特定の IAM ロールのみアクセスできる S3 バケットを実装する際に検討したあれこれ | DevelopersIO
今回は S3 バケットへのアクセスを特定 IAM ロールからのみに限定して利用する機会がありましたので、設定方法と検討したあれこれをご紹介します。 やりたいこと 構成図はこんな感じ 前提条件 IAM ロールと S3 バケットは同一アカウントに存在する IAM ロールには S3 を管理する権限がアタッチされている 今回は AmazonS3FullAccess ポリシーをアタッチしています NotPrincipal でやってみる 「特定 IAM ロール以外は制限する」という考え方でパッと思いつくのは、以下のような NotPrincipal で制限する方法かと思います。 バケットポリシー { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "NotPrincipal": { "AWS": "arn:aws:iam::xxxx
AWS Advanced JDBC WrapperによるAurora Postgresの高速フェイルオーバー - エムスリーテックブログ
【 デジスマチーム ブログリレー1日目】 こんにちは。 デジスマチームの山本です。 クリニック向けDXサービスであるデジスマ診療のWeb フロントエンド・バックエンド・インフラを担当しています。 今回は先日AWSから発表されたaws-advanced-jdbc-wrapperについて紹介します。 はじめに AWS Advanced JDBC Wrapper 提供Plugin フェイルオーバーとは これまでのフェイルオーバー対策 AWS Advanced JDBC Wrapperを利用した場合のフェイルオーバー対策 Failover Connection Plugin Host Monitoring Connection Plugin 導入方法 Gradle(Kotlin)での依存先の追加 Spring Boot + HikariCPでの設定例 実際に動かしてみた 何も設定しない場合 設定後
amazon S3 のアクセス制御をIAMポリシーで行うメモ - teketeke_55の日記
IAMのポリシー作成機能を使用してS3をアクセス制御する S3だけフルアクセスできる { "Statement": [ { "Effect": "Allow", "Action": "s3:*", "Resource": "*" } ] } 機能を絞る場合 { "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": "*" } ] } S3の特定のバケットのみフルアクセス(バケットとその中身のリストは表示される) { "Statement": [ { "Action": [ "s3:ListAllMyBuckets" #ここがないとmanagement consoleからバケット全体が見えなくなってしまう。 ], "Effect": "Allow", "Resource":
AWS IAM のコントロールプレーンはバージニア北部リージョンにのみ存在しその設定内容は各リージョンのデータプレーンに伝播される | DevelopersIO
AWS ドキュメントに IAM コントロールプレーンとデータプレーンの記述が増えた コンバンハ、千葉(幸)です。 ひとまず以下の絵を 90 秒くらい眺めてください。 眺めましたか? まだ 30 秒も経ってなくないですか?せっかくなのでもうちょっと見てください。 ……眺めましたね? 以上でこのエントリの内容は概ね終わりです。読んでいただきありがとうございました。 ちょっとだけ残りが続きます。 IAM レジリエンスのドキュメントに記述が増えてた AWS IAM のレジリエンス(復元力、耐障害性)に関する記述は以下ドキュメントにあります。 Resilience in AWS Identity and Access Management - AWS Identity and Access Management 上記のページは 2022/5/16 に更新されており、その段階で追記された内容は以下エン
GCP を利用したセキュリティ要件対応 : VPC Service Controls を試してみた (その 1 : 概念の確認)
TLDR「BigQuery IP 制限」でこの記事にたどり着いた方、この記事はあなたのための記事です :)VPC Service Controls を利用することで、 BigQuery や GCS に対する IP 制限だけでなく、データエクスポートの制限なども含めた統合的なセキュリティを、簡単に実装できますこの記事は Part 3 あるうちの Part 1 です (Part 2, Part 3) オンプレミスとの混在環境や、すでにあるオンプレを前提としたセキュリティポリシー、あるいはコンプライアンスなどに対応する際には様々なセキュリティ要件が存在すると思います。 そのような対応に Google Cloud Platform (GCP) 上で利用できる機能の一つが VPC Service Controls (以下、VPC SC)です。VPC SC は 2019 年 1 月 21 日現在、GC
こんにちは、株式会社スマートラウンドSREの@shonansurvivorsです。 私は今年5月に1人目のSREとしてこの会社に入社し、既に半年以上が経過しました。 2022年も終わりが近づいて来た中、この場を借りて、スタートアップの1人目SREとして、今年やってきたことを記録として残したいと思います。 なお、本記事で取り扱う内容はSREの理論や原理原則に沿って各種プラクティスを実践したこと、というよりは、セキュリティ、モニタリング、IaC、コスト、パフォーマンス、運用、開発効率などなど、いまこの組織で取り組むことでプロダクトと事業に貢献できるのではないか?と私なりに判断してきたこととなります。 そのため、Site Reliability Engineeringに関して学びのある記事にはなっていないと思いますし、また概ね時系列順に近い形で実施事項を羅列していきますので(述べ方が長たらしいと
矢口です。 みなさんはAWSのIAMをどのように管理されていますか? グリーでは色々な要件からMiamというツールをforkして Subiam というツールを開発し利用しはじめました。 Subiamは既存のAWSアカウントのIAM運用を阻害せずにコードベースで安全なIAM管理を始めることのできるツールです。 https://github.com/gree/subiam 特徴 コードでIAMを管理できる 差分を自動検出して適用 IAM全体ではなく任意の範囲だけを切り取って管理でき、システム全体に影響を与えないよう配慮されている dryrunできる 現在の状態をユーザーが管理し保存しておく必要がない 複数AWSアカウントで扱いやすいようRole Nameなどを自分で定義でき共通にできる 既存ツールとの比較 ツールの優劣を示すものではなく、自分たちに必要であった要件についてのみ比較しています。
渡辺です。 AWS CLIやAWS SDKを利用すれば、AWSでリソースを自由に操作できます。 この時、認証情報(クレデンシャル)が必要ですが、適切に扱わなければなりません。 特にアクセスキーの扱いは慎重に行い、可能な限りアクセスキーを利用しないことが大切です。 AWS SDK fo Goでのクレデンシャルの扱いについてまとめました。 AWS SDK for Goを使う流れ はじめにAWS SDK for Goでのサービス利用手順について確認します。 例えば、EC2サービスを利用するには次のようなコードです。 sess := session.Must(session.NewSession()) svc := ec2.New( sess, aws.NewConfig().WithRegion("ap-northeast-1"), ) fmt.Println(svc.DescribeInsta
はじめに 2023年、最初のブログはAWSセキュリティについて書きます。 MITRE ATT&CK(マイターアタック)という素晴らしいフレームワークには、非常に多くのナレッジが蓄積・公開されています。 パブリッククラウドサービスについても、各種クラウドごとにも纏められています。 さまざまな活用方法があるとは思いますが、自分なりの使い方の一つを共有しておきたいと思います。 今回、紹介するのは、インシデント発生後の再発防止についてです。 手順の概要 インシデント発生後、再発防止策の検討の際には、攻撃内容をもとにセキュリティホールを埋める対応を行いますが、多くの場合、担当者の知識ベースで考察します。 経験のあるエンジニアの場合、当初漏れてしまっていた対策も、この再発防止策を検討する際に気付けることが多いのですが、ここでMITRE ATT&CKと照らし合わせることで、攻撃者視点でのプロセスごとでの
Amazon Web Services ブログ AWS データストア内の機密データを保護するためのベストプラクティス クラウド内の機密データを保護するための効果的な戦略を立てるには、一般的なデータセキュリティパターンをよく理解し、これらのパターンを明確にマッピングしてクラウドセキュリティコントロールに活かすことが必要です。その後、これらのコントロールを Amazon Relational Database Service (Amazon RDS) や Amazon DynamoDB などのデータストアに固有の実装レベルの詳細に適用できます。 このブログ記事では、データを保護する一般的なデータセキュリティパターンとそれに対応する AWS セキュリティコントロールに焦点を当てます。この記事では Amazon RDS と DynamoDB について説明しますが、Amazon RDS と Dyna
Kubernetes サービスアカウントに対するきめ細やかな IAM ロール割り当ての紹介 | Amazon Web Services
Amazon Web Services ブログ Kubernetes サービスアカウントに対するきめ細やかな IAM ロール割り当ての紹介 本投稿は Micah Hausler と Michael Hausenblas による記事を翻訳したものです AWS ではお客様のニーズに最優先にフォーカスしています。Amazon EKS におけるアクセス権制御に関して、みなさまは「パブリックコンテナロードマップ」の Issue #23 にて EKS でのきめ細かい IAM ロールの利用方法 を求められていました。このニーズに応えるため、コミュニティでは kube2iam、kiam や Zalando’s IAM controller といったいくつかのオープンソースソリューションが登場しました。これらのソリューションは素晴らしいプロダクトであるだけでなく、それぞれのアプローチの要件及び制約は何なのか
GitHub - iann0036/iamlive: Generate an IAM policy from AWS, Azure, or Google Cloud (GCP) calls using client-side monitoring (CSM) or embedded proxy
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
こんにちは、上野です。 みなさん、AWSアカウントの初期セットアップはどうやっていますでしょうか。私も以下のような記事を書きましたが、いざすべてのAWSアカウントで毎回やるとなると大変ですよね。 tech.nri-net.com AWS Cloud Development Kit (CDK) を使用してAWSアカウントの初期セットアップができるBaseline Environment on AWS(BLEA) を使ってみたのでその紹介となります。 BLEAとは? シングルアカウントでセットアップする Chatbotの準備 認証情報の準備 初期設定 デプロイ 作成されたリソースの動作確認 カスタマイズしてみる 通知するConfigルールを増やす エントリポイントの修正 まとめ BLEAとは? 以下GitHubより Baseline Environment on AWS(BLEA) は 単独の
コンテキスト あなたが開発しているサービスはユーザー向けにAPIを提供している。そして、APIを利用するにはユーザーは短寿命の認可情報(たとえばOAuth2トークン)を提示しなければならない。 ユーザーは認可情報が紐付いているアカウントの権限でリソースを読み取ったり、作成したり、所有したり、編集または削除したりする。 ここで、ユーザーは人間(が操作するユーザーエージェント)であることもあるが、人間の手を離れてバックグラウンドで自動実行されるプログラムかもしれない。 また、あなたは悪用目的でアカウントが大量登録されるのを防ぐためにCaptchaを利用したいと思っている。 さらに、課金目的で請求書送付先を登録させたいとも思っているかもしれない。 問題 プログラムが利用するアカウントを安全に管理するのがユーザーにとって困難である。 プログラムは自分でCaptchaを解いたりEメールを受け取るのが
はじめに AWS のセキュリティブログにクラウドのアカウントを守るためのヒントが紹介されていたのでメモとしてまとめておきます。 aws.amazon.com はじめに 10 個のセキュリティアドバイス Accurate account info Use MFA No hard-coding secrets Limit security groups Intentional data policies Centralize AWS CloudTrail logs Validate IAM roles Take action on GuardDuty fidings Rotate your keys Being involved in dev cycle おわりに 10 個のセキュリティアドバイス AWS re:Invent 2019 では AWS の最高情報セキュリティ責任者である Step
AWS CLIがAssumeRoleによる自動クレデンシャル取得とMFAに対応しました! | DevelopersIO
よく訓練されたアップル信者、都元です。本日リリースされたaws-cli 1.6.0では、大きく2つの機能が追加になっています。一つはWaiters、こちらはAWS CLIのWaitersによる待ち受け処理を実装するを御覧ください。本エントリーでは、AssumeRoleとMFAについて。 AWS CLIにおける永続キーの管理 AWS CLIで数多くのAWSアカウント(APIアクセスCredentials)を扱う場合、~/.aws/credentialsファイルに、複数のプロファイルを作成し、それぞれにアクセスキー・シークレットアクセスキーを記述します。#以降はコメントとして扱われるので、私は下記のように、AWSアカウントIDも記述しておいたりしています。 ~/.aws/credentials [foo] # 111122223333 aws_access_key_id = AKIAXXXXX
GitHub Actions から AWS へのアクセスに利用している OpenID Connect ID Provider の thumbprint について調査した - ROUTE06 Tech Blog
ROUTE06 でエンジニアリングマネージャ兼ソフトウェアエンジニアとして働いております海老沢 (@satococoa) と申します。 先日発生した GitHub Actions と AWS の OpenID Connect 連携におけるトラブルに関して調査を行い、対応方針を策定した件を共有したいと思います。 [2023/07/10 追記] Thumbprint を明示的にユーザ側で設定しなくて良いように、AWS 側で対応されたそうです。 github.com 当面 Terraform のモジュール的には必須入力のままですが、任意の文字列で良いそうです。 (いずれ入力も不要になるのかと思います。) https://github.com/aws-actions/configure-aws-credentials/issues/357#issuecomment-1626357333 The A
Prepared for 2018/03/23 クラウド時代の次世代認証セミナー http://openstandia.jp/event/event20180323.html
本記事は わた推し~AWSアワードエンジニア編~ 1日目の記事です。 💻 イベント告知 ▶▶ 本記事 ▶▶ 2日目 💻 こんにちは、上野です。 NRIネットコム、2022 Japan APN Ambassadors / Top Engineers / ALL Certificate Engineers による推しテクシリーズです。 私が紹介するのはAWS Single Sign-On (AWS SSO)です。最高のサービスです。 AWS SSOの概要 AWS SSOを有効にすると、一元管理された(一つの)ユーザー名/パスワードでログインすることにより、複数のAWSアカウントへログインできるようになります。 ↓はログイン画面です。 ログインすると・・権限があるAWSアカウントが一覧で表示され、各AWSアカウントへログインできます。 便利ですね。 AWS SSOの仕組み AWS SSOで重
AWS Config の料金がなぜこんなに高い? Amazon Athena でどのリソースが Config の記録対象になっているか調べてみた | DevelopersIO
わたしの検証環境で試していきます。 Config の設定確認 AWS Config 配信チャネルで、出力先の S3 バケットがどこであるか確認しましょう。 普段独立したリソースとして意識する機会は少ないと思いますが、マネジメントコンソールで以下から確認できる部分は配信チャネルの設定を表しています。 S3 バケットに格納されたオブジェクトの URI の例は以下です。 s3://バケット名/AWSLogs/アカウント番号/Config/ap-northeast-1/2021/9/24/ConfigSnapshot/ファイル名.json.gz ちょっとした気づきですが、yyyy/mm/dd形式になっていません。2021/09/24のように月や日を 2 桁に揃えてくれるわけでなく、元の数字が 1 桁のままであればそのまま 1 桁です。 Athena のクエリ結果の出力先 S3 バケットの作成 今回
この IAM ユーザーが過去30日間にアクセスした AWS サービスを一覧化してください と言われたら | DevelopersIO
コンバンハ、千葉(幸)です。 タイトルの通りですが、特定の IAM ユーザーが過去一定期間でアクセスした AWS サービスを一覧で見たい、と言われたら皆さんはどのようなアプローチをとりますか? IAM ユーザーに限らず、グループ、ロール、ポリシーに置き換えてもよいです。 実は、以下の AWS CLI コマンドを使えば簡単にそのような要件に対応できます。 generate-service-last-accessed-details — AWS CLI 2.0.42 Command Reference get-service-last-accessed-details — AWS CLI 2.0.42 Command Reference これらのコマンドはまったく目新しい機能ではないですが、たまたま流れてきたツイートで存在を知りました。試したところ面白そうだったのでご紹介します。 1/ Hey
インスタンスメタデータは、インスタンスに関するデータで、実行中のインスタンスを設定または管理するために使用します。インスタンスメタデータは、ホスト名、イベント、およびセキュリティグループなどでカテゴリ分けされます。 インスタンスメタデータを使用して、インスタンスの起動時に指定したユーザーデータにアクセスすることもできます。例えば、インスタンスを設定するためにパラメータを指定したり、単純なスクリプトを含めたりすることができます。汎用 AMI を構築し、ユーザーデータを使用して起動時に提供された設定ファイルを変更することができます。例えば、さまざまな小規模ビジネスを対象としたウェブサーバーを実行する場合に、すべてのサーバーで同じ汎用 AMI を使用し、起動時にユーザーデータで指定した Amazon S3 バケットからコンテンツを取得できます。随時新規顧客を追加するには、顧客のバケットを作成し、
AWS IAM で障害が起こったらどうなるの? AWS IAM のレジリエンス(復元力)に関する記述がドキュメントに追記されていた | DevelopersIO
コンバンハ、千葉(幸)です。 AWS サービスで広範囲の障害が起こったときにどう備えるか?は AWS を利用する上では避けて通れない課題です。 例えば Amazon EC2 であれば、アベイラビリティゾーン(AZ)単位での障害に備えてマルチ AZ 構成にしておく、リージョン単位の障害に備えて別リージョンにバックアップを退避させておく、などの構成が思いつきます。 では AWS IAM で障害が起こったときに備えてどうすべきか?改めて問われると難しい問題です。わたしはぼんやりと「そもそも障害が起こることはないんじゃないか?そもそも AWS IAM における障害って何?」という思いを抱いていました。 そんな折、いつものように AWS IAM のドキュメントの更新履歴を眺めていると IAM のレジリエンスに関する更新が行われていることに気がつきました。 Document history for I
MFA認証を使ったAssumeRoleでシンプルにTerraformを実行する(aws configure export-credentials) | DevelopersIO
MFA認証を使ったAssumeRoleでシンプルにTerraformを実行する(aws configure export-credentials) Terraform実行時のMFA認証を使ったAssume Roleを楽にできる方法がないか調べていたら、以下のコメントを見つけました。 Doesn't ask MFA token code when using assume_role with MFA required #2420 どうやらツールや長いコマンドの実行なしで、MFA認証ありでも簡単にAssume Roleができそうです。 便利だったのでブログにしてみました。 TerraformのMFA認証事情は以下のブログをご確認ください。 結論 この方法では、aws-vaultやaws-mfaなどのツールは不要です。 以下のようにProfileを用意して、terraformのコマンドを打つだけ
7 年間溜めた AWS IAM AWS 管理ポリシーへの愛を語りました #devio2022 | DevelopersIO
7 年前からが好きだよ AWS 管理ポリシー コンバンハ、千葉(幸)です。 弊社主催のオンラインイベントDevelopersIO 2022の「アルティメットLT AWS愛を語り尽くす!AWS バーサス クラスメソッド 〜むしろお前が好きだよ〜」で AWS IAM AWS 管理ポリシーへの愛を語ってきました。 ここが好きだよ AWS 管理ポリシー 好きなポイントをかいつまんで書きます。 新サービスや新機能の発表の前に作成・更新されていることがある 新サービスや新機能が発表される前から、それらのための AWS 管理ポリシーが作成・更新されていることが多いです。 AWS管理ポリシーの更新をウォッチすることで、「もしかしたらこんなことできるようになるのかな?」という想像が捗ったりします。 数が多い 2022/8/1 時点で 960個以上の AWS 管理ポリシーがありました。推しを見つけたくなります
コンニチハ、千葉です。 監査ログを悪意ある削除から、何が何でも守っていくぞのコーナーです。 みなさんは、AWSの監査ログ(CloudTrail)をどのように保護していますか? CloudTrail を保護するために CloudTrail ログファイルの整合性の検証を有効化 CloudTrail ログファイルを暗号化 S3上のファイルを削除から守るために MFA削除の設定 が考えられます。 よし、保護している!って思っても、ユーザーが Admin 権限を持っている場合、暗号化していようが整合性チェックしていようがデータは削除可能です。しかも、 CloudTrail のレコーディング自体を停止 もできちゃいます。つまり、監査ログが保存されなくなり、何が行われたのか調査が難しくなります。 もしも、万が一、強い 権限がある Admin が第3者に渡ったとしても、大切なログを守りたいです。Admin
![[AWS]監査ログを悪意ある削除から守る | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/3a9299c22c271be79f273b6db38d8ba6bc81bd1c/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2021%2F05%2F8823428add162ea6925215296ff8c67f.png)
あけましておめでとうございます。河内です。 数ヶ月前に aws-vault を使い始めて安全の高まりを感じるので紹介します。 AWSのサービス上では IAM Role をできるだけ使ってアクセスキーを使わないようにしていますが、ローカルでの開発時にIAMのアクセスキーを利用することはあります。 アクセスキーが漏れると困ったことになります。 本番環境で利用している AWS アカウントで漏れると、付与している権限次第では機密情報が漏洩したりサービスが壊される可能性があります。 また開発環境としてのみ利用しているAWSアカウントであっても、ビットコインのマイニングなどで容赦なくリソースを消費され高額な請求が来たりする可能性ががあります。 そのようなことが起きないようにアクセスキーは安全に管理する必要があります。 通常はAWS SDK のデフォルト参照先である ~/.aws/credentials
Auth0第一歩 ~複数のAWSアカウントにSAML認証でシングルサインオン~ | DevelopersIO
おうちプロジェクトでSlack,Trello,AWS,Githubなんかを使っているのですが、メンバーが数人にも関わらずアカウント管理がめんどくさくなってしまいました。経験がある人も多いかと思います。せっかくなんでシングルサインオン(SSO)試してみるか と思い、最近グイグイきているAuth0を試すことにしました。 Auth0 Auth0はWebサービス、モバイルアプリ、IoT、社内アプリケーションの為のソリューションです 弊社のパートナーで、導入のサポートなども行っております。興味のある方は下記をご参照ください。 クラスメソッド > パートナー > 次世代認証基盤サービス「Auth0」 シングルサインオン(SSO)ログイン 単一の資格情報を使ってアプリケーションにログインすることで、様々なアプリケーションに自動的にサインインします。 使用しているサービスやアプリケーションごとに資格情報を
※この投稿は米国時間 2023 年 2 月 18 日に、Google Cloud blog に投稿されたものの抄訳です。 Cloud Run を使用すれば、デベロッパーは、Google のスケーラブルなインフラストラクチャ上で実行されるサーバーレス環境に本番環境のウェブ アプリケーションと API を簡単にデプロイできます。開発チームは Cloud Run を活用して開発のアジリティを向上させ、迅速に反復処理できますが、多くの場合、インフラストラクチャのセキュリティ体制が見落とされています。十分な注意が払われていないセキュリティの側面として特に注目すべきなのが、アクセス管理と最小権限の原則です。 最小権限の原則とは、あるリソースに対してその機能に必要なリソースのみへのアクセスを許可することを示します。この原則は、ID の侵害によって攻撃者に幅広いリソースへのアクセスが許可されるリスクに対応
マルチアカウントな AWS環境のマネジメントコンソールへのアクセス方法をまとめてみた | DevelopersIO
※認証情報管理 … 管理する認証情報がどれだけ増えるか ✕ … 利用者につき複数 △ … 利用者につき1つ ◯ … 無し 以下で 各アクセス手段を簡単に説明します。 アクセス手段『IAMユーザー』 各AWSアカウントへ IAMユーザーを作る方法です。 各アカウント上に 認証情報※ を保持する必要があります。 ※認証情報は パスワード(マネコンへのログイン) や アクセスキー(CLI/API利用) です 各アカウントへIAMユーザーを展開するため 『誰がどのAWSアカウントへアクセスできるか』の把握が困難 『認証情報の複数管理』が大変 (これはセキュリティリスク増大にも繋がります) といったデメリットがあるため、一般にはおすすめしません。 ▼ セキュリティや運用のTips 最小権限に絞ることを意識しましょう IAMユーザーグループ を使った権限管理を行いましょう 認証の強化(多要素認証:MF
発案したアプリは約4,000万DL!Fogg 関根佑介のキャリアとは。 | キャリアハック(CAREER HACK)
Fogg代表・関根佑介氏へのインタビュー第1弾。これまで、LyricaやCocoPPa、iam、CHEERZなどのサービス・アプリをプロデュースしてきた彼のバックグラウンドとは?業界を代表する「企画屋」はいかにして自分のキャリアを築いてきたのか。 業界を代表する敏腕プロデューサーのキャリアとは? ロールモデルの少ないWEB・IT業界の第一線で活躍し続ける人々は、どんなバックグラウンドを持ち、経験から何を学び、いかなるキャリアを歩んできたのか。今回お話を伺ったのはFoggの関根佑介氏。 ファンコミュニケーションズ社からリリースされた、歌詞表示音楽プレイヤー・Lyrica(※現在はサービス終了)、ユナイテッド社からリリースされたスマートフォンきせかえコミュニティ・CocoPPa、音楽プレイヤー・Discodeer。関根氏はこれらの大ヒットアプリそれぞれに、発案・企画・設計・プロデュースなどで関
G-genの杉村です。Google Cloud (旧称 GCP) の Identity and Access Management(略称 IAM)は、きちんと使いこなすことで強力なセキュリティ統制を効かせることができます。本投稿では、その内部構造まで解き明かしていきます。 Cloud IAM とは ID (アカウント) Google Cloud におけるアカウント管理 AWS の IAM User との違い Google アカウントとグループ サービスアカウント 解説記事 IAM の仕組み IAM とリソースの関係 継承 許可と拒否 IAM の内部構造 (IAM Policy とは) gcloud コマンドによる IAM Policy 操作 AWS IAM との比較と連携 概要 ID (IAM User) 概念の違い 用語の違い AWS IAM と Google Cloud IAM の連携
こんにちは。計測プラットフォーム本部バックエンド部SREチームの市橋です。 私たちのチームではZOZOSUIT、ZOZOMAT、ZOZOGLASSといった計測技術に関わるシステムの開発、運用を担当しています。現在のZOZOMATとZOZOGLASSは、どちらも独立したEKSクラスタ上で動いていますが、ZOZOGLASSの環境を構築する際に将来のマルチテナント化を踏まえ大きく設計を見直しました。今回は、この設計見直し時に考慮した点を紹介します。 ZOZOGLASSとは ZOZOGLASSは顔の情報を計測し、イエローベースとブルーベースの2タイプ、及び春夏秋冬の4タイプの組み合わせからなるパーソナルカラーを診断するサービスです。計測した顔の情報から肌の色に近いファンデーションを推薦します。2021年7月時点で、ZOZOGLASSが推薦するコスメアイテムはファンデーションのみですが、今後はファン
初めに IAMのアクセスキーが漏洩してしまった際に、漏洩を検知して対象のIAMアクセスキーを削除する仕組みを作る必要があったのでその内容について記載します。 構成 Trusted Adviserのルールを利用してEventBridegeで検知し、SNSを利用して通知し、Step FunctionsとLambdaで検知したIAMアクセスキーを削除します。 構成としては以下のようになります。 ※この構成はTrusted Adviserがバージニア北部リージョンでしか情報を取得できない関係で、バージニア北部リージョンで作成する必要があります。 今回は以下のTrusted Advisor toolsを参考にしました。 Trusted Adviser Trusted Adviserでは有効化しておけば特に設定しておくことはないです。 「漏洩したアクセスキー」のルールを使用してIAMアクセスキーの漏洩
Amazon RDS が使用する IAM ロールをうっかり絵を描いて整理してみた | DevelopersIO
コンバンハ、千葉(幸)です。 突然ですが問題です。 Amazon RDS では、データベースのログファイルを CloudWatch Logs に出力することができます。RDS のセットアップ時にログ出力を有効にすれば、CloudWatch Logs ロググループの作成や、ログストリームへのログのプッシュが行われます。 (エンジンにより出力できるログの種類や必要な設定に細かい違いがありますがここではあまり気にしない方向で……。) 上記で太字にしたようなアクションは、次のうちのどのロールに割り当てられた権限によって実現されているでしょうか。最も適切なものを選択してください。(10点) a. RDS が使用する AWS サービスにリンクされたロール b. RDS が使用する AWS サービスロール c. RDS の DB インスタンスもしくはクラスターに関連づけられたロール d. 上記のうちどれ
オペレーション部加藤(早)です。 AWSアクセスキーセキュリティ意識向上委員会って何? 昨今、AWSのアクセスキーを漏洩させてしまうことが原因でアカウントへの侵入を受け、 多額の利用費発生・情報漏洩疑いなど重大なセキュリティ事案が発生するケースが実際に多々起きています。 そこで、アクセスキー運用に関する安全向上の取組みをブログでご紹介する企画をはじめました。 アクセスキーを利用する場合は利用する上でのリスクを正しく理解し、 セキュリティ対策を事前に適用した上で適切にご利用ください。 はじめに AWSアクセスキー/シークレットキーの漏洩により不正利用が発生すると、緊急の対応が必要な上かなりの工数も取られて相当しんどいです。 なので本当は漏洩させないのが1番です。が、万が一の時慌てて二次被害を産まないよう、対応について予習をしておきましょう! 本記事では、以下のAWS公式ドキュメントを参考にご
Open Policy Agent
Flexible, fine-grained control for administrators across the stack Stop using a different policy language, policy model, and policy API for every product and service you use. Use OPA for a unified toolset and framework for policy across the cloud native stack. Whether for one service or for all your services, use OPA to decouple policy from the service's code so you can release, analyze, and revie
既存のAmazon EC2インスタンスにIAM Roleがアタッチできるようになりました | Amazon Web Services
Amazon Web Services ブログ 既存のAmazon EC2インスタンスにIAM Roleがアタッチできるようになりました AWS Identity and Access Management(IAM) のロール を利用することで、Amazon EC2上で実行するアプリケーションは、AWSが自動的に作成、配布、およびローテーションする一時的なセキュリティ資格情報を利用することができます。一時的な資格情報を使用することは、IAMのベストプラクティスとなっており、インスタンスで長期間の鍵の管理する必要がなくなります。IAM Roles for EC2 (EC2のIAMロール)を使用することで、長期的なAWSアクセスキーを手動またはプログラムで管理する必要もなくなります。そして本日、既存のEC2インスタンスにIAMロールをアタッチすることが可能になり、アプリケーションはAWSによっ
こんにちわ、cloudpack の @dz_ こと大平かづみです。 Prologue 3年前の記事 Amazon S3の利用とCloudBerry Explorerのインストール を、IAMユーザーを使った内容でリバイバルしてみました! 参考元の記事では、ブログ等で使う画像を S3 に置いて利用する手順が紹介されています。 これを、 AWS IAMユーザーでの認証 を使って対応する手順についてまとめました。 今後、AWS IAM を利用する運用が主流となってくるので、ここでしっかり最初の一歩を押さえておきたいと思います。 作業の流れ IAMユーザーを作成 IAMユーザーに、ポリシーを設定 IAMユーザーに、パスワードの初期設定 IAMユーザーで sign-in Amazon S3 に、Bucket を作成して、AWSコンソールからファイルをアップロード デスクトップクライアント Cyber
AWS再入門 AWS IAM (Identity and Access Management) 編 | DevelopersIO
当エントリはDevelopers.IOで弊社AWSチームによる『AWS サービス別 再入門アドベントカレンダー 2015』の22日目のエントリです。昨日21日目のエントリは半瀬の『AWS Trusted Advisor』でした。 このアドベントカレンダーの企画は、普段AWSサービスについて最新のネタ・深い/細かいテーマを主に書き連ねてきたメンバーの手によって、今一度初心に返って、基本的な部分を見つめ直してみよう、解説してみようというコンセプトが含まれています。 本日22日目のテーマは『IAM (AWS Identity and Access Management)』です。 もし、IAMがなかったら1つのAWSアカウントを複数人で共有し、誰が何のリソースに、どのような操作をしたかを把握することは不可能です。IAMは、AWS マネジメントコンソールや API によって素早く低コストでセキュリテ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
スタートアップの1人目SREが入社後にやってきたこと
Subiamを使いAWSのIAM管理をコードベースでおこなう | GREE Engineering
クレデンシャルの適切な扱い方 ー AWS SDK for Goの場合 | DevelopersIO
自己流AWSセキュリティインシデント発生時のMITRE ATT&CKの活用 - Qiita
AWS データストア内の機密データを保護するためのベストプラクティス | Amazon Web Services
BLEA(CDK)を使用したAWSアカウントの簡単セットアップ - NRIネットコムBlog
Automation Accountパターン - 世界線航跡蔵
AWS CISO からの セキュリティに関する 10 個のアドバイス - おれさまラボ
アイデンティティ (ID) 技術の最新動向とこれから
AWS SSOを活用して安全かつ効率的にAWSへアクセスする - NRIネットコムBlog
インスタンスメタデータの使用 - Amazon Elastic Compute Cloud
[AWS]監査ログを悪意ある削除から守る | DevelopersIO
aws-vault でアクセスキーを安全に - FLINTERS Engineer's Blog
最小権限の原則による Cloud Run のデプロイ保護 | Google Cloud 公式ブログ
これで分かった!Google CloudのIAMの仕組みやAWSとの違い - G-gen Tech Blog
EKSのマルチテナント化を踏まえたZOZOGLASSのシステム設計 - ZOZO TECH BLOG
AWSでアクセスキーが漏洩した時に検知・削除する仕組みを実装する - Qiita
アクセスキー/シークレットキーが漏洩してしまった!一体何をすればいいの? | DevelopersIO
Amazon S3 再入門 – AWS IAMでアクセスしてみよう!(Cyberduck 編) | iret.media