IAM Identity Center のロールで発行される一時認証情報をaws-sso-go 経由で 1Password に入れて利用する - 継続は力なり
タダです. 以前の記事で 1Passowrd Shell Plugin を使って IAM アクセスキーとシークレットアクセスキーを保存して AWS CLI を使うのをやってみました.この記事では IAM Identicy Center(旧 AWS SSO) のロールで発行される一時認証情報を 1Password に入れたり更新ができたらローカルにクレデンシャルを残さずに使えてセキュアになるため,その検証を行ったのをまとめていきます. sadayoshi-tada.hatenablog.com IAM Identity Center のロールで発行される一時認証情報を保管する 保管したクレデンシャルを使って AWS CLI を実行する まとめ IAM Identity Center のロールで発行される一時認証情報を保管する IAM Identity Center と 1Password の
今回の課題 こんにちは植木和樹です。本日のお題は「現在運用しているFTP/SFTPサーバーをAmazon S3でリプレースしたい」です。 外部関係業者とのファイルのやりとりにFTP/SFTPサーバーを使っているケースは数多くあると思います。社内にあまったパソコンにLinuxをインストールしてFTPサーバーを自前で運用していることもあるかもしれません。しかしデータのバックアップやハードウェアの故障などで手を取られている担当者の方がいらっしゃるのではないでしょうか。 そんな時はAmazon S3。99.999999999% の堅牢性と、99.99% の可用性を提供するストレージサービスです。 しかしFTPは長い運用実績の歴史があるサービスです。FTPで求められる様々な運用ニーズにS3はどこまで応えられるでしょうか?今回はその点を検証してみました。 FTPに求められる要望 以下にいくつかの代表的
AWS Organizationsによるマルチアカウント戦略とその実装 - クラウドワークス エンジニアブログ
SREチームの @tmknom です。ジョジョ5部のアニメ化に興奮を隠せない今日このごろです。 みなさん、AWS Organizationsは使ってますか? クラウドワークスでも最近使い始めました。AWS Organizations、超絶便利です。こんなに便利なのに、意外と公開されてる事例が少なくて、ぐぬぬってなります。というわけで、使い始めたばかりですが、サクッと公開してみます。他の会社さんも、公開してくれ!! AWS Organizations マルチアカウント戦略 先行事例の調査 コンセプト策定 Terraform戦略 Terraformモジュールによる共通化 インフラテンプレート VPCのIPアドレス空間 メールアドレスの管理ポリシー OU(Organizational Unit)の責務 管理用AWSアカウントの責務 Masterアカウントによるアカウント管理 組織 OU(Orga
AWS + Azure ADによるSingle Sign-Onと複数AWSアカウント切り替えのしくみ作り - Cybozu Inside Out | サイボウズエンジニアのブログ
こんにちは、生産性向上チームの五十嵐(@ganta0087)です。 今回はAWSアカウントの管理についてのお話です。 AWSアカウントをみなさんの組織ではどのように管理されているでしょうか? シングルアカウントで運用していると、人やチームが増えて規模が大きくなってきたときに権限管理が中央集権的になり、管理者への負担が増大してしまいます。また、新規ユーザーの登録だけでなく、退職時の削除漏れにも注意が必要です。利用者側としても管理するパスワードが増えるのは避けたいです。 そこで、生産性向上チームではマルチアカウント構成によるシングルサインオン(以下SSO)とチームに委譲できる権限管理のしくみを作ることでこれらの問題を解決し、社内でAWSを活用しやすくなるようにしました。 サイボウズには社員のアカウント情報を管理しているActive Directory(Azure AD)があります。今回はそのA
セッションマネージャー越しにSSHアクセスする構成のメリットについて考えてみました。 なにそれ? 公式ドキュメントでいうと以下内容のことです。 Step 8: (Optional) Enable SSH connections through Session Manager もう少し詳しく まず、クライアントはセッションマネージャーを使ってアクセスしたいインスタンスにアクセスします。 もう少しこの部分を具体的に説明すると、クライアントがアクセスしているのはインスタンスではなく、SSM(Systems Manager)のエンドポイントです。 そして、アクセス先インスタンス内のSSM Agentがポーリングアクセスしていて、こちらを通じてアクセスしています。 そして、この接続の先で、SSH接続し直しているイメージになります。これが今回扱う「セッションマネージャー越しにSSHアクセス」です。 わ
CloudBees Blog
CloudBees BlogExploring the frontiers of product delivery and technology Discover the benefits of internal developer platforms and how they enhance productivity. Learn about critical criteria, best practices, and CloudBees' approach. Optimize your developer environment today! →
AWSのフルマネージド型サービスを使ったソフトウェアの開発でローカル開発端末からアクセスキーの漏洩を防ぐためのテスト方法 | DevelopersIO
AWSアクセスキーセキュリティ意識向上委員会って何? 昨今、AWSのアクセスキーを漏洩させてしまうことが原因でアカウントへの侵入を受け、 多額の利用費発生・情報漏洩疑いなど重大なセキュリティ事案が発生するケースが実際に多々起きています。 そこで、アクセスキー運用に関する安全向上の取組みをブログでご紹介する企画をはじめました。 アクセスキーを利用する場合は利用する上でのリスクを正しく理解し、 セキュリティ対策を事前に適用した上で適切にご利用ください。 本記事の想定読者 本記事ではフルマネージド型サービス=IAMを使ってアクセス制御を行うサービスと置き換えられます、これらを一切使わない開発(ALB, EC2, RDSのみなど)をしている方は対象外です 本記事はAWS上にソフトウェアを構築する開発者(主にバックエンドエンジニア)や開発環境を提供するプラットフォーマーを想定読者としています Typ
At the time of writing, this functionality exists but has yet to be announced or documented. It works, though! EDIT: Here is the functionality on the GitHub roadmap. GitHub Actions has new functionality that can vend OpenID Connect credentials to jobs running on the platform. This is very exciting for AWS account administrators as it means that CI/CD jobs no longer need any long-term secrets to be
【書評】IAMの管理・運用に関わる人なら必読!「AWS IAMのマニアックな話」レビュー | DevelopersIO
オペレーション部 江口です。 少し前の話になってしまいましたが、2019年9月に開かれた技術書典7で、「AWS IAMのマニアックな話」という書籍が頒布されました。私も参加して購入、読んでとても良い本だなあ、と思ったのですが、当ブログに書評は投稿していませんでした。 ところが最近、作者の佐々木拓郎氏のTwitterでこんなフリが。 ちなみにサンタさんのクリスマスプレゼントで、クラメソさんがIAMのマニアックな話の書評かいてくれないかなぁと期待しています — Takuro SASAKI@技術書典-1日目 (@dkfj) December 18, 2019 これには答えざるを得ない。 ということで、この書籍を購入したクラメソ社員として不肖私がレビューさせていただきます。 最初に端的に感想を書いておくと、IAMについて知りたい技術者にとってはまさに必読と言えるでしょう。「マニアックな話」というタ
【2024年】AWSアカウントの rootユーザーでしかできないことをまとめてみた | DevelopersIO
こんにちは!AWS事業本部のおつまみです。 みなさん、rootユーザーでしかできない操作を知りたいと思ったことはありますか?私はあります。 rootユーザーとは、AWSアカウントを作成した際に自動的に付与される最も権限の高いユーザーアカウントのことです。 rootユーザーには特別な権限があり、一般ユーザーアカウント(IAMユーザー)ではできない操作が可能です。 しかし、rootユーザーだと非常に強い権限を持っているので、基本的にAWSを利用する際はIAMユーザーを利用することがベストプラクティスとされています。 AWS アカウントのルートユーザーのベストプラクティス - AWS Identity and Access Management rootユーザーの認証情報が必要なタスクがある場合を除き、AWS アカウントのrootユーザーにはアクセスしないことを強くお勧めします。 また弊社AWS
モブセキュリティで話した内容です。 https://mob-security.connpass.com/event/209884/ 情報の倫理的な取り扱いをお願いします。
AWS(Amazon Web Services)は、AWS IAM(AWS Identity and Access Management)でWebAuthnに対応したことを発表しました。 AWS IAMは以前から多要素認証に対応しており、今回この多要素認証の要素の1つとしてWebAuthnが使えるようになりました。つまりパスワードを入力した上で、追加の認証を行う多要素認証にWebAuthnが加わったことになります。 (2022/6/8 12:45 追記:当初、WebAuthnでパスワードレスなログインが可能と表記しておりましたが、間違いでした。お詫びして訂正いたします。タイトルと本文の一部を変更しました) WebAuthnは、パスワードレス技術の標準化団体であるFIDO Alliance(ファイドアライアンス)が策定したFIDO2仕様の構成要素であるWeb認証技術のことです。 2019年3
Terraformのエッセンスが凝縮された「Pragmatic Terraform on AWS」が素晴らしい | DevelopersIO
「Terraform触りたい。触りたくない?」 クラスメソッドには、「CloudFormation派」と「Terraform派」があり、それぞれの派閥間には微妙な緊張感が漂っています。 自分は、ここ半年ほどずっぽりCloudFormationを使ってたんですが、Terraform派の「いやぁ、扱いやすいですよこれ」という言葉を聞くにつれ「まじか、どないなもんやねん?」と思ってました。 ただね、おっちゃんになると全くの未知の領域を学ぶのも腰が重くなる。「なんか良い本無いかなぁ」とグダグダしてたときに、「Pragmatic Terraform on AWS」という、もう、AWSど真ん中の自分にはこれしかないやろという本が技術書典で発売されたと知って、秒で購入しました。 最高でした。 Terraform入門本きたか…!! ( ゚д゚) ガタッ / ヾ __L| / ̄ ̄ ̄/_ \/ /
この記事は電通デジタルアドベントカレンダー2020の22日目の記事になります。前回の記事は「ADH APIを効率的に呼び出すために開発したHooksの紹介」でした。 改めましてこんにちは! Docker使ってますか? AWSでDockerを使おうと思うと以下の3つの選択肢があります。 ・Elastic Container Service ・Elastic Kubernetes Service ・EC2に構築する この中でもECSいいですよね、僕も好きです。運用に手間もかからなくて気軽に使えるところに好感もてます。さすがAWSのマネージドサービス。 ただし実際にECSで構築しようとすると周辺のリソースが色々と必要になるので初心者にとってハードルが高く見えるのも事実です。そんなわけで初心者にも使えるようなテンプレートを提供したいと思います。 このテンプレートでは最低限の機能しか提供しません。何
ども、大瀧です。 データベースやクラウドストレージにアクセスするために、DockerコンテナでパスワードやAPIトークンキーなどのいわゆるクレデンシャル(資格)情報を扱うことがあります。これらの情報の扱い方についていくつかパターンを挙げ、考察してみたいと思います。 TL;DR(要点) DockerイメージやDockerfileに埋め込むのはアンチパターン コンテナ実行時に環境変数で渡すのがメジャー。しかしクレデンシャル管理が不要になるわけではない コンテナ実行時に外部から動的取得するのがおすすめ。クラウドのメタデータサーバーの利用がお手軽 クレデンシャル情報とは クレデンシャルは、コンテナから外部のデータソースにアクセスするための資格情報を指します。典型的なクレデンシャルとして以下があります。 DBユーザー名とDBパスワード : dbuser/dbpass WebサービスにアクセスするAP
【AWS】CloudFormationの作成ノウハウをまとめた社内向け資料を公開してみる | DevelopersIO
はじめに こんにちは植木和樹です。5月にクラスメソッドに入社してから毎日CloudFormationと戯れる日々を過ごして来ました。クラスメソッドのAWSエンジニアにとってCloudFormationが必須技術になりつつあるので、これまでに溜め込んだノウハウ社内向け資料としてまとめてみました。せっかくなのでこれからCloudFormationを始める方向けに公開してみようと思います。 スタックに関するノウハウ スタック内リソースの「破棄」タイミングを合わせる CloudFormationというとEC2やRDSをバッチ的に「構築」する機能に着目しがちです。しかし当然のことながら一度作ったスタックをDELETEすることもあります。その際に削除して欲しくないリソースもまとめて消されてしまうことを想定しておきましょう。 たとえばEC2を作成したスタックの中に、EIP(グローバルIP)が含まれていた
実際のAWS構成をインポートして3D構成図が描けるCloudcraft Liveがスゴい | DevelopersIO
ども、大瀧です。 以前森永がご紹介した、AWSのかっこいい構成図が簡単に描けるCloudcraftに実際のAWS構成をインポートする「Cloudcraft Live」が追加されました! Cloudcraft Liveとは Cloudcraftは、以下のようなAWSの3D構成図を気軽にモデリングできる素敵Webアプリです。 十分楽しめるツールなのですが、既存のAWS環境に合わせて一つずつ設定していくのは規模が大きくなってくると辛いものがありました。公開され、現在ベータリリースとなっている今回のCloudcraft Liveは、AWSアカウントのReadOnlyロールをCloudcraftに渡すことで、実際のAWS環境の構成をインポートし自動でコンポーネントの登録やそれらの情報を表示する機能を持ちます。例えば、以下のEC2のように。 お遊び感覚だったこれまでのCloudcraftから、一気に実
AWS ネットワーク入門編を公開しました!- Monthly AWS Hands-on for Beginners 2020年6月号 | Amazon Web Services
Amazon Web Services ブログ AWS ネットワーク入門編を公開しました!- Monthly AWS Hands-on for Beginners 2020年6月号 こんにちは、テクニカルソリューションアーキテクトの金澤 (@ketancho) です。さて、6月も最終週、つまり今年も半分が終わろうとしています。みなさん年始に立てた目標は順調ですか?「AWS を使えるようになる!」「AWS の資格を取る!!」などの目標を立てられている方に向けて、今後もオンデマンド形式で手を動かせるハンズオンコンテンツを拡充していければと思っています。ぜひご活用いただければ幸いです。(なお、私がプライベートで立てた年間目標は未達が濃厚です。) さて、この記事では先日公開した AWS ネットワーク入門ハンズオンの紹介と、上半期に多くの方に受けていただいた AWS Hands-on for Beg
今日はユーザが意識することなく、接続元 IP アドレスによって IAM 権限を「管理者権限」「参照権限」に切り替える方法を紹介したいと思います。やりたいことを絵にすると、以下のとおりです。 例えば、オフィスやセキュリティエリア内など特定の IP アドレスからアクセスしている場合は、「管理者権限」として利用でき、自宅などパブリックアクセスの場合には「参照権限」のみに権限が変わる想定です。 今回は IAM 管理アカウントでのみ IAM ユーザを発行し、AWS リソースのあるアカウントにはスイッチロールでログインする想定で検証していますが、スイッチロールしない環境でも同じことは出来るかと思います。 IAM ユーザー準備(スイッチ元 AWS アカウント側) IAM 管理アカウントに IAM ユーザを作成します。AWS コンソールにはこのアカウントの IAM ユーザでログインし、各環境にスイッチロー
AWS IAM ベストプラクティスのご紹介 – AWSアカウントの不正利用を防ぐために | Amazon Web Services
Amazon Web Services ブログ AWS IAM ベストプラクティスのご紹介 – AWSアカウントの不正利用を防ぐために みなさん、こんにちわ。 アマゾン ウェブ サービス ジャパン株式会社、プロダクトマーケティング エバンジェリストの亀田です。 今日は皆さんが普段ご利用のAWSアカウントに対する不正アクセスを防ぐベストプラクティスと言われる運用におけるガイドラインや設定項目の推奨等についてご紹介します。 AWS Identity and Access Management (IAM) は、AWS リソースへのアクセスを安全に制御するためのウェブサービスであり、AWSマネージメントコンソールへのログインに用いるユーザーやAWSリソースへのアクセスに用いるAPIアクセスのキーの管理等に使用されます。マネージメントコンソールへのログインを行う管理用ユーザーを発行する機能が含まれる
AWS 多段スイッチロール(ロールの連鎖) でマネジメントコンソールへログイン - vague memory
年の瀬の awsume-console-plugin との出会いです。 馴れ初め 結論 検証 スイッチロール マルチアカウントでの認証 パターン1: Sign-in ユーザにスイッチ許可 マネジメントコンソール上での Switch role 後の Switch role パターン2: Roleにスイッチ許可 パターン3: ロールの連鎖 Awsume Console Plugin インストール Sign-in URLの発行 例:パターン2 の Role(a) 例:パターン3 の Role(a) Sign-in 前には Sign out が必要 馴れ初め 🤷:多段スイッチロールだとマネジメントコンソール使えなくなりますね 👼:awsume でできるんじゃない 🤷:マネジメントコンソールの仕様上できないっぽいですけど ... 🤷:できた 結論 AWSume のプラグイン awsume-c
こんにちは、LayerX で主にインフラを担当している高江です。 今回は、一見地味ではありますが実はとても役に立つ機能である Terraform import についてお話したいと思います。 Terraform import とは 公式サイトでは次のように説明されています。 Terraform is able to import existing infrastructure. This allows you take resources you've created by some other means and bring it under Terraform management. 要するに、AWS 等のサービスプロバイダー上に既に存在する、Terraform 管理されていないリソースの情報を取得して Terraform 管理下に置く(tfstate ファイルに import する)
スタートアップにおけるマルチアカウントの考え方と AWS Control Tower のすゝめ | Amazon Web Services
AWS Startup ブログ スタートアップにおけるマルチアカウントの考え方と AWS Control Tower のすゝめ こんにちは、スタートアップ ソリューションアーキテクトの松田 (@mats16k) です。 今回のテーマはマルチアカウント(複数の AWS アカウントの利用)です。近年セキュリティやガバナンスの強化を目的にマルチアカウント構成で AWS を利用されているお客様が多くいらっしゃいます。また、AWS もマルチアカウントでの運用を推奨しており、関連する多くのサービスや機能がリリースされています。 一方で、マルチアカウントに関する作業や知見はプロダクトの価値向上に対して直接的な影響を与えることが少なく、結果として対応や検討が後回しになっているスタートアップも多いのではないでしょうか。今回は特にシード・アーリーステージのスタートアップ向けに、マルチアカウントに対する考え方と
ごあいさつ はじめましての人ははじめまして、こんにちは!BASE BANK Divisionのフロントエンドエンジニアのがっちゃん( @gatchan0807 )です。 今回は、ここ数ヶ月の間にOIDC(OpenID Connect)という技術を使った開発を複数行い、この技術の概観を理解することができたので、OIDCの技術概要に触れつつBASE BANKの中でどのように使ったのかをご紹介しようと思います。 OIDCとは何なのか このパートでは、まずOIDCという技術について概要を紹介します。いくつかのWebページに記載されていた内容を参考にしてまとめさせて頂いているので、記事の最後に参照元のリンクを記載しておきます。 また、OIDCをはじめとした認証・認可の仕組みには様々な用語があり、自分自身も「調べれば調べるほど知らない用語が増えて、どんどんわからなくなってきた…」という経験をしたので、
データエンジニア / Analytics Engineer向けの権限管理のためのTerraform紹介 - yasuhisa's blog
これは何? 背景: 権限管理とTerraform 権限管理の対象 誰に権限を付与するのか どのスコープで権限を付与するのか どの強さで権限を付与するのか Terraformについて Terraformの概要: 権限管理でTerraformを使うと何がうれしいのか 例: roles/bigquery.jobUserを付与してみる コラム: どこでTerraformを実行するか Terraformでの権限管理の例 例: データセットの作成 例: データセットに対する権限付与 サービスアカウントの管理 iam_member関連の注意点: AdditiveとAuthorativeを意識する Terraformで管理されていなかったリソースをTerraform管理下に置く: terraform import Terraformの登場人物 terraform planやterraform applyの
よく訓練されたアップル信者、都元です。AWSにはIAMという権限管理のサービスがあります。AWSを専門としている我々にとっては当たり前の知識なのですが、皆さんはこの機能を上手く使えているでしょうか。 AWSにおけるクレデンシャルとプリンシパル まず、AWSにおけるクレデンシャルは大きく2種類 *1に分かれます。 Sign-In Credential:Management Consoleログインのためのクレデンシャル(要するにパスワード) Access Credentials:APIアクセスのためのクレデンシャル(要するにAPIキー) また、プリンシパル(ログインする主体、ユーザ名等)にも大きく2種類 *2があります。 AWSアカウント IAMユーザ これらの組み合わせとして「AWSアカウントのパスワード」「AWSアカウントのAPIキー」「IAMユーザのパスワード」「IAMユーザのAPIキー
AWSで目指した理想のCI/CDを別視点で考察してみる(データ保護観点) - How elegant the tech world is...!
はじめに 前回のブログでは、マルチアカウントにおけるIAMユーザーの設計戦略についてご紹介しました。 今回は少しテーマを変え、以前筆者がJAWS DAYS 2020で登壇させていただいたCI/CDの内容を基に、データ保護の観点からの設計~実装を取り上げたいと思います。 ※少々お硬い内容を含みますが、AWS CI/CDセキュリティを考える上で一つのポイントになるはずなので、ご興味をお持ちの方は是非お付き合いください。m(_ _)m 前回ご紹介したCI/CD内容のおさらい JAWSDAYS2020にて「金融サービス向けに理想のCI/CDを追い求めたお話」というタイトルで、筆者が担当するサービスのCI/CD設計をご紹介いたしました。 ここで、「理想」という点についてもう一度振り返ると、それは「CI/CD導入により期待すること」と、「業務特性として守らなければならないこと」の両立でした。 高アジリ
君のセキュリティはデプロイするまでもなく間違っている #CICD2021 / CICD Conference 2021
CI/CD Conference 2021 で使用したスライドです。 S3 オブジェクトを不必要に公開してしまったり、あるいは遮断されるべきネットワークが繋がってしまったりといったセキュリティ上の設定ミスは、可能な限り避けたいものです。 このようなインフラ層に対するテストを従来の CI/CD の一部として組み込む場合、「個別の設定項目が条件を満たすことを確認する」または「実際にデプロイした環境に対してアクセスしてみる」といった形でテストを行うことが一般的でしょう。 しかしセキュリティ設定には、「複数の設定項目が絡み合った結果、最終的なアクセス可否が定まる」かつ「実際にデプロイする前に影響範囲を知りたい」といった要求があり、上にあげたテストの形式とはあまり相性が良くないのが事実です。 この問題に対して有効な手法の一つが Automated Reasoning です。Automated Rea
IAM でのセキュリティのベストプラクティス - AWS Identity and Access Management
AWS Identity and Access Management ベストプラクティスは 2022 年 7 月 14 日に更新されました。 AWS のリソースを保護するには、AWS Identity and Access Management (IAM) を使用する際の以下のベストプラクティスに従ってください。 人間のユーザーが一時的な認証情報を使用して AWS にアクセスする場合に ID プロバイダーとのフェデレーションを使用することを必須とする 人間のユーザーとは、別名人間 ID と呼ばれ、人、管理者、デベロッパー、オペレーター、およびアプリケーションのコンシューマーを指します。人間のユーザーは AWS の環境とアプリケーションにアクセスするための ID を持っている必要があります。組織のメンバーである人間のユーザーは、ワークフォースアイデンティティとも呼ばれます。人間のユーザーには
GitHub ActionsからAWS APIへアクセスキーなしでリクエストする仕組みをTerraformで構築する - BOOK☆WALKER inside
こんにちは。 メディアサービス開発部バックエンド開発グループのフサギコ(髙﨑)です。 Ruby on Railsによるバックエンドの実装運用と、AWSによるサービスインフラの設計構築を中心とした、いわゆるテックリードのような立ち位置で働いています。 本記事では、GitHub ActionsとAWS IAMをOpenID Connectを使って連携させ、AWSのAPIをアクセスキーなしで操作する利点と、その仕組みをTerraformで構築する手順についてお話します。 訂正とお詫び(2022/3/22) GitHub Actionsのワークフローを作成するの項において、ワークフロー単位のpermissionsとジョブ単位のpermissionsの関係について正しくない記述がありましたので訂正しました。 正しくない内容を記述してしまったことについて訂正してお詫びします。 GitHub Actio
Announcement: ELB stickiness updates to support Feb 2020 Chromium CORs changes
You have been redirected here because the page you are trying to access has been archived. AWS re:Post is a cloud knowledge service launched at re:Invent 2021. We've migrated selected questions and answers from Forums to AWS re:Post. The thread you are trying to access has outdated guidance, hence we have archived it. If you would like up-to-date guidance, then share your question via AWS re:Post.
技術書典7で頒布したAWS本です。 ■ 本書の目的 本書はIAMの機能に絞って解説するという機能特化本です。 筆者は今まで、商業誌で「AWSの基本機能」、「サーバレス」、「業務システム」、「試験対策」をテーマに4冊のAWS本を書きました。 テーマに沿って必要な機能を紹介していくというスタイルだったのですが、今回は逆に機能を元に解説するというスタイルに挑戦しています。 それでなぜ、IAMなのでしょうか?AWSが不正利用されて100万円の請求が来たというようなニュースを、ネットで時々目にする事があります。原因の多くがIAMのアクセスキーをGitHubに誤ってコミットしてしまい、そのキーを不正利用されたケースです。そういった事態を防ぐために正しくIAMを知って貰いたいのです。 IAMは、AWSの利用権限を管理する極めて重要な機能です。AWSには多種多様な機能があり、IAMはそれに応じて様々な記述
> ykman oath accounts add -t arn:aws:iam::${ACCOUNT_ID}:mfa/${MFA_DEVICE_NAME}
概要 初期設定で有効化するサービス 更新履歴 ID管理 / 権限管理 (有料)CloudTrailの有効化 ルートアカウントのMFA設定 パスワードポリシーの設定 IAM User / IAM Groupの作成 IAM グループの作成 IAM ユーザの作成 MFA の有効化 (有料)GuardDutyの有効化 全リージョンで有効化する場合 (有料)AWS Config の有効化 (有料)Security Hubの有効化 請求 IAM Userによる請求情報へのアクセス許可 支払通貨の変更 Budget の設定 Cost Explorerの有効化 Cost Usage Report の出力 コスト配分タグの設定 その他 代替連絡先の設定 Trusted Advisorの通知設定 Personal Health Dashboard によるイベント監視 有効なリージョンの確認 【追加】準拠法/管
こんにちは。 秋田県出身の丹(たん)です。 JAWS FESTA 2023 KYUSHU の盛り上がりにやる気をもらって本記事を書き始めました!(書き始めて既に2週間経過しました・・)オフラインイベントに参加したい今日この頃です。 JAWS FESTA当日は、家族行事で東北にいたため当然現地参加できていませんが、X(旧Twitter)から雰囲気だけ楽しんでいました。 JAWS FESTAとは、地方で地方のJAWS-UG支部が主催で開催するカンファレンスで、2019年札幌開催後4年ぶりとなります。 NRIネットコムも企業サポーターとして応援しています。 Supporters | JAWS FESTA 2023 KYUSHU cloud.nri-net.com さて、本題に入っていきましょう。 今回は、AWSマルチアカウント管理においてAWSアカウントを分ける観点を中心に、利用規模に応じてAW
[速報] IAMのMFA(多要素認証)でPasskeyが利用できるようになりました #AWSreInforce | DevelopersIO
あしざわです。 現在開催されているAWS re:Inforce 2024 のKeynote にて、AWS IAMのrootユーザーおよびIAMユーザーのMFA(多要素認証)としてPasskeyのサポートが発表されました。 AWS What's newブログ、AWS Blogの両方で発表されています。 概要 本アップデートによって、AWSのrootユーザー、IAMユーザーのMFAデバイスとしてPasskeyが利用できるようになります! AWS側で発行したPasskeyをGoogleアカウントや1passwordなどのクラウドサービスに登録することで、MFA認証としてPasskeyを利用してAWSアカウントにログインできるようになります。 AWS Blogに以下のように記載があるため、初回のリリース時はPasskey+パスワード認証のみでパスワードの利用は必須であるようです。今後のリリースでP
![[速報] IAMのMFA(多要素認証)でPasskeyが利用できるようになりました #AWSreInforce | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/3943ff4d5aff421cb4c2e42ad253a590a12c7bdf/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2024%2F06%2FIMG_3975-2.jpg)
昨日の完成したぞエントリーに続き、『AWSの薄い本 アカウントセキュリティのベーシック』関連のエントリーです。 私は今まで、あまりセキュリティって好きな分野では無かったです。もちろん必要性は解っていて、その対策等をいろいろ考えてはいたのですが、どこか自分の仕事じゃないなぁと思っていた部分があります。今回、AWSのアカウントセキュリティ本を書いて、ようやく腑に落ちました。それをまとめたのが、次のツィートです。 AWSのアカウントセキュリティ本書き終わって、今までセキュリティとか、その周辺の事項が好きじゃなかった。その理由が、ようやく確信に近いものを得た。あの領域の多くが、人間ではなくてコンピュータにやらした方が向いている。今まで解ってなかった— Takuro SASAKI@技術書典-1日目 (@dkfj) 2020年3月23日 24時間365日での自動攻撃。では、防御は? 攻撃者が24時間3
アプリのインストール 電話番号とEmailを登録 電話番号とEmailを登録します。 認証 続いて認証 今回はSMSを選択しました。 登録した電話番号宛にpinコードが送られるので認証します。 プラスボタンを押して次へ進みます。 バックアップ設定 Authyは2段階認証のデータを暗号化してコピーしておいてくれるので携帯電話をなくしたり、壊したりしてもバックアップパスワードさえ覚えておけば復元がきるようですのでバックアップパスワードの設定をします。 バックアップパスワードを入力します。 再度入力します。 Scan QR Code あとはGoogle Authenticatorなどと同じようにQRコードを読み込んで使用します。 QRコードを読み込むとアカウントネームの編集やロゴの選択ができます。 ロゴはこんなにたくさん用意されています。 今回はAWSのロゴを選択してみました。 MFAコードが表
【全世界待望】Public AccessのRDSへIAM認証(+ SSL)で安全にLambda Pythonから接続する – サーバーワークスエンジニアブログ
こんにちは。てるい@さっぽろです。 先日、Serverlessおじさん担当なるものに任命されました。かねてからトイレIoTの元祖として名を馳せ、イケてるIoT事例を連発しているIoTお兄さん担当に負けないよう頑張っていきたいと思います。 さて、先日(2017.04.25)に全世界待望のRDSへのIAM認証(IAM Database Authentication)がリリースされました。リリース時にはSDKのIAM認証を行うための署名を作る機能が後追いとなっており試すに試せない状況でしたが、今朝(2017.04.27)ついにIAM認証に対応した新バージョンのSDKがリリースされたので、さっそく検証してみようと思います。 全世界待望? 「LambdaからRDSに繋ぎたいと思ったことはありませんか?」 全世界はかなり言い過ぎですが、ある程度の規模の開発をServerless(API Gateway
AWS環境をセキュアにセットアップする方法と、その運用方法を詳細に紹介します。秘伝のタレである具体的な設定も書いてます。みんな真似していいよ! こんにちは、臼田です。 みなさん、安全にAWS使えていますか?(挨拶 今日は全てのAWSユーザーが安全にAWSを活用し、セキュアに運用できるようにナレッジを大量にダンプしたいと思います。 弊社サービスに関連させて書く部分もありますが、基本的にどのようなAWS環境でも適用できると思います。 ちょっと長い背景 クラスメソッドでは長いこと様々なAWSを利用するお客様を支援しています。私は特にセキュリティ周りについて支援させていただくことが多く、最近はAWSのセキュリティサービスが充実していることから、これらの初期導入や運用設計、あるいはインシデント対応やその後の組織としてのセキュリティ体制づくりなどいろんな関わり方をしてきました。 どのようにセキュリティ
![[安全なAWSセキュリティ運用ナレッジ2022]セキュアアカウントの使い方 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/75550513d830c21b153b85859fb4fdabd295d23d/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F08%2Fsecurity-identity_Compliance.png)
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【AWS】Amazon S3をFTP/SFTPサーバーのように使ってみた | DevelopersIO
セッションマネージャー越しにSSHアクセスすると何が嬉しいのか | DevelopersIO
AWS federation comes to GitHub Actions
"ざっくり"話す"AWS IAM"の特権昇格の考え方と対策
AWS IAMがWebAuthnに対応。多要素認証の要素として利用可能に(記事訂正)
ECS Fargate 楽々構築テンプレート|Dentsu Digital Tech Blog
Dockerコンテナのクレデンシャル設計パターン | DevelopersIO
接続元 IP アドレスに基づいて IAM 権限を変更をしたい | DevelopersIO
Terraform import のススメ 〜開発効率化編〜 - LayerX エンジニアブログ
OIDCって何なんだー?から、実際に使うまで - BASEプロダクトチームブログ
IAMによるAWS権限管理運用ベストプラクティス (1) | DevelopersIO
AWSの薄い本 IAMのマニアックな話 - 佐々木拓郎のオンライン本屋 - BOOTH
YubiKeyでCLI環境でのAWS MFA認証を楽にする
AWS アカウントの初期設定 - それ積んどく?
AWSマルチアカウント管理の考え方~利用規模に応じたAWSアカウント分割編~ - NRIネットコムBlog
AWSのアカウントセキュリティ本を書いて気がついた、これからのセキュリティ対策 - プログラマでありたい
2段階認証はAuthyが便利 | DevelopersIO
[安全なAWSセキュリティ運用ナレッジ2022]セキュアアカウントの使い方 | DevelopersIO