AWS Verified Access が GA となったので IAM Identity Center を信頼プロバイダーとしてグループポリシーを設定して使ってみた | DevelopersIO
AWS Verified Access が GA となったので IAM Identity Center を信頼プロバイダーとしてグループポリシーを設定して使ってみた いわさです。 re:Invent 2022 で AWS Verified Access がパブリックプレビューで登場していました。 VPC 内のプライベートなアプリケーションに信頼された IdP を使って、構成されたポリシーをクリアしている場合など一定条件を満たしているとパブリックなエンドポイントを経由したプライベートネットワーク上の Web アプリケーションへ接続させることが出来るサービスです。 そんな AWS Verified Access が本日 GA となりました。 プレビュー時点からいくつか機能が追加されているのですが、そもそも DevelopersIO に実際に使った記事がないことに気が付きました。 そこで、本日は
EC2 Image BuilderによるOSイメージビルドパイプラインの自動化 | Amazon Web Services
Amazon Web Services ブログ EC2 Image BuilderによるOSイメージビルドパイプラインの自動化 社会人になったばかりの頃、開発チーム向けのOSイメージビルドの仕事がアサインされたのを今でも思い出します。時間はかかるし、エラーはよく出るし、再作成とスナップショット再取得をなんども実行する必要がありました。さらに、ご想像のとおり、そのあとには大量の手動テストが控えていたのです。 OSを最新に保つことの重要性は現在も変わりません。場合によっては自動化スクリプトを開発してくれるチームがあるかもしれませんが、いずれにせよVMのスナップショットを手動で取得するという作業は、多くのリソースを消費し、都度エラー対処が要求される、時間のかかる作業であることに変わりはありません。今日ここで、EC2 Image Builderを発表できることを大変うれしく思います。これは、自動化
AWS入門ブログリレー2024〜AWS IAM Access Analyzer編〜 | DevelopersIO
コンバンハ、千葉(幸)です。 当エントリは弊社AWS事業本部による『AWS 入門ブログリレー 2024』の33日目のエントリです。 このブログリレーの企画は、普段 AWS サービスについて最新のネタ・深い/細かいテーマを主に書き連ねてきたメンバーの手によって、 今一度初心に返って、基本的な部分を見つめ直してみよう、解説してみようというコンセプトが含まれています。 AWS をこれから学ぼう!という方にとっては文字通りの入門記事として、またすでに AWS を活用されている方にとっても AWS サービスの再発見や 2024 年のサービスアップデートのキャッチアップの場となればと考えておりますので、ぜひ最後までお付合いいただければ幸いです。 では、さっそくいってみましょう。今回のテーマは『AWS Identity and Access Management (IAM) Access Analyze
[AWS]Systems ManagerのAutomationとAnsibleを使ってAMIを作成する | DevelopersIO
コンニチハ、千葉です。 Systems ManagerのAutomation機能を利用するとカスタムAMIの作成を自動化できます。 AutoScaling利用時、Packer等でカスタムAMIを作成すると思いますがこれの置き換えを想定しています。EC2上でPackerを動かしている場合、EC2を減らすことができるかなと思います。 環境 以下の環境で試しました ソースAMI:Amazon Linux リポジトリ:CodeCommit プロビジョニング:Ansible 2.2.3.0 やってみた リポジトリ作成 Ansibleコードを格納するリポジトリを作成します。リポジトリは、GitHubやS3などでもいいと思いますが、今回はEC2利用時のリポジトリへのアクセスをシームレスに行えるCodeCommitを選択しました。EC2へIAMロールをアタッチすることで簡単でセキュアにCodeCommit
![[AWS]Systems ManagerのAutomationとAnsibleを使ってAMIを作成する | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/58278067871ebaae68a873315f4dd4b9b78f6b5a/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2014%2F05%2FAmazon_EC2.png)
AWS News Blog
AWS Week in Review – AWS Documentation Updates, Amazon EventBridge is Faster, and More – May 22, 2023 Here are your AWS updates from the previous 7 days. Last week I was in Turin, Italy for CloudConf, a conference I’ve had the pleasure to participate in for the last 10 years. AWS Hero Anahit Pogosova was also there sharing a few serverless tips in front of a full house. Here’s a picture I […] Amaz
Extend AWS IAM roles to workloads outside of AWS with IAM Roles Anywhere | Amazon Web Services
AWS Security Blog Extend AWS IAM roles to workloads outside of AWS with IAM Roles Anywhere AWS Identity and Access Management (IAM) has now made it easier for you to use IAM roles for your workloads that are running outside of AWS, with the release of IAM Roles Anywhere. This feature extends the capabilities of IAM roles to workloads outside of AWS. You can use IAM Roles Anywhere to provide a secu
Amazon Redshift Serverless が新機能を備えて一般公開開始 | Amazon Web Services
Amazon Web Services ブログ Amazon Redshift Serverless が新機能を備えて一般公開開始 昨年の re:Invent で、Amazon Redshift Serverless のプレビュー版を紹介しました。これは、データウェアハウスのインフラを管理しなくても、自由にデータを分析できるAmazon Redshift のサーバーレスオプションです。データを読み込んでクエリを実行するだけで利用でき、料金は使用した分だけです。これにより、利用頻度が少ない分析処理や夜間のみ実行されるワークロードなど、データウェアハウスを常時利用しないユースケースの場合に、より多くの企業がモダンデータ戦略を構築することができます。また、データ利用ユーザーが拡大している新しい部門において、データウェアハウスインフラストラクチャを所有せずに分析を実行したいというニーズにも適用でき
AWS アカウントが分かれている (クロスアカウント) 環境で、S3 バケットを共有したいときってありますよね。 本番環境と開発環境で AWS アカウントが分かれている 自社のサービスを AWS 環境で提供していて、ユーザの AWS アカウントの S3 バケットを利用する などなど、企業内/企業間を問わず、利用する機会は少なくないように思います。しかしながら、「どうやって使うの?」とお悩みの方も同じように少なくないのではないでしょうか?私もついこの間まで、そう思っていた側の人です。今回、別アカウントの S3 バケットを使用する機会がありましたので、同じお悩みをお持ちの方に向けて、私が実施した手順についてシェアしたいと思います。 概要 今回の手順で最終的に出来上がる環境は、以下のとおりです。 アカウントA(アカウントID:111111111111) S3 バケットを所有しているアカウントです
管理者が退職した場合に AWS アカウントにアクセスする
AWS ルートユーザーアカウントにアクセスする必要がありますが、次のいずれかの理由により、アカウントにサインインするための認証情報がありません。 AWS アカウントのルートユーザーがアカウント管理者ではなくなり、アクセスできなくなった。 メールアドレスが無効なため、パスワードをリセットできない。 解決方法 ルートユーザーとしてアカウントにアクセスするには、そのアカウントに関連付けられている E メールアドレスとパスワードが必要です。 AWS Identity and Access Management (IAM) ユーザーとしてアカウントにアクセスするには、その IAM ユーザーのユーザー名とパスワードが必要です。 多要素認証 (MFA) デバイスが紛失または破損している場合は、「紛失または破損した MFA デバイスを AWS アカウントから削除する方法」を参照してください。 アカウントの
この記事は「エムスリー Advent Calendar 2015」の 5 日目の記事です。 IAM で個人ユーザとか作りたくない AWS といえば SDK や CLI で API 連携して色々と操作できるわけですが、一方で管理コンソールも使うことも多いかと思います。この管理コンソールへのアクセス権限の管理はどのようにされているでしょうか?もし逐一 IAM ユーザをつくって運用するとしたら、数十人規模になるとかなり煩雑ですね。 エムスリーの場合、2015 年現在ではオンプレで運用されているサービスの方が多くて、ほとんどのサービスがヘビーに AWS を使っているというわけではないのですが、とはいえ、マネージドサービスはある程度使っていますし、新しいサービスでは全面的に AWS を使っているものもあります。また、AWS アカウント(ルートアカウント)を Sandbox 環境、QA 環境、本番環境
blogdeco.jp
This domain may be for sale!
GitHub ActionsからAWSを操作できると便利です。OIDC(OpenID Connect)を使えばアクセスキーも不要で、セキュアに運用できます。しかし複数システムにまたがる特性上、トラブルシューティングは面倒です。そこで本記事ではトレーサビリティを向上させ、メンテナンスしやすくする手法を紹介します。トレーサビリティが向上すれば、運用はもっと楽になります。 GitHub ActionsとAWSは赤の他人 当たり前ですが、GitHub ActionsとAWSはまったく異なるシステムです。何を言っているんだという感じですが、トレーサビリティの観点では重要です。なぜなら複数のシステムを扱うときは、トレースできるよう設計しないとトレーサビリティは生まれないからです。 GitHub ActionsやAWSに限らず、普通は他所様のシステムなど知ったこっちゃありません。このお互いに知らんぷりを
30分から1時間のような短時間でAWS環境をレビューさせていただくことがあります。IAMユーザーのレビューについて、私がまず確認する内容をシェアします。 最後のアクティビティから、使われていないIAMユーザーを洗い出す IAMコンソールからユーザーを開くと、IAMユーザーの一覧が表示されます。最後のアクティビティに注目し、使われていない可能性のあるIAMユーザーの候補を洗い出しします。 IAMユーザーを選択し、認証情報タブを開きます。サインイン認証情報、アクセスキー、AWS CodeCommitの認証情報、Amazon Keyspacesの認証情報があります。サインイン認証情報とは、AWSコンソールへのログイン情報です。アクセスキーはAWS CLIやSDKのようなプログラムでAWSを操作する際に利用します。 コンソールに最後にログインした日付を確認する ユーザーの一覧画面に戻り、「コンソー
GitHub Actions で configure-aws-credentials を使った OIDCではまったこと - tech.guitarrapc.cóm
GitHub Actions の OpenID Connector と AWS の OIDC Provider を使うことで、IAM Role を Assume できるというのは前回書きました。 tech.guitarrapc.com 構築中によく出るエラーに関しても書いたのですが、いざ実際に使おうとしたら別のエラーではまったので忘れないようにメモしておきます。 tl;dr; GitHub Actions で並列実行すると時々失敗する。 configure-aws-credentials を1 jobで複数回呼び出したときに初回の認証を上書きできない 正常動作例1 正常動作例2 問題の動作 tl;dr; OpenID Connect で認証すると、AWS OIDC Provider の認証の上限に引っ掛かりやすい Composite Action の中で、 configure-aws-cr
GitHub - google-github-actions/auth: A GitHub Action for authenticating to Google Cloud.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
IAM Roles Anywhereのハンズオンを通して、OpenSSLとか証明書とかについて勉強できたのでメモ - Qiita
IAM Roles Anywhereのハンズオンを通して、OpenSSLとか証明書とかについて勉強できたのでメモAWSOpenSSLcloud9認証局 AWSエバンジェリストシリーズの特別編でIAM Roles Anywhereのハンズオンに参加したときに、OpenSSLやら証明書やら使用したので非常に勉強になりました。 ハンズオンの後に色々調べてみたので、個人的なメモとして残しておきます。 IAM Roles Anywhereとは 本筋とは外れるので詳細は調べていただくとして、IAM Roles Anywhereについてザクっと説明しておきます オンプレ機器からAWSのサービスを使う時に、IAMロールによるアクセス制御ができるサービス IAM Roles Anywhereは主に、以下の2つのコンポーネントから成り立つ 信頼アンカー:オンプレとAWSの間の信頼関係 認証局の証明書を登録する
ECSを動かすEventBridge SchedulerをTerraformで構築してみた - LIVESENSE ENGINEER BLOG
こんにちは、インフラストラクチャーグループのyjszkです。2月から入社しました。 リブセンスにはバッチをECSとEventBridge Ruleで動かしている実装があります。EventBridge Ruleがなかなかの曲者で、UTCでしか時間を指定できません。 UTCで指定されたルールはいつ動くのかがわかりづらいですし、JSTでは1つのルールで済んだものがUTCでは2つ以上に分割されてしまうこともあります。 例えば、JSTで特定の曜日に10分ごとに実行するタスクがあるとします。 */10 * * * 0-3,5-6 * これがUTCだと3つになります。これはなかなかつらいです。 0/10 0-15 ? * 4 * 0/10 15-0 ? * 5 * 0/10 * ? * 1-3,6,7 * 一方、2022年11月にリリースされたAWSの新機能EventBridge Schedulerでは
以前、AWSでMFAを自身で管理できるIAMポリシーについての記事を投稿しました。 AWSでMFAを自身で管理できるポリシーを作成してみる その後、2022年11月にAWSでIAMユーザとルートユーザーに複数のMFAを割り当てるアップデートが発表されました。 AWS Identity and Access Management で複数の多要素認証 (MFA) デバイスのサポートを開始 このアップデートに伴い、MFAを自身で管理するIAMポリシーについても追加で考慮する事項が発生しているので紹介します。 ドキュメント IAM: IAM ユーザーに MFA デバイスの自己管理を許可する MFAを自己管理するIAMポリシーについては、上記にドキュメントがあります。 英語版については、2022年12月に更新されてしばらくの間、日本語版が古い版の翻訳の状態となっていましたが。 2023年2月現在は、
[アップデート] IAM ポリシーと SCP でベストプラクティスに則れ! IAM Access Analyzer が新機能「ポリシーチェック」に対応しました | DevelopersIO
コンバンハ、千葉(幸)です。 IAM Access Analyzer によるポリシーチェックが可能になりました。 これまでアクセスアナライザーによる分析対象としてリソースベースポリシーがサポートされていたのですが、今回の新機能では IAM ポリシーと SCP(サービスコントロールポリシー)に対するチェックができるようになっています。 何が変わったのか 従来のアクセスアナライザーができたのは「リソースベースポリシーが外部からアクセス可能なパーミッションになっていないか」の検証でした。 現時点でサポートされているリソースタイプは以下の通りで、これらに対してアカウント外(もしくはOrganizations外)のプリンシパルからのアクセスが可能となっていないかを、自動的にチェックしてくれます。 S3 バケット IAM ロール KMS キー Lambda 関数とレイヤー SQS キュー Secret
こんにちは。 ご機嫌いかがでしょうか。 "No human labor is no human error" が大好きな ネクストモード株式会社 の吉井です。 AWS アカウントには、サービスクォータ というリソース使用数の上限値が設けられています。 AWS 内部のリソースが枯渇しないようにという理由もありますが、それよりもユーザーが必要以上のリソース確保を誤って行ってしまい過大請求をされることを防いでくれるという防御面の理由が大きいように思います。 この上限値ですが現時点の値はどれくらいで残りどの程度リソースを作成できるのかを忘れてしまうと いざというときに希望のリソースが作成できず、上限緩和申請で時間を取られてしまうというミスをしてしまうことがよくあります。 AWS CLI 等で上限値・現在値を都度確認して突き合わせるのも面倒に感じていたところ便利なツールを発見したので紹介します。 イ
Amazon Cognitoによる認証はSTSのweb identity federationとどう違うのか!? | DevelopersIO
Amazon Cognitoによる認証はSTSのweb identity federationとどう違うのか!? よく訓練されたアップル信者、都元です。少し前の話になりますが、2014年7月に Amazon Cognito がローンチしました。Cognitoは、モバイルアプリのためのサービスで、弊社ブログでも何度か取り上げています。 Cognitoの機能は、実は「Cognito Sync(複数デバイス間のデータ同期)」と「Cognito Identity(ID管理)」という2つのカテゴリに分類されます。もしかしたら、元々は別のプロダクトだった感もあります。というのも… APIドキュメントが別 Amazon Cognito Identity Amazon Cognito Sync AWS SDK for Javaのクライアント実装が別、Javaパッケージも別 com.amazonaws.se
IAM ユーザーが所属している IAM グループとアタッチされている IAM ポリシーの一覧を AWS CLI で取得する | DevelopersIO
IAM ユーザーの現状を棚卸ししたい コンバンハ、千葉(幸)です。 IAM ユーザーはきちんと管理されていますか?最近 100名近く IAM ユーザーが存在する環境をご支援する機会がありました。ユーザーがどんなグループに所属していてそれぞれどんな権限を有しているか、きっちりした設計書が無く。まずはそれを棚卸ししてからあるべき構成を考えていきましょう、というアプローチを取りました。 単に IAM ユーザーの一覧を取得するだけであれば以下のエントリにある内容を踏襲すればいいのですが、今回はそれより詳細な情報が必要です。 ということで、AWS CLI で一覧を取得してみました。(その後にスプレッドシートで頑張りました。) IAM ユーザーに割り当てられるポリシーについておさらい IAM ユーザー、グループ、ポリシーについておさらいしておきましょう。 IAM ユーザー、IAM グループそれぞれに
どうも、セクションナインの 吉田真吾(@yoshidashingo)です。 個人で使ってるAWSアカウントについて、それぞれにログインして管理するのがしんどいので、今は図のようにして集約管理してます。 今後ちょっと変えることはあるかもしれないけど、基本的にはこんな感じでいいかなと思ってますので、以下ちょっとだけ説明。 ユーザーと料金支払いについて AWSアカウント共通 (Prod, Stg, Dev, Sandbox, Handson) Rootユーザー MFA設定して Security Credential は発行しない(あれば全部削除) Prod (=本番AWSアカウント) 本番アカウントにだけひとつ IAMユーザー をつくってある これはすべてのアカウントをまたぐスイッチ元ユーザーです。 SMS MFAを設定してあります。ログインしようとするとSMSが飛んできます。 今日時点だと R
クレカの類が復活したので、ドメイン買い直してAWSが使えるようにした。 そんでJSで作った類のアプリを静的サイトとしてホスティングしたいなーと思い、s3でサブドメインにホスティングできるまでの作業メモを残す。 ググッて出る情報が色々古くて苦労した。 アカウント登録 クラウドコンピューティング なら アマゾン ウェブ サービス | 仮想サーバー、ストレージ、データベースのための Amazon のクラウドプラットフォーム(AWS 日本語) から登録。 クレカ認証と電話番号での自動入力の確認の2段階がある。 次に、クライアントから扱えるように https://console.aws.amazon.com/iam/ でアクセスキーを生成。メニューから AccessKeys -> Create Access Keys を選択。rootkey.csvをダウンロードさせられる。ダウンロードした root
Principal 要素で IAM ロールを指定するのと IAM ロールを引き受けたセッションを指定するのは何が違うのか? 72 個のパターンで考えてみた | DevelopersIO
コンバンハ、IAM 評価論理おじさん(幸)です。 先日、リソースベースポリシーの Principal 要素で指定するプリンシパルごとの挙動の違いが AWS ドキュメントに記載されました。 ドキュメントの追記内容をざっくり表したのが以下図で、囲っている部分が IAM ロールと IAM ロールを引き受けたセッション(ロールセッション)の差異を表しています。 リソースベースポリシーでロールセッションを直接許可している場合は、Permissions boundary やセッションポリシーの暗黙的な拒否が評価対象にならないということが判明し、とても満足な更新内容でした。 とは言え、ここで示されているのは以下のパターンにおける挙動です。 同一アカウントでのアクセス アイデンティティベースポリシーで許可なし Permissions boundary(アクセス許可の境界)がアタッチされており許可なし セッ
AWS Lake Formationでのデータレイク登録からデータアクセスまで - NTT Communications Engineers' Blog
AWS Lake Formationでのデータレイク登録からデータアクセスまで この記事は NTTコミュニケーションズ Advent Calendar 2021 の16日目の記事です。 はじめに はじめまして!BS本部SS部の荒井です。データマネジメントに関するプリセールスを担当しています。 今回はアドベントカレンダー企画ということで、AWS Lake Formationに関する記事を投稿をさせていただきます。 データレイクとAWS Lake Formation 近年データ分析の盛り上がりなどから、散逸している様々な形式のデータを一元管理できるレポジトリ、いわゆるデータレイクを導入するケースが増えてきています(参考:データレイクとは)。 例えばシステムごとに保存されていた「会員データ」「購入履歴」「問合せ履歴」などのデータをデータレイクに集約することでシステム横断の顧客分析を手軽に行うこと
Kubernetes とは? k8s と略されることも多い、コンテナーアプリケーションを自動配備したり 管理してくれるオープンソースのソフトウェアです。 元々は、Google 社が開発していましたが、Cloud Native Computing Foundation に寄贈されました。 詳細については、以下をご参照ください。 kubernetes - Production-Grade Container Orchestration はじめに Kubernetes Operations(kops) という OSS を利用し、AWS 上に Kubernetes cluster を構築してみました。 github.com/kubernetes/kops Kubernetes Operations (kops) は、Production Grade で提供されている Kubernetes 環境を構
こんにちは。望月です。 今日はS3とIAM Policyについて、小ネタを書いておきます。 S3を利用するためのIAM Policy S3にはManagement Consoleの他にもCyberduckやCloudBerry Explorer等、様々なGUIクライアントが存在します。 当社の標準では、「アカウントのrootユーザ(アカウントが発行された後すぐに利用できるユーザ)は絶対に使用せず、ユーザ毎にIAM Userを作成する」というのが標準になっているので、用途ごとにIAM User(or IAM Role)を発行して、必要な権限を割り当てていくことになります。 その中でよくお客様から上がる要望の中に、「S3の特定のバケットのみを操作できるユーザで、S3をGUIクライアントから操作したい」というものがあります。その時にまず最初に思いつくのは、以下のようなPolicyです。 { "S
[アップデート]IAMのアクセスアドバイザーでは、140以上のAWSサービスを対象に、アクションレベルで「最終アクセス日時」が確認できるようになりました | DevelopersIO
はじめに AWS IAMのアクセスアドバイザーでアクションレベルでの「最終アクセス日時」が確認できるサービス数は、140以上に増えました。 IAMのアクセスアドバイザーとは、IAMエンティティ(ユーザー、ロール、グループなど)が、AWSサービスごとの最終アクセス日時や、アクセス可能なAWSサービスを確認できる機能です。 従来は、IAMやLambda、S3、EC2などの一部のAWSサービス数のみ、アクションレベルで「最終アクセス日時」が確認できていました。 以前も以下の記事のようにアップデートがありました。 今回のアップデートでは、140以上のAWSサービスを対象に、アクションレベルで「最終アクセス日時」が確認できるようになりました。 これによって、IAMロールに指定された権限が実際に必要かどうかを判断し、不必要な権限を削除することで、IAMのベストプラクティスである「最小権限の原則」の実現
CircleCIがOpenID ConnectをサポートしたのでAWSと連携させてJWTを使用したAssumeRoleを試してみた | DevelopersIO
CircleCIがOpenID ConnectをサポートしたのでAWSと連携させてJWTを使用したAssumeRoleを試してみた こんにちは、CX事業本部 IoT事業部の若槻です。 このたび、CI/CDプラットフォームCircleCIで、OpenID Connect(OIDC)がいよいよサポートされたとのことです。待ちわびていた人も多いのではないでしょうか。 #OIDC リリースされました! (OpenID Connect Tokens) Twitterでも「1月にでるはずだったよね」という期待をずいぶん頂き、ご関心をひしひしと感じてしました。 - Changelog: https://t.co/oqM0zbE2OF - Doc: https://t.co/fOYKoKfTNd — CircleCI Japan (@CircleCIJapan) March 26, 2022 Circle
AWS User Notificationsでマネジメントコンソールへのサインインを通知する | DevelopersIO
AWS User Notifications サービスを利用して AWS マネジメントコンソールへのサインインをメール通知する設定を試してみました。 サインイン通知は次のブログでも紹介している通り、Amazon EventBridge ルールを作成する方法でも実現できますが、通知文を整形する必要がありました。AWS User Notifications で設定する場合は通知内容を AWS 側で見やすくしてくれるメリットがあります(裏では Amazon EventBridge ルールが作成されます)。 参考ブログの方法(Amazon EventBridge で設定し、入力トランスフォーマーで通知内容を整形)の通知例です。 本ブログで設定する AWS User Notifications の通知例です。 AWS マネジメントコンソールへのサインイン通知設定 今回設定する環境は AWS Orga
Switch Roleの履歴が・・・消えた・・・? って焦る前に入れておくと幸せになれるAWS Extend Switch Rolesの紹介 | DevelopersIO
Switch Roleの履歴が・・・消えた・・・? って焦る前に入れておくと幸せになれるAWS Extend Switch Rolesの紹介 一体いつからSwitch Roleの履歴が永続的に残るものだと錯覚していた。 というわけで錯覚していた同僚が履歴が消えたことに絶望していたので、 そうなる前に導入しておくと便利なAWS Extend Switch Rolesの紹介です。 Switch Roleってなんぞ? 以下のブログで一発なのでそれを引用したいと思います。 Switch Roleとは複数のAWSアカウントを持っている時にいちいちログアウト - ログインを繰り返さなくてもRoleを設定しておくだけで 簡単に別のアカウントにスイッチできる機能です 【小ネタ】複数のSwitch Roleでのクロスアカウントアクセスをブラウザのブックマークで管理する 弊社でもAWS環境を扱う際は基幹となる
"AWSをより安全に使うためのID管理"の資料を公開しました。 - サーバーワークスエンジニアブログ
情報システム課の宮澤です。 先日行われた、OpsJAWS Meetup#8で"AWSをより安全に使うためのID管理"というタイトルで発表した資料を公開しました。 内容は、OneLoginを利用してAWSのID管理をより便利にしましょうという内容です。 OneLogin opsjaws_20160927 from 慶 宮澤
AWS Management Consoleへのサインインがより便利になりました | DevelopersIO
西澤です。AWS Management Consoleへのサインイン方法にアップデートがあり、地味に便利になったので、ご紹介したいと思います。 Now Available: Improvements to How You Sign In to Your AWS Account | AWS Security Blog AWS Management Consoleサインインにおけるこれまでの課題 AWS Management Consoleへのサインインする方法として、 rootアカウント(初期登録したメールアドレス)でのサインイン https://console.aws.amazon.com/ IAMユーザでのサインイン https://(AWS-account-ID-or-alias).signin.aws.amazon.com/console の2種類があるわけですが、この2種類のサイン
IAM チュートリアル: AWS アカウント間の IAM ロールを使用したアクセスの委任 - AWS Identity and Access Management
このチュートリアルでは、ロールを使用して、お客様が所有する作成および開発という異なる AWS アカウント のリソースへのアクセスを委任する方法について説明します。特定のアカウントにあるリソースを別のアカウントのユーザーと共有します。このようにクロスアカウントアクセスを設定することで、お客様はアカウントごとに IAM ユーザーを作成する必要がなくなります。また、ユーザーは、異なる AWS アカウント のアカウントのリソースにアクセスするために、あるアカウントからサインアウトして別のアカウントにサインインする必要がなくなります。ロールを設定した後、AWS Management Console、AWS CLI、API からロールを使用する方法について説明します。 IAM ロールとリソースベースのポリシーは、単一のパーティション内のアカウント間でのみアクセスを委任します。たとえば、標準 aws パ
IAMのポリシーを設定する
連載目次 IAMのポリシー要素とは AWS Identity and Access Management(IAM)でユーザー、グループ、ロールを作成するとき、アクセス許可を割り当てる際にはポリシーを作成し適用します。 ポリシーとは、JSONフォーマットで記載されたアクセス権限をリスト化したものです。AWSサービス、リソースはアクセス許可を明示的に付与しない限り、アクセスできない(全て不許可)状態にあります。 ポリシーは「Actions」「Resources」「Effect」「Condition」の4つを使って構成します。Conditionは条件分岐になるため、今回はConditionを除いた3つについて説明をします。 Actions:許可するアクション EC2インスタンスをAMIから起動させる「RunInstances」や、EC2インスタンスを止める「StopInstances」などのアク
AWS SSO を用いた Amazon EKS への迅速なシングルサインオン | Amazon Web Services
Amazon Web Services ブログ AWS SSO を用いた Amazon EKS への迅速なシングルサインオン 訳注:2022年7月に、AWS Single Sign-On は AWS IAM Identity Center に変更されました。 この記事は A quick path to Amazon EKS single sign-on using AWS SSO (記事公開日: 2022 年 6 月 14 日) を翻訳したものです。 Software as a Service (SaaS) とクラウドの導入が急速に進む中、アイデンティティは新しいセキュリティの境界になっています。AWS Identity and Access Management (IAM) と Kubernetes role-based access control (RBAC) は、強力な最小権限のセ
AWS News Blog
AWS Chatbot Now Integrates With Microsoft Teams I am pleased to announce that, starting today, you can use AWS Chatbot to troubleshoot and operate your AWS resources from Microsoft Teams. Communicating and collaborating on IT operation tasks through chat channels is known as ChatOps. It allows you to centralize the management of infrastructure and applications, as well as to automate and streamlin
IAM ユーザーのアクセスキーの管理 - AWS Identity and Access Management
ベストプラクティスは、アクセスキーのような長期的認証情報を作成するのではなく、IAM ロールなどの一時的なセキュリティ認証情報を使用することです。アクセスキーを作成する前に、長期的なアクセスキーの代替案を確認してください。 アクセスキーは、IAM ユーザーまたは AWS アカウントのルートユーザー の長期的な認証情報です。アクセスキーを使用して、AWS CLI または AWS API (直接または AWS SDK を使用) にプログラムでリクエストに署名することができます。詳細については、「AWS API リクエストの署名」を参照してください。 アクセスキーは、アクセスキー ID (例: AKIAIOSFODNN7EXAMPLE) とシークレットアクセスキー (例: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY) の 2 つの部分で構成されています。リク
Amazon リソースネーム (ARN) - AWS Identity and Access Management
Amazon リソースネーム (ARN) は、AWS リソースを一意に識別します。IAM ポリシー、Amazon Relational Database Service (Amazon RDS) タグ、API コールなど、すべての AWS 全体でリソースを明確に指定する必要がある場合は ARN が必要になります。 ARN 形式 ARN の一般的な形式を次に示します。具体的な形式は、リソースによって異なります。ARN を使用するには、italicized のテキスト (arn 以外のすべて) をリソース固有の情報に置き換えます。一部のリソースの ARN では、リージョン、アカウント ID、または、リージョンとアカウント ID の両方が省略されていることに注意してください。 arn:partition:service:region:account-id:resource-id arn:part
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
別アカウントのS3バケットを利用する手順 | DevelopersIO
AWS 管理コンソールを社内認証と SSO 化させる #m3dev - Qiita
「GitHub Actions × AWS」のトレーサビリティ向上委員会
10分でできる最低限のIAM設定見直し | DevelopersIO
AWSでMFAが複数登録できるようになり自身でMFAを管理するポリシーがどう変わるか - Qiita
AWSリソース上限数と現在の使用数を簡単に比較したい | DevelopersIO
複数のAWSアカウント管理 - yoshidashingo
s3cmdとRoute53で静的サイトをデプロイする手順メモ - mizchi's blog
Kubernetes cluster on AWS (構築編) | DevelopersIO
S3のGUIクライアントを利用するのに必要なIAM Policy | DevelopersIO