20分で分かるIAM全機能 /20240621-aws-summit-iam
AWS Summit Japan 2024 Expo ( https://aws.amazon.com/jp/summits/japan/expo/ )での発表資料です。 本資料は、Amazon Web Servicesのテクニカルレビューを経ていますが、発表者独自の観点および分類により作成してい…
AWS Summit Japan 2024 Expo ( https://aws.amazon.com/jp/summits/japan/expo/ )での発表資料です。 本資料は、Amazon Web Servicesのテクニカルレビューを経ていますが、発表者独自の観点および分類により作成してい…
はじめに 表題のようなCLIツール aws-iam-policy-sim を書きました。 github.com 使い方 Statement フィールドに、以下のようなオブジェクトの配列が入っている、というJSONファイルを用意しましょう。 Action フィールドにアクション名もしくはその配列 Resource フィールドにリソースもしくはその配列 たとえば以下の通りです。うっすらお気づきの方もいると思いますが、実はポリシードキュメントのJSONがそのまま使えます。 { "Statement": [ { "Action": [ "s3:PutObject", "s3:GetObject", "s3:GetObjectTagging", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::example-bucket/*" ] }, { "Act
AWSがMySQLのODBCドライバを開発、オープンソースで公開。純正ドライバ互換、Amazon Auroraでの高速なフェイルオーバー、AWSのシークレットやIAMのサポートなど
AWSがMySQLのODBCドライバを開発、オープンソースで公開。純正ドライバ互換、Amazon Auroraでの高速なフェイルオーバー、AWSのシークレットやIAMのサポートなど AWS ODBC Driver for MySQLは、MySQLコミュニティが配布している純正のMySQL用ODBCドライバと置き換えて使える互換性を備えつつ、AWSでMySQLを利用する際により優れた機能と性能を実現できるように実装されています。 具体的には、Amazon Auroraにおけるフェイルオーバー時の再接続の高速化です。AWS ODBC Driver for MySQLはクラスタのトポロジーと各 データベースインスタンスがプライマリなのかレプリカなのかの役割のキャッシュを保持することで、接続先のデータベースインスタンスに障害が発生し、別のデータベースインスタンスへのフェイルオーバーが発生したときに
[速報] IAMのMFA(多要素認証)でPasskeyが利用できるようになりました #AWSreInforce | DevelopersIO
あしざわです。 現在開催されているAWS re:Inforce 2024 のKeynote にて、AWS IAMのrootユーザーおよびIAMユーザーのMFA(多要素認証)としてPasskeyのサポートが発表されました。 AWS What's newブログ、AWS Blogの両方で発表されています。 概要 本アップデートによって、AWSのrootユーザー、IAMユーザーのMFAデバイスとしてPasskeyが利用できるようになります! AWS側で発行したPasskeyをGoogleアカウントや1passwordなどのクラウドサービスに登録することで、MFA認証としてPasskeyを利用してAWSアカウントにログインできるようになります。 AWS Blogに以下のように記載があるため、初回のリリース時はPasskey+パスワード認証のみでパスワードの利用は必須であるようです。今後のリリースでP
![[速報] IAMのMFA(多要素認証)でPasskeyが利用できるようになりました #AWSreInforce | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/3943ff4d5aff421cb4c2e42ad253a590a12c7bdf/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2024%2F06%2FIMG_3975-2.jpg)
LayerX Fintech事業部(※)で、ガバナンス・コンプラエンジニアリングをしている 鈴木 (@ken5scal )です。 ※三井物産デジタル・アセットマネジメントに出向しています。 今回は、AWS IAMポリシーの条件における「ForAllValues」の仕様を誤って理解していたことから、安全でないアクセス制御を実装していたという内容です。もし同様の勘違いをされている方がいたら参考になれば幸いです。 ユースケース AWS IAMユーザーを、ロールの trust policy がユーザーのタグで制御するケースで考えます。 具体的には、「Group A あるいは Group B」に所属し、且つ「Admin」権限のあるユーザーのみが行使できる役割「AdminABRole」があるとしましょう。 この場合、Group と Admin のタグが存在し、下記のようなパターン(※)が考えられます。
重複したIAM、拒否と許可どっちが優先?アクセス制御の特性をAWS・Google Cloud・Azure・Firebaseそれぞれについて理解する - Flatt Security Blog
はじめに こんにちは、セキュリティエンジニアの@okazu_dm です。 突然ですが、皆さんは以下のクイズに自信を持って回答できるでしょうか。これはSRE NEXT 2023で弊社が出題したクイズなのですが、それぞれのポリシーに存在するAllow, Denyのうちどれが優先されるかがポイントになります。 クイズの答えはここをクリック クイズの正解は......「④なし」でした。AWSのIAMポリシーは拒否(Deny)優先です。しかし、それは他のクラウドサービスでも果たして同じでしょうか? 今回の記事では、各種クラウドサービスにおけるアクセス制御について焦点を当てます。具体的には「それぞれのアクセス制御は拒否優先なのかどうか」を調査しました。 リソースに対するアクセス制御は、クラウドサービス上でシステムを構築する際のセキュリティの根幹となる要素です。特に近年のクラウドサービスは、IAM(Id
terraform-aws-provider 5.68.0 で非推奨になった aws_iam_role の inline_policy の改修を行ったときのメモ✍ - 継続は力なり
タダです. terraform-aws-provider 5.68.0 で以下の引用文にあるように aws_iam_role にて inline_policy を使用するのが非推奨になり aws_iam_role_policy が代替先になりました.この記事では,そのリソースの改修を行った備忘録を書きます. resource/aws_iam_role: The inline_policy argument is deprecated. Use the aws_iam_role_policy resource instead. github.com inline_policy から aws_iam_role_policy へ書き換え aws_iam_role のinline_policy を使用していた下記の IAM リソースがあったとします.この状況で terraform plan を試す
CEL(Common Expression Language)を使ってIAMポリシーを検索する iam-policy-finder - KAYAC Engineers' Blog
SREチームの藤原です。 今回は CEL(Common Expression Language) を使って、AWSのIAMポリシーを検索するツールを作ったので紹介します。 github.com 3行でまとめ CEL (Common Expression Language)の式を指定してAWS IAMポリシーを検索するツールをOSSとして作りました。GetAccountAuthorizationDetails APIで取得したIAMポリシーをCELで評価して、マッチするものを出力します 例えば「lambda:GetFunctionがあるがlambda:ListTagsがないポリシーを探す」などができます AWSからたびたびやってくる、IAMポリシーに関するお知らせに対応するのに便利です 突然の「Action Required」 ある日、AWSからこんなメールが届きました。 Lambda Ge
AWS IAM Identity Center を使わないマルチアカウント環境のユーザー管理 #devio2024 | DevelopersIO
2024 年 7 月 31 日 にクラスメソッドの大阪オフィスで開催された DevelopersIO 2024 OSAKA において「AWS IAM Identity Center を使わないマルチアカウント環境のユーザー管理」というタイトルで話しました。 本ブログで資料を公開します。 登壇資料 次の内容について記載しています。 マルチアカウントのユーザー管理の課題 IAM ユーザーの一元管理の基礎 IAM ユーザーの一元管理のテクニック集 AWS Extend Switch Roles を利用したスイッチロール設定の管理 スイッチロールの条件として MFA 有無と送信元 IP アドレスを指定 スイッチロール先 IAM ロールの信頼ポリシーで複数ユーザーをまとめて許可 アクセスキーの利用 AWS CloudFormation を利用した IAM ロールの設定 外部 ID プロバイダとの連携
AWS入門ブログリレー2024〜AWS IAM Access Analyzer編〜 | DevelopersIO
コンバンハ、千葉(幸)です。 当エントリは弊社AWS事業本部による『AWS 入門ブログリレー 2024』の33日目のエントリです。 このブログリレーの企画は、普段 AWS サービスについて最新のネタ・深い/細かいテーマを主に書き連ねてきたメンバーの手によって、 今一度初心に返って、基本的な部分を見つめ直してみよう、解説してみようというコンセプトが含まれています。 AWS をこれから学ぼう!という方にとっては文字通りの入門記事として、またすでに AWS を活用されている方にとっても AWS サービスの再発見や 2024 年のサービスアップデートのキャッチアップの場となればと考えておりますので、ぜひ最後までお付合いいただければ幸いです。 では、さっそくいってみましょう。今回のテーマは『AWS Identity and Access Management (IAM) Access Analyze
AWS IAM Identity Center の棚卸しで権限クリープを防ぎたい 初寄稿の @wa6sn です。8/3-4 に開催される SRE NEXT 2024 が楽しみですね。筆者の所属する 株式会社ギフティ も、GOLD スポンサーとしてブースを出しています。ノベルティも配っているので、ぜひお立ち寄りください。 さて本題ですが、今回は AWS IAM Identity Center で付与したアクセス権限の棚卸しについて述べます。SRE をやっていると、こうした AWS アカウントに対するセキュリティ対策に関わる機会も多いのではないでしょうか、ということで書いてみました。なお、筆者の環境では Control Tower を利用して全アカウントで CloudTrail を有効化しつつログを一元保管しているという前提があります。 権限クリープ マルチアカウント運用が広まっている昨今では
IAM ユーザーのログイン失敗を検知して複数回失敗すると権限を剥奪する仕組みを作ってみた | DevelopersIO
こんにちは、AWS 事業本部の平木です! AWS における PCIDSS v3.2.1を見た時に要件 8 を参照するとアカウントロックに関する要件があります。 現状、執筆時点では IAM ユーザーで連続してログイン失敗してしまったとしてもアカウントをロックできる仕様はありません。 ただ、AWS 公式のコンプライアンスガイドを見ると以下のように記述されていました。 PCI DSS 審査の適用範囲内であると判断された IAM ユーザーには、8.1.6 および 8.1.7 のアカウントロックに関する要件を満たす追加の仕組みが必要です。お客様がこれを達成するには、AWS CloudTrail、Amazon DynamoDB、AWS Lambda、Amazon CloudWatch を組み合わせて連続したログイン失敗を追跡して、ログイン失敗がしきい値である 6 回連続で発生した場合に制限を強めた I
IAM Identity Centerでもaws-vaultでセキュアにAWS CLIを使う - Nealle Developer's Blog
こんにちはSREチームの宮後(@miya10kei)です。最近、トリュフナッツにハマりビール🍺の消費量が増えています。 AWS CLIを使用する時にaws-vaultは使っていますか? AWSのユーザ管理をAWS IAM Identity Centerに移行した際にaws-vaultの設定でつまずいたので解決方法を紹介したいと思います。 AWS IAM Identity Centerとは? 複数の AWSアカウントやアプリケーションへのワークフォースのアクセスを一元管理するためのサービスです。外部IDプロバイダーと接続しSSO(シングルサインオン)連携をすることができます。ニーリーではGoogle Workspaceと連携させGoogleアカウントでログインできるようにしています。 aws-vaultとは? aws-vaultはAWS CLIを使用する際の認証情報を安全に保存し、アクセス
Amazon Web Services(AWS)は、パスキーがAWS Identity and Access Management (AWS IAM)の多要素認証として利用可能になったことを発表しました。
声優事務所・アニメ声優オーディションならIAM AGENCY(IAMエージェンシー)。 所属者活躍中!アニメ声優・アニソン歌手・2.5次元俳優・YouTuber声優など多種の活動が可能です。 所属タレント一覧 IAM AGENCYでは、所属オーディションを開催中!! 声優になる夢を実現するラストステージ!IAMグループが貴方の夢をかなえます!! 当声優プロダクションで羽ばたきませんか!? ご自宅からでも参加できるオンライン開催! 詳しくはこちら!
AWSのIAMってなんやねん
自己紹介 どもども、フリーランスエンジニアとして働いている井上弥風です。 ずっとバックエンドメインで仕事をしてきたのですが、インフラ側がヨワヨワ過ぎたので勉強を始めました IAMってなんやねん、ロールなのかポールなのかロールケーキなのかマンホールなのかよく分からなかったので深掘りします 対戦よろしくお願いします 初めに 記事の内容 当記事では「AWSのIAMとは何か」から始まり、IAMを更生する4つの要素の説明、IAMの重要性やセキュリティ管理の方法を学びます 文章による説明だけではなく、実際にAWSマネジメントコンソールでIAMを利用して学習を深めていくため、IAMの基礎知識をしっかりと学習することができると思います 記事のゴール 記事のゴールは下記の内容をしっかりと理解することです IAMとは何か IAMで登場する概念の理解(ユーザー、グループ、ロール、ポリシー...) 実際にAWSマ
Centrally manage root access in AWS Identity and Access Management (IAM) - AWS
Centrally manage root access in AWS Identity and Access Management (IAM) Today, AWS Identity and Access Management (IAM) is launching a new capability allowing customers to centrally manage their root credentials, simplify auditing of credentials, and perform tightly scoped privileged tasks across their AWS member accounts managed using AWS Organizations. Now, administrators can remove unnecessary
Amazon Q Business と AWS IAM Identity Center を利用して、プライベートでセキュアなエンタープライズ生成 AI アプリケーションを開発する | Amazon Web Services
Amazon Web Services ブログ Amazon Q Business と AWS IAM Identity Center を利用して、プライベートでセキュアなエンタープライズ生成 AI アプリケーションを開発する 本記事は、2024年4月30日に投稿されたBuild private and secure enterprise generative AI apps with Amazon Q Business and AWS IAM Identity Center を翻訳したものです。 2024 年 4 月 30 日現在、Amazon Q Business が一般提供開始 になりました。Amazon Q Business は、生成 AI を活用し、従業員の質問に答えたりタスクを完了させることで生産性の向上をサポートする対話型アシスタントです。従業員は Amazon Q Busi
【Security Hub修復手順】[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります | DevelopersIO
皆さん、お使いのAWS環境のセキュリティチェックはしていますか? 当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。 本記事の対象コントロール [IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります [IAM.3] IAM users' access keys should be rotated every 90 days or less 前提条件 本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容です。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。 コントロールの説明 このコントロールは、IAMユーザーのアクティブなアクセスキーが90日以内に適切
![【Security Hub修復手順】[IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/b5eb18f96ede2cf98d82eb160ccfa87db6695ef1/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2023%2F08%2Faws-security-hub.png)
上記の要素から構成される ARN の例は以下です。 EC2 インスタンス:arn:aws:ec2:ap-northeast-1:123456789012:instance/i-0abcdef1234567890 VPC:arn:aws:ec2:us-east-1:123456789012:vpc/vpc-0e9801d129EXAMPLE IAM ユーザー:arn:aws:iam::123456789012:user/johndoe ※ awsパーティションの IAM のリソースの ARN にはリージョンコードが含まれません AWS リソースは ARN によって全世界の中で一意に特定できる、ということを覚えておきましょう。 参考:Amazon リソースネーム (ARN) - AWS Identity and Access Management AWS リソースへのアクセスとは ここでの A
はじめに 業務でほどよくAWSは使用しますが、管理側(?)は経験がありません。 AWSの認定資格の勉強でも、結構アカウント管理周りは机上の理解でした。 そこで、今回はアカウント管理で重要なAssumeRoleについて、実際に触って整理していこうと思います。 はじめに 前提理解 IAMユーザーだけで管理する ロールを使用する 前提のまとめ AssumeRole ケース やってみること ユーザーA ロール1 信頼ポリシー 許可ポリシー ここまで てことでやってみる ふりかえり Switch 確認 まとめ 前提理解 ここは前提として、サクッとまとめます。 IAMユーザーだけで管理する 誰になんの権限をもたせるか、、、複雑ですね。 ロールを使用する さて、これをロールを使用して綺麗にしていきましょう。 前提のまとめ ユーザーだけで権限管理しようとするととても複雑なので、ロールごとにまとめることでシ
マルチアカウント環境におけるAWS IAM Access Analyzerの構成、通知方法、運用について考えてみた | DevelopersIO
それぞれのメリット・デメリットをまとめると以下のようになります。 EventBridgeルールを2つ利用する方法 メリット:運用がラク。 デメリット:IAMロールの検知結果が全リージョンで表示される。 アーカイブルールを利用する方法 メリット:EventBridgeルールが1つで済む。Security Hub上は、IAMロールの検知結果が1リージョンのみとなる。 デメリット:新リージョン対応時に管理アカウントでの再スクリプト実行が必要。 次章の「運用方法」では、EventBridgeルールを2つ利用する方法を採用した前提で解説します。 運用方法 「1. 管理アカウントのみアナライザーを作成」の運用において、以下の2点を考えます。 通知後の対応 新規アカウント発行時 通知後の対応 通知方法は「通知先がメンバーアカウントごとに異なる場合」を想定しています。 アナライザー検知時の対応の流れは以下
AWS はルートユーザーと IAM ユーザーにパスキー多要素認証 (MFA) を追加します | Amazon Web Services
Amazon Web Services ブログ AWS はルートユーザーと IAM ユーザーにパスキー多要素認証 (MFA) を追加します セキュリティは Amazon Web Services (AWS) の最優先事項であり、6月11日、お客様の AWS アカウントのセキュリティ体制を強化するのに役立つ 2 つの機能をリリースします。 まず、ルートユーザーと AWS Identity and Access Management (IAM) ユーザー向けに、サポート対象の多要素認証 (MFA) のリストにパスキーを追加します。 次に、ルートユーザーに MFA を適用し始めました。最も機密性の高いユーザー、つまり AWS Organization の管理アカウントのルートユーザーから始めました。2024年の残りの期間中に、この変更を他のアカウントにも引き続き適用します。 MFA は、アカウン
AWS IAM Policy Visualizer
IAM Policy Visualizer
全メンバーアカウントにおける全リージョンのAWS IAM Access Analyzerを一括削除してみた | DevelopersIO
はじめに クラスメソッドメンバーズのAWSアカウントをご利用の場合、セキュリティ強化とメンバーズサービス提供のため、複数のAWSサービスが自動的に有効化され、関連リソースが作成されます。 その一環として、cm-access-analyzerという名前のAWS IAM Access Analyzerが自動的に全リージョンで作成されます。このAnalyzerの信頼ゾーンは、アカウント単位で設定されています。 以下の記事で解説されているように、マルチアカウント構成においては、通常、管理アカウントのみにAnalyzerを作成し、メンバーアカウントにはAnalyzerを作成しないケースが多いです。 このため、各メンバーアカウントの全リージョンに存在するcm-access-analyzerを一括で削除する必要があります。本記事では、その効率的な方法をご紹介します。 実施手順の概要は以下の通りです。 管
SSMエージェントはIAMロールの夢を見るか を語りました #jawsug #opsjaws | DevelopersIO
コンバンハ、IAMロール *1です。 わたしは IAM ロールが好きです。EC2 もそこそこ好きです。そんな中、OpsJAWS Meetup#27 EC2の運用と監視が開催されました。 Ops な皆さん、こんにちは! EC2 使ってますか?使っていますよね。誰もが使ったことがある基本的なサービスですし、今でも活躍の場は多いと思います。 EC2 の運用と監視について改めて学び直します。 EC2 がテーマのようです。EC2 がテーマなのですが、わたしはどうしても IAM ロールの話がしたいです。 EC2、運用……と言えば Systems Manager…… Systems Manager でノード管理するには SSM エージェントが必要…… SSM エージェントが AWS API を実行するには IAM ロールの権限が必要! …… よし、繋がった! ということで、「SSMエージェントはIAMロ
AWS IAM Access AnalyzerをSecurity Hubに統合時、各検出結果のタイプごとのSeverity(重要度)を教えてください | DevelopersIO
AWS IAM Access AnalyzerをSecurity Hubに統合時、各検出結果のタイプごとのSeverity(重要度)を教えてください わからないこと AWS IAM Access AnalyzerをSecurity Hubに統合し、EventBridgeで通知を設定する際、Severity(重要度)でフィルタリングしたいと考えています。 そこで、検出結果のタイプごとの重要度について教えてください。 回答 公式ドキュメントには、検出結果のタイプごとの重要度は記載されていません。 IAM Access Analyzerの検出結果は、Security Hubに送信される際、以下の6つのカテゴリのいずれかに分類されます。 外部アクセス検出 Effects/Data Exposure/External Access Granted タイトル:[リソースARN]はパブリックアクセスを許
少し前に、Lambdaで直接URL発行ができるようになったやつ。 使ってみた投稿は多々あるが、どれもIAM署名付きでリクエストしている事例がない。 あったとしても、awscurlとか使ってるので、そのままではアプリケーションに組み込めない。 なので、どうやってIAM署名付きでリクエストできるのか気になったので、試してみる。 AWS_IAM auth type Auth typeは、AWS_IAMとNONEの2種類ある。 名前の通り、AWS_IAMを指定すると、IAMで認証できるようになる。 権限としては、Functionに対するlambda:InvokeFunctionUrlの呼び出し権限があれば良いとのこと。 Signature Version 4 IAM 署名付きでリクエストするには、Signature Version 4という方法で現在は署名を付与する必要があるらしい。 Lambda
ガバメントクラウドGCAS移行に備えAWS IAM Identity Centerを理解する - サーバーワークスエンジニアブログ
こんにちは、Enterprise Cloud部 ソリューションアーキテクト1課 宮形 です。 仕事柄デジタル庁のホームぺージを見る機会が多いのですが、個人的な所感でレイアウトがシンプルで見やすいうえに先進的・未来的でカッコいいなと思っていました。文字フォントはオープンソース書体であるGoogle Noto Sans なのだそうです。Apache License 2.0 のライセンスルールのもと無償利用・再配布が認められているとのことで、弊社BLOGでも安心して表記することが出来るんですね。 www.digital.go.jp 本BLOGは 令和6年度ガバメントクラウド早期移行団体検証事業 から移行検証となった GCAS についてと、その認証統合に利用する AWS IAM Identity Center について自分の理解を整理したくまとめた内容となります。デジタル庁の資料にもキーワードとし
AWSマネジメントコンソールへのサインインを、IAMユーザー(ユーザー名とパスワード)認証でしていて疲弊していませんか? 毎回 私は疲れています。 私が担当する案件では、特別な理由がない限りIAM Identity Centerを経由してサインインすることにしています。 IAM Identity Centerを推奨している理由 理由①:IAMユーザーの資格情報が漏洩するリスクを最小限に抑えるため 情報漏洩リスクを排除するためには、注意喚起や社内ルールを設けるだけでは十分なセキュリティ対策とはなりません。IAMユーザー認証を使用しないか、又は別の認証手段に切り替える必要があります。IAM Identity Centerでは、内部でAWS Security Token Service(STS)が発行されるため、セッション時間による一時的な認証を実現できます。 理由②:複数アカウント間のサインイ
Using Amazon Detective for IAM investigations | Amazon Web Services
AWS Security Blog Using Amazon Detective for IAM investigations Uncovering AWS Identity and Access Management (IAM) users and roles potentially involved in a security event can be a complex task, requiring security analysts to gather and analyze data from various sources, and determine the full scope of affected resources. Amazon Detective includes Detective Investigation, a feature that you can
Amplified exposure: How AWS flaws made Amplify IAM roles vulnerable to takeover | Datadog Security Labs
research Amplified exposure: How AWS flaws made Amplify IAM roles vulnerable to takeover April 15, 2024 aws vulnerability disclosure Key Points We identified two variants of a vulnerability in AWS Amplify that exposed identity and access management (IAM) roles associated with Amplify projects, allowing them to become assumable by anyone in the world. If the authentication component was removed fro
Organizations 環境で組織タイプのIAM Access Analyzerの検出結果のみをEventBridgeで通知してみた | DevelopersIO
はじめに クラスメソッドメンバーズのAWSアカウントをご利用の場合、セキュリティ強化とメンバーズサービスの提供を目的として、複数のAWSサービスが自動的に有効化され、関連リソースが作成されます。 その一環として、cm-access-analyzerという名前のAWS IAM Access Analyzerが自動的に全リージョンで作成されます。このIAM Access Analyzerの信頼ゾーンはアカウント単位で設定されています。 以下の記事で解説されているように、マルチアカウント構成では、通常、管理アカウントのみに組織タイプのIAM Access Analyzerを作成し、メンバーアカウントにはIAM Access Analyzerを作成しないケースが多く見られます。 そのため、以前、メンバーアカウントのIAM Access Analyzerを削除するように、全メンバーアカウントにおける
[アップデード]IAM Access Analyzerのカスタムポリシーチェックでパブリックアクセスと重要リソースアクセスのチェックが追加されました! #AWSreInforce | DevelopersIO
[アップデード]IAM Access Analyzerのカスタムポリシーチェックでパブリックアクセスと重要リソースアクセスのチェックが追加されました! #AWSreInforce IAM Access Analyzerの自動推論を利用したチェックが強化されました!単純なdiffが難しいポリシーの設定で間違いないかという担保を得るために活用しましょう! こんにちは、臼田です。 みなさん、アクセス権限のチェックしてますか?(挨拶 今回はAWS re:Infore 2024にてIAM Access Analyzerのカスタムポリシーチェックが拡張されたので解説します。 AWS IAM Access Analyzer now offers policy checks for public and critical resource access - AWS IAM Access Analyzer
![[アップデード]IAM Access Analyzerのカスタムポリシーチェックでパブリックアクセスと重要リソースアクセスのチェックが追加されました! #AWSreInforce | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/d1ac42cfd4e5f0a287ed5db0380a987866b4dde2/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2024%2F06%2Feyecatch_awsreinforce2024_1200x630.png)
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?
G-gen の藤岡です。当記事では、Google Cloud (旧称 GCP) の Compute Engine VM から Cloud Storage バケットを操作する時に起きる権限エラーについて、実際のエラー内容からサービスアカウントの IAM 権限以外に疑うこと、その対処法について紹介します。 前提知識 事象 原因 エラー文の違い 対処 アクセススコープの変更 手動で作成したサービスアカウントをアタッチ ユーザーアカウントの使用 前提知識 Compute Engine (以下 GCE)は、デフォルトでは PROJECT_NUMBER-compute@developer.gserviceaccount.com のサービスアカウントが設定されます。但し、このサービスアカウントにはプロジェクトレベルで 編集者(roles/editor)ロールが付与されており、広範囲な権限を持っているため
AWS IAM Identity Center のサインインログを CloudTrail と Athena で確認する方法 | DevelopersIO
AWS IAM Identity Center のサインインログを CloudTrail と Athena で確認する方法 未使用 IAM ユーザーの定期的な棚卸しは、セキュリティリスク軽減に不可欠です。 AWS IAM Identity Center 管理のユーザーにおいて、「n 日以上ログインしていないユーザー(未使用ユーザー)を特定」できるのか検証しました。 本記事では、AWS CloudTrail と Amazon Athena を使用して、AWS IAM Identity Center のサインインログを分析する方法を紹介します。 本記事の目的 本ブログの主な目的は、IAM Identity Center で管理されているユーザーが、いつ、どの AWS アカウントに対して、どの許可セットの権限でサインインしているかを確認する方法を紹介します。 IAM Identity Cente
出張! #DevelopersIO IT技術ブログの中の人が語る勉強会 第一回で IAM の結果整合性をセッションポリシーで回避する話をしました | DevelopersIO
出張! #DevelopersIO IT技術ブログの中の人が語る勉強会 第一回で IAM の結果整合性をセッションポリシーで回避する話をしました 出張! #DevelopersIO IT技術ブログの中の人が語る勉強会という新たな勉強会の第一回に登壇しました。喋りたいことを喋れて満足しました。今後もお楽しみに。 コンバンハ、千葉(幸)です。 DevelopersIO、みなさん読んでますか?わたしは読んでます。(そしてたまに、書いてます。) DevelopersIO は(主に)技術的な内容が記載された「やってみたブログ」です。ブログなので、基本的には一度きり、一方向の情報発信です。そんなブログ記事について、書いた本人がもう少し深掘りして話してみよう、という勉強会が立ち上がりました。 DevelopersIO や Zenn を運営しているクラスメソッドのエンジニアが、ブログ記事を書いた本人が解説
AWS CLI設定ファイルの使い方: IAMロールの引き受けとMFA認証の設定方法 | DevelopersIO
AWS CLIやSDKを使用する際、~/.aws/config と ~/.aws/credentials の設定は欠かせません。 これらのファイルを正しく設定することで、複数のAWSアカウントやIAMロールを簡単に切り替えたり、セキュリティを強化した運用が可能になります。 この記事では、IAMロールの引き受け設定やMFA認証の構成について、実際の設定例を基に詳しく解説します。 1. AWS CLIの設定ファイルとは AWS CLIでは、以下の2つの設定ファイルを使用します。 1.1 ~/.aws/config ~/.aws/configファイルは、AWS CLIのプロファイル設定やリージョン、出力形式などの設定を管理するためのファイルです。 これにより、複数のプロファイルを定義して、異なるAWSアカウントや設定を簡単に切り替えることができます。 [default] output = jso
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AWSのIAMロールに必要な権限が付与されているかシミュレートするCLIツールを書いた - 私が歌川です
AWS IAM PolicyのForAllValuesを勘違いしてた件 - LayerX エンジニアブログ
AWS IAM Identity Center の棚卸しで権限クリープを防ぎたい
パスキーがAWS IAMの多要素認証として利用可能に
退所のお知らせ - 声優事務所 IAM AGENCY(アイアム エージェンシー)
三稔尚平 on X: "①先行で、小ネタ一つだけ。 立憲民主党政党本部から約9256万、石垣のりこ氏 の政治団体から約932万の報酬(政治資金)を受けていた菅野完氏の会社である「コーポレーション」だが、日本年金機構の「厚生年金保険・健康保険適用事業所検索」を掛けたところ、被保険者は1名。 https://t.co/bNSgO2AIPH https://t.co/Pgfn4q3iAM"
AWS入門ブログリレー2024〜AWS IAM編〜 | DevelopersIO
【AWS】触って理解するIAMユーザー、ロール、AssumeRole - Qiita
AWS - Lambda function URLs を IAM 署名付きでリクエストしてみる
AWSアカウントにサインインするときはIAM Identity Center経由にしましょう
DifyをEC2上に構築して、IAMロールでBedrockを呼び出す - Qiita
GCEからGCS操作時の権限エラーでサービスアカウントのIAM以外に疑うこと - G-gen Tech Blog