はじめにこんにちは、Finatextでエンジニアをしている @s_tajima です。 Finatextでは、現在約40個のAWSアカウントを管理しています。 それぞれのAWSアカウントは、あるサービス専用になっていたり、いくつかのサービスが同居していたり、本番環境用だったり、開発環境用だったりと用途は様々です。 この中には、 証券ビジネスプラットフォームのBaaS を提供しているAWSアカウントも含まれます。 このBaaSに限らずとも、金融ドメインで広くサービスを提供しているFinatextでは、その基盤となっているAWSのセキュリティの管理が非常に重要になってきます。 今回は、弊社がAWSのセキュリティを担保するためにどんな運用をしているかというお話です。 既に複数のAWSアカウントを管理している方、特に管理はしているもののいまいち適切な状態になっていないと感じている方に読んでいただけ
[AssumeRole] アクセスキーが漏洩しても被害が最小限になるIAMユーザでCloudFormationにデプロイする方法 | DevelopersIO
IAMユーザ & IAMロールを作成 デプロイ用のIAMユーザと付与するIAMポリシーについて このユーザ自身に与える権限は、AssumeRoleできる権限のみです。 そのため、万が一このIAMユーザのアクセスキーが流出しても、流出したアクセスキーでは実質何もできません。 デプロイ用のIAMユーザがAssumeRoleするIAMロールについて 「デプロイ用のIAMユーザ」がAssumeRoleする(引き受ける)「IAMロール」です。 今回作成するIAMロールには下記の権限を付与しますが、必要に応じて変更してください。 S3バケットの作成権限 S3オブジェクトの作成権限 お試しデプロイとしてAWS SAMを使うため、S3の権限も付与(Lambdaコードのアップロードをするため) CloudFormationのデプロイ準備に必要な権限 「CloudFormation用のIAMロール」はclou
![[AssumeRole] アクセスキーが漏洩しても被害が最小限になるIAMユーザでCloudFormationにデプロイする方法 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/3a9299c22c271be79f273b6db38d8ba6bc81bd1c/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2021%2F05%2F8823428add162ea6925215296ff8c67f.png)
コンバンハ、千葉(幸)です。 2021年11月17日、皆さんはこれがなんの日付だか分かりますか? そうですね、IAM 評価論理フローチャートが刷新された日ですね。 Document history for IAM - AWS Identity and Access Management 単一のアカウントにおけるプリンシパルからのリクエストが許可されるか拒否されるか、その評価ロジックを表したフローチャートです。親の顔より見た、という方も多いのではないでしょうか。 IAM はとにかく複雑なので一枚の図で漏れなく表現することはできないのですが、従来のものと比較してより詳細に、より正確に評価の流れが表されるようになりました。 穴が開くほど見つめていきましょう。 まとめ 鬼門はリソースベースポリシー、そしてセッションプリンシパル 新旧フローチャート比較 変更が加わったのは以下ページです。 アカウント
1-2. バックアップバケット用グループ作成 AWSマネージメントコンソールのIAMメニューにアクセスして、「Groups」、「Create New Group」を選択 Set Permissionsの設定では作成したバックアップバケットに対してのみ全権限を持つbackupグループを追加します 「Policy Generator」を選択し、以下のように3つの権限を設定(下図参照) # 1つ目 Effect: Allow AWS Service: Amazon S3 Actions: All Actions Selected Amazon Resource Name(ARN): arn:aws:s3:::backup # 2つ目 Effect: Allow AWS Service: Amazon S3 Actions: All Actions Selected Amazon Resource
AssumeRole(スイッチロール)を理解して、AWSへのデプロイを少しでも安全に実施しよう #devio2021 | DevelopersIO
DevelopersIO 2021 Decadeでビデオセッションを公開しました。 概要 CloudFormationをデプロイするユーザのアクセスキーが漏れてしまったら?と心配するあなたへ。 AssumeRoleを活用すれば、アクセスキーが漏洩しても被害が最小限になるIAMユーザでデプロイできます。 動画 スライド コメンタリー テーマ選定の理由は、自分が知りたかったから ある程度、AWSを使っていると、画面ボタンポチポチではなく、Infrastructure as Code(IaC)で管理することが多くなります。AWSでIaCを実現するツールはいくつかあります。 AWS CloudFormtaion AWS SAM AWS CDK Serverless Framework Terraform そして、これらのIaCツールとIAMユーザの「アクセスキー」は、切っても切り離せない関係です(
【Tips】Admin権限を持っていないIAMユーザでIAM Roleを設定するためのポリシー設定 | DevelopersIO
地味サービス大好き、森永です。 7/7は弊社の創立記念日ということで、地味なネタ無いかなぁと考えていて思いつきました。 今日は物凄い数ブログが出ると思うので埋もれるとは思いますが、必要な人は絶対にいると思い筆を執ります。 序説 AWSでの権限管理と言えばIAM(Identity and Access Management)です。 誰にでもAdmin権限を渡していてはセキュリティ的に怖いですから、権限の調整が必要ですが、そこでハマるポイントを自分の備忘としてまとめておきます。 問題 AWSにはPowerUserというポリシーも用意されているのですが、Adminとの違いは「IAMの操作が出来るか」だけです。 こちらがAdminポリシーです。 全てのアクション、全てのリソースに対する操作が許可されています。 { "Version": "2012-10-17", "Statement": [ {
Route53のAレコードで所有していないEIP、パブリックIPが設定されていないか「Ghostbuster」を使って把握してみた | DevelopersIO
Route53のAレコードで所有していないEIP、パブリックIPが設定されていないか「Ghostbuster」を使って把握してみた こんにちは、コンサル部@大阪オフィスのTodaです。 Route53とEC2を利用する中でElastic IP(EIP)やパブリックIPをAレコードに設定して、インスタンス破棄、EIP解放時に消し忘れたというご経験はありませんでしょうか? 消し忘れたAレコードは悪意のあるユーザにIPを再取得されてサブドメイン乗っ取りにつながる場合がございます。 今回はRoute53のAレコードで、所有していないEIP、パブリックIPが設定されていないかを Ghostbusterというツールを利用して確認してみました。 ■ Github assetnote / ghostbuster https://github.com/assetnote/ghostbuster Route5
404 | Developers.IO
Sorry..., Page Not Found. お探しのページは見つかりませんでした。 でも、Developers.IOでは日々たくさんの技術記事やイベント情報が公開されています。 いま気になる技術を探しに行きましょう! Developers.IOへ
AWS IAMユーザーに対して一時的な認証情報をリクエストする(STS:GetSessionToken) | DevelopersIO
IAM ロールに対して STS:AssumeRole 系APIを実行すると、そのロールを引き受ける一時的な認証情報が発行されます。アクセス許可を委任したいときなどに利用され、利用頻度・利用パターンが非常に多いため、本サイトでも大量にブログが書かれています。 同様に STS:GetSessionToken API を実行すると、IAM ユーザーの一時的な認証情報が発行されます。 MFA 付きリクエストを実行する場合 モバイルデバイスやウェブブラウザのような安全性の低い環境から IAM ユーザーで AWS リソースにアクセスする場合 などに利用されます。 本ブログでは、あまり触れられることのない STS:GetSessionToken API についてかんたんに紹介します。 やってみた IAM ユーザーの一時認証情報を利用するには、STS:GetSessionToken API で発行された一
よく訓練されたアップル信者、都元です。前回(昨日)はAWSのクレデンシャルとプリンシパルを整理し、「開発運用スタッフ」が利用するクレデンシャルについてプラクティスを整理しました。今回はAWS上で稼働する「システム」が利用するクレデンシャルについてのプラクティスを整理しましょう。 システムが利用するクレデンシャル システムが利用するとはどういうことかといいますと、要するに「ユーザがアップロードしたファイルをS3に保存する」だとか「S3バケットに保存されたファイル一覧を取得して表示する」だとか、そういう操作をするシステムを作ることです。このようなシステムでは、APIキーを利用しますね。 AWSのAPIキーには、これもまた大きく分けて2種類があります。 long lived credentials (永続キー) short lived session credentials (一時キー) 皆さん
まずはマネージメントコンソールのIAMのページで2つのユーザを作成します。 マネージメントコンソールにログインできるようパスワードも設定しておきましょう。 次にユーザAのポリシーを設定します。 カスタムポリシーで下記JSONをテキストエリアに貼り付けて"Apply Policy"します。Resourceで arn を指定することで node-A のみをStartInstance/RebootInstance/StopInstance 操作できます。arnの"123456789012"はAWSアカウントIDです。("::"でアカウントID省略記法が使えるか試したのですが、省略はできないようです) { "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:describe*" ], "Sid": "Stmt137337989500
はじめに AWSを学習していると、認証と認可という言葉がでてきます。特にIAM(AWS Identity and Access Management)によって権限を管理する際に、この考え方はとても重要になりますが、初心者である私はこれまで認証と認可の違いについて意識してこなかったため、理解するのが難しいと感じました。エンジニアの方に具体例を教えてもらい分かりやすかったので、自分でも身の回りにある認証と認可について考えてみました。 認証と認可とは 認証とは 「あなた誰?」を確認します。 本人確認書類、IDとパスワード、顔認証、指紋などの生体認証などを用いて、あなたが誰であるのかを特定するのが認証です。 認可とは 「何の権限持ってる?」を確認します。 条件を満たすことにより、許可を与えられます。 日常にある認証と認可 日常にも認証と認可はあります。身近な例についていくつか考えてみました。 運転
IAMポリシーでは、ポリシー適用対象のユーザやサービスが暗黙的にプリンシパルになります。 IAMポリシーとリソースポリシーの使い方 IAMポリシーの使い方 IAMポリシーは、次のいずれかの方法で作成します。 IAMポリシーを作成して、IAMロール に適用する IAMロールにインラインのIAMポリシーを追加する このようにして作成したIAMロールを、Lambda関数の実行ロールとして指定します。 リソースポリシーの使い方 一方、リソースポリシーは、Lambda関数に対して直接設定します。AWS CLIでは、aws lambda add-permissionコマンドで作成します。 今回のサービスアップデートで、AWS Management Consoleから見えるようになったのは、こちらのポリシーです。 それぞれのポリシーをいつ使うか IAMポリシーは、AWS Lambdaのイベントソースマッ
pt-online-schema-change の実行が必要かどうか判断するタイミングをより早くした話 - Repro Tech Blog
Repro では Aurora MySQL を使用しています。いくつか数千万行を越えるデータを持つ大規模なテーブルもあります。 大規模なテーブルのスキーマを変更するときは pt-online-schema-change1 を使用していますが、今回はその必要性を判断するタイミングを早めた話です。 pt-osc が必要になる理由等は次の記事が詳しいです。 - pt-online-schema-changeの導入時に検討したこと、およびRailsアプリとの併用について - freee Developers Hub 解決したい課題 Repro では Rails アプリケーションが管理画面や API を提供しています。これらについて、目的別に複数の環境を用意しています。 member: 主に管理画面の動作確認目的で開発者が自由に使ってよい環境 いくつかのミドルウェアは dev_staging と共用
EKSでAWS ALB Ingress ControllerでALBつくってRoute 53にレコード作ってさらにACMでhttps!!! - hatappi.blog
最近勉強がてら AWS EKS を使ってKubernetes をさわってます! もし間違ってるところがあれば @hatappi まで教えていただけると嬉しいです。 今回はどんなことがしたかったか ALBを使いたい! 2ドメインを使ってホストベースでルーティングしたい ALBは自動で作るけど Routes 53 のレコードは手動ですみたいなことはしたくない やっぱり今の時代は https でしょ! (ACM) 事前準備 まずは検証環境がないといけないので、クラスターの作成をおこないます。 クラスターは以前書いた記事で使用した eksctl を使用して作成していきます。 blog.hatappi.me 例えばこんな感じでクラスターを作成します。 $ eksctl create cluster --name test --region ap-northeast-1 --nodes 2 --nod
AWS Step FunctionsとSSM RunCommandでWebシステムの起動・停止のジョブネットを組んでみた | DevelopersIO
ジョブ管理システムから抜け出したくないですか? こんにちは、のんピ です。 皆さんはジョブ管理システムから抜け出したいと思ったことはありますか? 私は常に思っています。 ジョブ管理システムとは、バッチ処理やOSの起動の一つ一つの処理をジョブとして、制御・運用をするシステムです。 ジョブ管理システムを使うことによって、定型業務を自動化するなどのメリットがあります。 しかし、私が思うに、ジョブ管理システムが便利だからこその辛みもあると思っています。 私が感じるジョブ管理システムの辛いところを以下にまとめます。 ジョブ管理システムで全てのシステムのジョブネットを管理しているがために、ジョブ管理システムのメンテナンスが大変 ジョブ管理システムが停止すると、全てのシステムに影響があるため、高い可用性が求められる ジョブ管理システムによっては、エージェント毎にライセンスの購入が必要になり、大量のクライ
1800万DLの「CocoPPa」プロデューサーがプロフ交換サービス「iam」でスタートアップーー「メンバーには今年に全てをかけるといってあるんです」 - BRIDGE(ブリッジ)テクノロジー&スタートアップ情報
興味深いニュースをお届けする。ポイントはふたつだ。 ひとつ目のポイントはちょっと無謀とも思える意欲的なサービスのこと。もうひとつはこの無謀な挑戦に身を投じる新たなスタートアップについての話だ。少しお付き合い頂きたい。 スマホ時代のプロフィールカード交換サービス「iam」 CocoPPaの躍進で勢いに乗るユナイテッドの子会社、フォッグは1月23日、プロフィールカードの交換サービス「iam(アイアム)」を公開した。iamはソーシャルや電話番号など、個人に紐付く様々なプロフィール情報をひとまとめにし、同アプリを持つユーザー同士で交換ができるサービス。iOS(6.0以上)に対応しており、利用は無料だ。 なお、フォッグはユナイテッドが開始する独自のスタートアップ支援制度「U-Start」適用の第1号子会社で、2013年6月に設立、ユナイテッドが株式の66%、代表取締役となる関根佑介氏が34%を保有し
aws-nukeとGithubActionsを使ったら試験用AWSアカウントのクリーンアップが楽になった話 | DevelopersIO
「AWSアカウントのクリーンアップにaws-nuke + GithubActionsいいぞ」 aws-nukeとGithubActions組み合わせたAWSアカウントのクリーンアップの仕組みを作って、運用してみた話です。 会社や個人の検証用アカウントのクリーンアップに悩んでいる方の参考になると嬉しいです。 背景 クラスメソッドでは、選考プロセスに実技試験があるポジションもあります。 私の所属しているAWS事業本部 コンサルティング部では、実技試験でAWSアカウントを使用します。 AWSアカウントにリソースを色々立ててもらうのですが、放置するとコストが発生するため試験終了後はリソースは削除する必要があります。 今までは、実技試験後に削除スクリプト + 一部手動でクリーンアップを行なっていました。 削除スクリプトで対応していないリソースやCLIでしか消せないリソースがあるなど、クリーンアップ作
[アップデート]新IAM Policy Condition aws:CalledVia を学ぶ | DevelopersIO
IAM PolicyのConditionにaws:CalledViaというキーが追加されました。どういったキーなのかご説明します。 一言でいうと 「特定のサービス経由で実行している/いない」という権限付与の条件が設定可能になりました。 具体例を出して説明します。 これまで: aws:CalledViaが無い世界 CloudFormation(以下CFn)を使って、VPCを作成したいとします。 CFnテンプレートは至極シンプルです。 AWSTemplateFormatVersion: "2010-09-09" Description: Create VPC Resources: VPC: Type: AWS::EC2::VPC Properties: CidrBlock: "192.168.0.0/16" EnableDnsSupport: "true" EnableDnsHostnames
5月17日、AWSのセキュリティを扱う勉強会「Security-JAWS」の第1回がセキュリティ企業ラックの会議室で開催された。40人の定員に対して、150人がキャンセル待ちという人気の高い勉強会では、期待通り現場感のあふれたセッションが披露された。 セキュリティ規程に従ってクラウドを運用 トップバッターは、リクルートテクノロジーズ ITソリューション統括部の宮崎幸恵さん。2011年入社以来、クラウド一筋の宮崎さんは、JAWS DAYSや女子会などでも登壇しているが、今回はログインIDのクリーニングやIAM(AWS Identity and Access Management)の運用について説明した。 セキュリティをテーマに講演するものの、宮崎さんはいわゆるセキュリティの業務についているわけではない。7つの事業会社、3つの中核機能会社で構成されているリクルートグループの中で、宮崎さんの所属
よく訓練されたアップル信者、都元です。アカウント認証というのはIDとパスワードによってなされるのが一般的です。パスワードは複数の文字種を使い、数字を含め、長いモノを設定する等、各種プラクティスはあちこちで議論されていますが、そもそものアカウントの数が多くなると、厳正なパスワード管理にもどこかにほころびが出てくる可能性 *1が出て来ます。 MFAによるセキュリティ向上 そういった状況で、パスワードだけに依らないセキュリティ向上の手段として、AWSではMFA(Multi-Factor Authentication - 二要素認証)に対応しています。 具体的にどういうことかというと、ログイン時には通常のIDとパスワード *2に加えて、そのログインのタイミングで手持ちのデバイス(ハードウェア)に表示されている数字 *3を入力しなければ、認証に成功しない、という認証方式です。デバイス上の数字は一定時
AWS IAM Role AnywhereをDocker+OpenSSLのRootCAで試してみる - YOMON8.NET
PKIベースでAWSのIAMロールを使える IAM Role Anywhereが発表されました。早速使えるようだったのでOpenSSLでCA構築して使ってみた手順を残しておきます。 環境汚さないためにDocker使っています。 AWS Identity and Access Management introduces IAM Roles Anywhere for workloads outside of AWS What is AWS Identity and Access Management Roles Anywhere? - IAM Roles Anywhere Extend AWS IAM roles to workloads outside of AWS with IAM Roles Anywhere | AWS Security Blog [HostOS] RootCA用のDo
IAM 評価論理ファン必見!AWS ドキュメントにリソースベースポリシー評価論理のプリンシパルごとの違いが記載されました | DevelopersIO
IAM の評価論理、完全に理解した。 コンバンハ、IAM 評価論理おじさん(幸)です。 私としたことがしばらく気づいていなかったのですが、2021年10月5日に IAM の AWS ドキュメントで激アツな更新がされていました。 Document history for IAM - AWS Identity and Access Management (機械翻訳)リソースベースのポリシーや同一アカウント内の異なるプリンシパルタイプの影響についての情報を追加しました。 これまで、同一アカウントの IAM 評価論理でリソースベースポリシーによる Allow が最終的にどのような評価をもたらすか、「プリンシパルごとに異なる動作をする場合がある」という記載がされていました。 え……その詳細が分からないと困るのでは……という状態でしたが、ついにプリンシパルごとの挙動の違いが記載されました。 「プリンシ
Switch Role先の環境で作業はしたい。だけど、アクセスキーを発行しないとツールが使えない。Switch Role先の環境でIAM ユーザを作るわけにもいかない...。 こんな感じで困ったことありませんか。そんな時にAWS STSを知っていればなんとか対処できます。自分が手間取ったのでどう対処したかを書きます。 STSとは AWS Security Token Serviceの略称で、一時的な認証情報を発行します。 発行される認証情報は、「アクセスキー」、「シークレットキー」、「セッショントークン」の3つが発行されます。 スイッチロールの際にもSTSを使用してスイッチ先の各種リソースにアクセスしてるので、認証情報さえ取り出せばうまいことアクセスキーが使えそうですね。 Assume Role 読んで字のごとく、IAM Roleの権限を引き受けます。STSのこれを呼び出せば、認証情報が取
特定のIAM Identity CenterユーザーのみAssumeRoleできるIAMロールを作成する | DevelopersIO
はじめに マルチアカウント環境ではIAM Identity Centerを使ってメンバーアカウントへログインすることが多いかと思います。 今回は特定のIAM Identity CenterユーザーのみAssumeRoleできるIAMロールを作成してみました。 前提 この記事ではマルチアカウント環境を前提としているため、以下については既に有効化・作成されているものとして進めます。 Control Tower or Organizations IAM Identity Center メンバーアカウントへログインできるIAM Identity Centerユーザー IAM Identity Centerユーザーが利用するアクセス許可セット 今回は以下2つのIAM Identity Centerユーザーを作成して、Administorator権限のアクセス許可セットでログインしています。 User
GCP からの HTTP リクエストをセキュアに認証する
はじめにGCP にはあらかじめ HTTP のエンドポイントを登録しておくと、そこに対して HTTP リクエストが送られてくるようなプロダクトがいくつか存在します。 Cloud Pub/SubCloud TasksCloud Schedulerどれも非同期系の処理を行うプロダクトであり、非同期処理を行う Worker を HTTP の Web サーバとして記述できるのが大きなメリットになっています。 しかしそれらの Web サーバはパプリックなエンドポイントとして用意することも多いことから、送られてきた HTTP リクエストが本当に GCP の特定のプロダクトから送られてきたものなのか?という「認証」をどうやるかが長らく問題になっていました。 既存のやり方としては Web サーバの実装方式によっていくつかありますが、 App Engine (1st gen) を使う場合: “login: a
クロスアカウントでの暗号化したRDSのスナップショット利用には気をつけようという話 - LIVESENSE ENGINEER BLOG
これは Livesense Advent Calendar 2022 DAY 4 の記事です。 こんにちは。アルバイト事業部エンジニアの@mnmandahalfです。 今日は先日開催された社内LT大会で話したネタを記事にしてみたいと思います。 VPoEだけが追い出された?!エンジニアLT大会を開催した話 - LIVESENSE ENGINEER BLOG TL;DR クロスアカウントで暗号化したRDSスナップショットを共有するときはCMKで暗号化した方がベター CMKを作るときのキーポリシーに注意しよう やりたかったこと ざっくり説明すると、以下の通りです。 本番環境(以下、AWSのproductionアカウント)のDBデータをステージング環境(以下、AWSのstagingアカウント)に日次で同期して利用したい その際、個人情報等にアクセスできないようにマスキング処理(例:データの削除、改
はじめに 中山です 多要素認証、してますか? 本日、IAMの多要素認証でYubiKeyを利用できるようになりました。 Sign in to your AWS Management Console with YubiKey Security Key for Multi-factor Authentication (MFA) Use YubiKey security key to sign into AWS Management Console with YubiKey for multi-factor authentication YubiKey / Universal 2nd Factor (U2F)とは? 以下の記事にだいたい書いてありますのでこちらをご覧ください。 Yubikey入門 YubiKeyのいいところ YubiKeyのいいところとしては以下のような点があります。最高かよ。 ワ
GitHub - elpy1/ssh-over-ssm: SSH over AWS SSM. No bastions or public-facing instances. SSH user management through IAM. No requirement to store SSH keys locally or on server.
Recently I was required to administer AWS instances via Session Manager. After downloading the required plugin and initiating a SSM session locally using aws ssm start-session I found myself in a situation where I couldn't easily copy a file from my machine to the server (e.g. using scp, sftp, rsync etc). After some reading of the AWS documentation I discovered it's possible to connect via SSH ove
GitHub ActionsからECSとECRへのCI/CDを最小権限で実行したい | DevelopersIO
こんにちは!コンサル部のinomaso(@inomasosan)です。 前回、GitHub ActionsからECSのCI/CDについて試してみました。 その際、GitHub ActionsにはAWS管理ポリシーによる強めの権限を付与して検証しました。 本番運用を考慮する場合は、FullAccess等の強い権限だと思わぬ事故につながります。 今回はセキュリティの観点から、GitHub Actions用にIAMポリシーの最小権限例を作成してみました。 構成図 GitHub ActionsのDeploy to Amazon ECSテンプレートからワークフロー実行する際の大まかな構成図となります。 今回はIAMポリシーのActionとResourceをメインに権限を見直していきます。 IAMポリシーの最小化権限例 今回作成したIAMポリシーは以下の通りです。 <>で囲った値は、ご自身の環境毎の値
aswrap - ~/.aws/(config|credentials) で定義した AssumeRole 定義から一時キーを取得してコマンドを起動してくれる wrapper を書いた - 酒日記 はてな支店
業務では多数の AWS アカウントを運用しています (現時点でアクティブなのは100行かないぐらい)。 AWS アカウントごとに利用者それぞれに IAM User や IAM key を発行するのは権限管理が煩雑になるため、以下のようなアカウント運用をしています。 ログインを集約する専用の AWS アカウントを用意 (account A とします) このアカウントに IAM User を作成し、IAM key を発行する 各案件用の AWS アカウント(account B) に IAM Role を定義し、Assume Role によって権限を付与 (最近 AWS Organization が Single Sign On に対応したので、今後は不要になるのかもしれませんが…) こうしておくことで、AWS console には account A でログインした上で、各アカウントにロールの
このアクション、ABAC ないし RBAC に対応してる?難解な IAM リファレンスに立ち向かうための地図を描いてみた | DevelopersIO
ここで、リソースタイプlistener( CLB のリスナー)だけは、どのアクションからも「リソースレベルのアクセス許可」の対象とされていません。全てのリソースタイプで「リソースレベルのアクセス許可」に対応しているわけではないため、Elastic Load Balancing というサービスとしては黄色になっているというわけです。 おさらいとなりますが、このセルが緑の「あり」になっている AWS サービスにおいても、全てのアクションが「リソースレベルのアクセス許可」に対応しているわけではないという点に注意してください。 リソースベースのポリシー いわゆる IAM ポリシーを「アイデンティティベースのポリシー」と呼ぶのに対し、リソースに設定するポリシーはリソースベースのポリシーと呼ばれます。例えば S3 のバケットポリシーや、SNS のトピックポリシー、VPC エンドポイントのエンドポイント
技術本部 Eight Engineering Unit(社内通称:Eight EU)の秋本です。普段は Eight をインフラ面からお世話することでご飯を食べています。 酷暑が続いていますね。酷暑は人々の健康を害し、健康が害されると稼動可能な人員が減り、人員が減ると業務負荷が増え、業務負荷が増えるとオペミスが発生しやすくなります。オペミスが発生してもバックアップがあれば最悪なんとかできる事が多く、もはや運用作業にはバックアップ取得が欠かせぬものとなっています。 本項では Eight におけるバックアップ取得の前史を述べ、そのうえで AWS Backup を導入していい感じになった風景を述べるものになります。 AWS Backup 導入まで Eight で使用しているデータの置き場所は以下があります。Eight では現状 AWS のみを使用しています: サービス 用途 S3 名刺画像データ、
IAMと私 ~IAMのAWS Management Consoleサポートバンザイ~ « サーバーワークス技術ブログ
普段お酒ばかり飲んでいて、あまり(技術っぽい)仕事をしていません。 理系出身なのですが、どちらかというと財務とか人事などの仕事を好みます。 ITのことが嫌いなのではありませんが、一つのことを突き詰める気持ちはあまり強くありません。 そして、今回初めてブログらしいブログを書きます。 しかもそれが技術ブログということで些か緊張気味です。 と、IAMに掛けて、いきなり自己紹介から入ってしまいました、サーバーワークスの鈴木です。 今回は以前から興味を持っていたAWS Identity and Access Managementが今月から正式版となり、AWS Management Console対応も始まったので、早速少し試してみたところ、社長の大石(蔵人之助)からブログにした方がいい!と煽てられ、調子に乗って書いてみました。 IAM(Identity and Access Management)と
Keycloakを使ってAWSにSSO接続する方法
みなさんこんにちは。@ryuzeeです。 たくさんのAWSアカウントを持っていたり、さまざまな外部サービスを使っていたりすると面倒なのが、アカウント自体の管理です。 今日はKeycloakを使って、たくさんのAWSアカウントにSSO接続するようにしてみたいと思います。 KeycloakとはKeycloakは認証・認可のためのオープンソースソフトウェアです。最新のバージョンは4.1.0です。 より詳細については@ITの記事がわかりやすいです。 Keycloakの導入KeycloakはJavaで書かれており、動作にはアプリケーションサーバが必要です。 アプリケーションで利用可能なデータベースは、MySQL、PostgreSQL、MariaDB、そして主に開発や試用用途のH2です。 また、公式のDockerイメージも用意されており、それを使えばアプリケーションサーバの設定などは不要です。 今回は
ウィスキー、シガー、パイプをこよなく愛する大栗です。 AWS上のリソースを監視していますか?AWSの監視を行うためには下準備が必要ですので、その下準備についてまとめてみました。 どんな準備が必要か? 監視方法 AWS上のリソースを監視する場合には、大きく2種類が考えられます。 ネットワーク経由で直接アクセスして情報を取得する。 AWSのAPI経由で情報を取得する。 ネットワーク経由の場合は、オンプレミスでも同様ですが普通にネットワーク経由でアクセスします。AWSのAPI経由の場合は、CloudWatchやDescribe系のAPIで情報を取得します。 監視サーバと監視対象が同じネットワーク内で同じアカウントの場合は、下準備は必要ありません。しかし、別のVPCで別のアカウントを監視したいと言った時はどうしたら良いでしょうか? 必要な準備 ネットワークの接続 ネットワークを繋ぐ方法として、先ず
【新機能】IAMユーザーをManagement Consoleからクロスアカウントで色々なRoleにスイッチする事ができるようになりました。 | DevelopersIO
【新機能】IAMユーザーをManagement Consoleからクロスアカウントで色々なRoleにスイッチする事ができるようになりました。 こんにちは、せーのです。今日はIAMにできたなかなか面白い機能をご紹介します。IAMで役割(Role)を予め作っておき、AWS Management ConsoleからIAMユーザーをそのRoleにスイッチさせることにより一つのユーザーで様々な役割でのアクセスが可能になる、というものです。 どういう時に使うの 普段IAMユーザーに役割を割り振る時にはその業務別で権限を分けているかと思います。例えばDeveloper(開発者)であれば開発環境には触れるけれども本番環境には触れない、運用担当であれば状態を見ることはできるけども変更することは出来ない、みたいな感じです。 でも一時的に権限を与えたい場合などがあるかと思います。本番環境にシステムをデプロイする
少し遅くなりましたが、2019年9月22日に開催された技術書典7の参加記です。 サマリー 『AWSの薄い本 IAMのマニアックな話』という本を、1部1,500円で500部用意しました。また、既刊の商業誌を各5冊づつ用意して、1割引で販売していました。また最終的なサークルチェックの被チェック数は、395でした。 当日頒布数は451冊で、売上にして67万6千5百円です。またBOOTHでの電子書籍の販売も22日の正午過ぎに開始して、24日の朝6時の段階で114冊、17万1千円売れています。これに対して経費の方は、印刷代他で20万円弱なので大幅に黒字です。準備不足のまま突入しましたが、まずは大成功でした。 当日配布した本については下記エントリーで紹介しているので、ご興味あれば見てください。 #技術書典 に出展する『AWSの薄い本 IAMのマニアックな話』はこんな本 反省点 大成功と言っても、当日出
CTO室の@ken5scal (鈴木)です。 2021/04/08にAWS IAM Access Analyzerの新機能として、CloudTrailのログをもとにIAM Roleのポリシーを生成するリリースが発表されました。 ところで、やはりというべきか、さすがというべきか、すでにクラスメソッドさんからブログがリリースされています。 dev.classmethod.jp しかしながら、statementの単位でウンウン唸ったり、下手なポリシーをつけて撃ち抜いた足の数など数え切れない一介のIAMマンとしては、歓喜をもってこのリリースを迎えざるを得ません。その昂りは、ブログネタ被りの羞恥心など容易に吹き飛ばすほどのものです。というわけで、早速、今回のリリースについて書いていこうとおもいます。 IAM運用のつらみ Identity is new perimeterといわれ、早10年弱。セキュリ
Amazon API Gateway の API を Cognito で認証して呼び出す | DevelopersIO
API を IAM で認証する Amazon API Gateway (以下 API Gateway) で作成した API は、誰でも呼び出せるように公開する他に、2つの認証方法が用意されています。 API Key をヘッダーに付与する方法 (こちらで解説) IAM で認証する方法 この2つの方法のうち、今回は IAM で認証する方法を試してみたいと思います。 API Gateway にはモバイルアプリ向けの SDK を生成する機能がある点から、モバイルアプリを主なターゲットにしているように思えます。そこで、Amazon Cognito (以下 Cognito) を利用した認証方式を通して API Gateway で作成した API を呼び出してみたいと思います。 先日まで生成した SDK の認証周りでエラーが発生し Cognito (IAM Role) を利用した呼び出しが行えないことが
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
FinatextにおけるAWSのガードレール戦略の紹介
新しくなった IAM 評価論理フローチャートをひとしきり愛でてみた | DevelopersIO
s3cmdを使ってEC2からS3にDBバックアップ - Qiita
IAMによるAWS権限管理運用ベストプラクティス (2) | DevelopersIO
【AWS】EC2をリソースレベルでアクセス許可してみた | DevelopersIO
【初心者向け】日常にある認証と認可について考えてみた | DevelopersIO
AWS LambdaのIAMポリシーとリソースポリシーを理解しよう | DevelopersIO
キャンセル待ち150人!Security-JAWS第1回で現場の苦労を見た (1/3)
AWSアカウントのセキュリティを強化する 〜 MFAの利用 | DevelopersIO
STSで一時クレデンシャルを発行する | DevelopersIO
IAMの多要素認証でYubiKeyが利用できるようになりました | DevelopersIO
Eight における AWS Backup - Sansan Tech Blog
AWS上で他アカウントの監視を行うための準備設定 | DevelopersIO
#技術書典 に初出展。AWSの薄い本 IAMのマニアックな話を書きました - プログラマでありたい
IAM Access AnalyzerのPolicy生成機能を使ってみた - LayerX エンジニアブログ