleSessionName が使えるようになりました | DevelopersIO
[アップデート] IAMロールセッション名にユーザー名を強制できる条件 sts:RoleSessionName が使えるようになりました ちゃだいん(@chazuke4649)です。 IAMロールの信頼ポリシーにて、新たに Conditon key として sts:RoleSessionName を設定できるようになりました。 IAM ロールを使用して実行されたアクションを担当する ID を簡単に特定 それによって、 例えばIAMロールを使用するクロスアカウント元のIAMユーザーに対し、ロールセッション名にIAMユーザー名の使用を強制することができます。 今まで「CloudTrailでアクションの実行者調べようと思ったら、クロスアカウントのユーザー名が任意のロールセッション名で誰か判別つかなくて困るよ〜」って経験がある人は大喜びだと思います。 何が嬉しいの?(詳しく) まず、登場する2つの
はじめに レプリケーションの設定をしている時に、IAMロール・AWSサービスロールという2つが出てきてそれぞれのロールの違いって何?となったので色々調べて自分なりに理解したのでそれを備忘録として残す IAMロール(単に「ロール」)とは 公式の説明の通り、IAMロール(単に「ロール」)とは、一時的な権限としてユーザとかサービスに権限を付与するのに使うもの このロールは同一AWSアカウント内のユーザの権限を制御するためにあるものではなく、 AWSのサービスに対して権限を付与する 他のAWSアカウントのユーザに一時的に使ってもらうための権限を付与する WebサービスからAWSのアクセスしたりするための権限を付与する という事をするために存在する そのため、AWSアカウントに属するユーザに対して権限を制御をするのにロールをアタッチして・・・という事は行わない (AWSアカウントに属するユーザに対す
Lake Formation を使用し AWS アカウント間でセキュアにデータ共有を実現 | Amazon Web Services
Amazon Web Services ブログ Lake Formation を使用し AWS アカウント間でセキュアにデータ共有を実現 近年、多くの企業で構造化データ・非構造化データをスケーラブルな形で一箇所に集約したいニーズが増えてきたことから、データレイクが非常に注目を集めています。データは元のまま保管されているため、事前に定められたスキーマへの変換は必要なく、ビジネスユースケースに応じて柔軟に新たな分析をデータレイク上で始めることができます。 実利用においては、自社が所有するデータを他の企業、組織、またはビジネスユニットに共有したい要件がよくあります。例として、他社のステークホルダーに自社のデータを共有し、共同のマーケティングキャンペーンを打ち出すなどが考えられます。このようなユースケースで、データの提供元 (プロデューサー) は自身のデータを丸ごとコピーすることなく、セキュアかつ
resource "google_project_iam_binding" "editor" { role = "roles/editor" // 編集者 members = [ "user:ptiringo@example.com" ] } この設定でも問題なくロールを付与することができるのだが、google_project_iam_binding の気を付けないといけないところは、指定されたメンバーに "のみ" このロールが付与されるように振る舞うというところ。つまり指定されたメンバー以外に当該のロールを保持しているアカウントがあれば、そのアカウントからロールが剥奪される動きをとる。 google_project_iam_binding を使用する場合の注意点 具体的に問題となりうるのは、Google 管理のサービスアカウントのロールの剥奪を行ってしまう場合だ。 例えば、内部の Goo
Amazon Web Services ブログ 最小権限実現への4ステップアプローチ 後編 AWS のセキュリティベストプラクティスを実現するに当たり、「最小権限の原則」に戸惑ったことはありませんか? AWS の利用では AWS Identity and Access Management (IAM) サービスを避けて通ることは出来ません。そのベストプラクティスとして掲げられているのが、最小権限の原則です。特に強固なセキュリティを求めるユースケースではこの原則の実現が課題になることが多いかと思います。本ブログでは、この最小権限の原則をシステマチックに検討するアプローチの一例をご紹介します。 前編では、システムが必要とする権限と、そこに内在する「受容できないビジネス影響をもたらしうる権限」を可視化する方法を3つのステップでご紹介しました。後編である今回は、前編で可視化した権限について統制のメ
Step FunctionsからECS RunTaskしようとしたら「ECS.AccessDeniedException」と出た時の対処法 | DevelopersIO
こんにちは。AWS事業本部コンサルティング部に所属している今泉(@bun76235104)です。 みなさん、Step Functionsを使っていますか? Workflow Studioで視覚的にステートマシンを組み立てるのが非常に楽しくて私は大好きです! 今回はAWSマネジメントコンソールからStep FunctionsでECE RunTaskのタスクを設定した時に以下のようなエラーが出た時の対処法を書かせていただきます! User: arn:aws:sts::${アカウントID}:assumed-role/${ロール名}/hogehoge is not authorized to perform: iam:PassRole on resource: arn:aws:iam::${アカウントID}:role/${タスク実行ロール名} because no identity-based p
はじめに AWSで環境構築・検証を行う上でほぼ必須となるIAMの基本的な知識について、個人的に色々と悩まされたので備忘録です。 初めてAWSやIAMを利用する方への参考になれば嬉しいです。 前編もあります。 IAMユーザとロールの違い(続) 前回のおさらい。 まず、IAMユーザは、「AWS内のリソースへのアクセス権を作業者(人、OSアカウント、AWS外の社内サーバなど)に付与する場合に使用する」という説明でした。 つまり、作業者AのIAMユーザに「"test"というVPC内のEC2インスタンスの起動・停止」のポリシーしか付与されていない場合、作業者Aはポリシー適用範囲外の作業 ("test"VPC外のEC2インスタンスへのアクセス、同VPC内のLambdaファンクションの実行など)を 行う事ができない、という事になります。 このことから、IAMユーザに割り当てられるポリシーは、粒度にもより
こんにちは。ジョン・ヒョンジェです! GitHub Actionsを利用して、ReactプロジェクトをAmazon S3に自動でデプロイしてみましたので共有します。 はじめに GitHub ActionsはGitHubリポジトリを基盤にWorkflowを自動化させることができるCI/CDのツールです。 GitHub ActionsでのWorkflowとは実行する作業とその作業を実行する条件や順序を定義したもので、YAMLに作成されます。GitHubのMarketPlaceで他の人が作成したWorkflowを使うことができ、独自のWorkflowを作成することもできます。 GitHub Actionsを使うとコードのビルド、テスト、デプロイという面倒な過程を自動化させることができるので、開発者の負担を減らすことができます。 では、実際にGitHub Actionsを使ってReactプロジェク
IAM データベースアクセス用の IAM ポリシーの作成と使用 - Amazon Relational Database Service
ユーザーまたはロールに DB インスタンスへの接続を許可するには、IAM ポリシーを作成する必要があります。その後、ポリシーをアクセス許可セットまたはロールにアタッチします。
AWS Identity and Access Management (IAM) により、AWS CloudTrail ログを表示するときに、IAM ロールによって実行される AWS アクションの担当者を簡単に特定できるようになりました。IAM ポリシーに新しいサービス固有の条件 sts:RoleSessionName を追加すると、IAM プリンシパル (ユーザーまたはロール) やアプリケーションが IAM ロールを引き受けるときに設定する必要があるロールセッション名を定義できます。AWS は、IAM ロールがアクションを実行するときに AWS CloudTrail ログにロールセッション名を追加するため、アクションを実行したユーザーを簡単に特定できます。 たとえば、製品の料金データを AWS アカウントの Amazon DynamoDB データベースに保存し、社内の別の AWS アカウ
Google Cloudを使った少人数のプロジェクトで、開発メンバーごとにサービスへのアクセス権限を管理するIAM設定についてまとめておきます。 「少人数のプロジェクト」と絞ったのはGoogle Cloud IAMのドキュメントを読むと設定のパターンが色々とあって混乱しやすいと感じたからです。「とりあえず小さく共同開発をはじめる」というケースに絞って紹介します。 より良い方法をご存知の方はコメントで指摘していただけるとありがたいです。 Google CloudのIAMの考え方 Google CloudのIAMについてまず知っておきたい3つの要素があります。 ※ かいつまんだ説明なので詳しくはIAMの仕組みをどうぞ。 メンバー: 誰に権限を付与するか。個人のGoogleアカウントや、Googleグループ、組織[1]など ロール: 何の権限を付与するか。「AppEngineの管理権限とLogs
【AWS IAM Identity Center 小ネタ】APIで作成したユーザーにメールでOTP(ワンタイムパスワード)を送るようにする | DevelopersIO
AWS IAM Identity Center のユーザー作成を、API(AWS CLIなど)を活用して 効率化したいケースがあると思います。 ただデフォルトの設定では、APIから作成されたユーザーは パスワードが設定されていないので、サインインできません。 これを解消するにはコンソールの [設定] > [認証] > [標準認証] > [E メールの OTP を送信] を有効化する必要があります。 Send email OTP for users created from API - AWS IAM Identity Center (successor to AWS Single Sign-On) …伝えたいことは以上ですが、これだけでは物足りないので 実際にその設定を有効化してみます。また、ユーザー作成時の挙動も確かめてみました。 設定の有効化 IAM Identity Center コ
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
こんにちは。ポインコと暮らしている高橋です。 兄がインスタをやっているのですが、今年中にフォロワー300が目標だそうです。 ということで、今回はIAMポリシーのタグ制御についての小ネタです。 リソースタグを使用したAWSリソースへのアクセス制御 ↑このAWSドキュメントにもありますが、リソースタグを使用してAWSリソースへのアクセス制御が可能です。以前、当社ブログでもご紹介しました。 http://blog.serverworks.co.jp/tech/2018/05/07/post-64216/ リソースっていうのは具体的に? と言うと、これは以下のドキュメントに記載されていました。 IAM と連携する AWS のサービス 「ポリシーの条件でリソースタグを使用して、サービス内のリソースへのアクセスを制御できます。これを行うには、aws:ResourceTag グローバル条件キー、または
やりたいこと GCSバケットを何も設定しないで作成すると、プロジェクトのOwner、Editor、ViewerはGCSバケットのオブジェクトを参照することができてします。 さらに、Organization 横断ユーザ(例: セキュリティ監査チームやGSuites管理者)などもアクセスできてしまいます。 たとえば、機密情報を管理するバケットを作る場合など、許可した特定のユーザーのみを、特定のバケットにアクセスを許可する方法を調べました。 結論 プロジェクトレベルのIAMで storage.objects.get の権限を付与しない プロジェクトレベルのIAMとはここで設定する権限のこと https://console.cloud.google.com/iam-admin/iam GCSバケットのアクセス制御は Uniform モードで作成する バケットの詳細ページでパーミッションを設定する
Amazon Web Services, Inc.
申し訳ございません。本ページからはご登録いただけません。下記より、本ハンズオンを含む最新のハンズオンコンテンツへアクセスいただけます。 ハンズオン一覧を見る:Hands on for Beginners トップページ AWSイベント一覧を見る:AWSイベントスケジュール “AWS Hands-on for Beginners - ハンズオンはじめの一歩” 編では、AWS アカウントの作成と IAM に関しての説明/ハンズオンを行います。「AWS をこれから利用していきたい!」という方とお話しする機会がよくあるのですが、最初の部分、つまりアカウント作成の部分で苦戦されている方がよくいらっしゃいます。このハンズオンを通して、スムーズにはじめの一歩を踏み出していただくのがこのハンズオンのひとつ目のゴールです。 また、AWS の各サービスやリソースへのアクセスを安全に管理するための AWS Ide
Amazon EKS Pod Identity simplifies IAM permissions for applications on Amazon EKS clusters | Amazon Web Services
AWS News Blog Amazon EKS Pod Identity simplifies IAM permissions for applications on Amazon EKS clusters Starting today, you can use Amazon EKS Pod Identity to simplify your applications that access AWS services. This enhancement provides you with a seamless and easy to configure experience that lets you define required IAM permissions for your applications in Amazon Elastic Kubernetes Service (Am
Offensive Terraform - Automated multi step offensive attack modules with Infrastructure as Code(IAC)
Techniques for writing least privilege IAM policies | Amazon Web Services
AWS Security Blog Techniques for writing least privilege IAM policies December 4, 2020: We’ve updated this post to use s3:CreateBucket to simplify the intro example, replaced figure 8 removing the IfExists reference, and clarified qualifier information in the example. In this post, I’m going to share two techniques I’ve used to write least privilege AWS Identity and Access Management (IAM) policie
AWS IAM のコントロールプレーンとデータプレーンに思いを馳せてみました #devio2022 | DevelopersIO
IAM コントロールプレーンで障害が起こった時、IAM データプレーンで障害が起こった時、それぞれでどんな影響が生じるかを想像してみると楽しいです。(起こらないのがいちばん) コンバンハ、千葉(幸)です。 弊社主催のオンラインイベントDevelopersIO 2022 で どこで動いてるの?AWS IAM のコントロールプレーンとデータプレーンに思いを馳せるというタイトルで発表を行いました。 「AWS IAM はよく使うけどその裏側の仕組みは考えたことない……」そんな方にちょっとだけ世界が豊かになる情報をお伝えする。がテーマのセッションです。AWS IAM のコントロールプレーン、そしてデータプレーンについて理解を深めることを目的としています。 発表に用いた資料、そのサマリ、動画をまとめてご紹介します。 登壇資料 内容のサマリ 全体のイメージ 発表の内容を一枚絵にまとめたものが以下です。
terraform で gcpのIAMを管理してみたときのメモ terraform with gcp GCP/AWS 用語対応表 AWSからterraformを触った人が多数派と思うので、用語の意味違いが結構な落とし穴です。なので整理しときます。 AWS GCP memo User Google アカウント GCPより広い世界 Group Google Group 同上 Role ServiceAccount 厳密には異なるがだいたい Policy Role つらい、嫌がらせか? PolicyAttachment IAM_member terraform上 該当なし? Policy terraform上? まずUserとGroupについて、GCPのIAMは認証機能は持たず、基本的に認可だけやります。認証は、GCPに閉じた世界ではなく、Gooleアカウント/Groupで行っています。Gmai
そのBoundary Policy適用しても大丈夫ですか? IAM Policy SimulatorでBoundary Policyのシミュレーションが可能になりました | DevelopersIO
先日のアップデートで IAM ポリシーシミュレーター で Permissions Boundary のシミュレーションが可能になりまし。 AWS IAM Policy Simulator で、アクセス許可境界ポリシーのシミュレーションが可能に なにが嬉しいのか Permissions Boundary は、IAM ユーザや IAM ロールに対して、通常の Permissions Policy に加えて、追加オプションとして設定することが可能です。Permissions Policy にて権限が与えられていても、Permissions Boundary で付与されていない権限を行使することはできなくなります。 アクセス権限管理について「ガードレール」というキーワードをよく耳にするかと思いますが、簡単に言うならば「ここまでなら自由にしていいけど、ここからは出たらアカン」という境界を作るというこ
Access Approval Approver roles/accessapproval.approver Ability to view or act on access approval requests and view configuration accessapproval.requests.*accessapproval.settings.getresourcemanager.projects.getresourcemanager.projects.list Access Approval Config Editor roles/accessapproval.configEditor Ability to update the Access Approval configuration
Cloud Billing IAM とは Cloud Billing IAMとは、Google Cloud Platform(GCP) の請求情報となる請求先アカウントに対する役割を制御します。 請求先アカウントにはクレジットカード情報等お支払い情報が設定されています。お支払い情報は、GCP の使用を始める際に設定する必要になります。 Cloud Billing IAMは、Cloud IAM の設定画面ではなく、お支払いの画面で設定します。(一部はCloud IAM で設定します。) コンシューマーが無料の@gmail.comからGCPを利用する場合は、特に意識することなく自分(ユーザー)がプロジェクトオーナーであり、請求先アカウント管理者となります。 G Suite や Google Cloud Identity を使って複数ユーザーを管理する場合、組織のアカウントの請求先アカウントを1
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
帽子をかぶって、スイッチロールをマスターしよう - サーバーワークスエンジニアブログ
AWS Lambda のアクセス許可を紐解く - KAYAC engineers' blog
Google Cloudの組織(Organization)を徹底解説 - G-gen Tech Blog
権限付与から見たAWSとGCPの違い - public note
IAMロールをEC2インスタンスに設定をしてみた | DevelopersIO
あなたが知らない(かもしれない)Google Cloud アクセス管理
GCPのIAMを使う上で理解しておくこと - Carpe Diem
GCP の Cloud IAM に登場する基本概念まとめ + AWS IAM との対応 - Qiita
IAMサービスにおけるアクセス権限の管理アクション早見表 | DevelopersIO
やさしいAssume Roleの設定(EC2のアクセス許可) | Oji-Cloud
IAMロールとAWSサービスロールの違いって何?(自分なりの理解) - Qiita
google_project_iam_binding は注意して使った方がよさそう
最小権限実現への4ステップアプローチ 後編 | Amazon Web Services
【入門】AWSのIAMと権限の考え方〜後編〜 - Qiita
GitHub ActionsでウェブサイトをAmazon S3にデプロイする | DevelopersIO
IAM ロールを使用して実行されたアクションを担当する ID を簡単に特定
【Google Cloud IAM】少人数チームでメンバーの権限を管理する
IAMのセキュアな利用 ココを押さえておけばOK
【IAMポリシー】タグで制御できるリソース & アクションとは - サーバーワークスエンジニアブログ
【GCP】特定のGCSバケットに特定のユーザーしかアクセスできないようにする
Offensive Terraform
terraform で gcp iam管理に入門してみる - 続 カッコの付け方
GCP Predefined Roles Finder - codehex.dev
Google Cloud Platform Cloud Billing IAM を軽く説明 - Qiita