はじめに 2週間ほど前に、iPhone Xsが突然壊れ、いわゆるリンゴループに陥りました。Genius Barでもいろいろ調べてもらったのですが、水没でもなく、容量不足でもなく、ソフトウェアアップデートが起因でもなく、通電障害でもなく、原因はまったくもって不明です。Apple Careも切れていたので、交換修理の75,000円程度を払うのもバカバカしく、結局iPhone 12 Proに買い替えました。 ほとんどのデータをクラウドに逃がしているので、買い替え後の対応はスムーズで、初期設定~データ復旧までは数時間で完了することができました。みなさん、本当にバックアップは大事ですよ。 が、ひとつだけ問題がありました。二段階認証(ワンタイム認証)で使用する Google Authenticator です。 Google Authenticator のバックアップ Google Authentica
IAM の評価論理をやんわり押さえるセッション「やんわり押さえよう IAM の評価論理」で登壇しました #devio2021 | DevelopersIO
【やんわり】(副詞) ━ものやわらかであるさま。おだやかなさま。 (デジタル大辞泉より) コンバンハ、千葉(幸)です。 皆さんは IAM の評価論理って難しいと思っていませんか? 実は…… … …… ……… その通り、難しいんです。 やれアインディティベースポリシーとリソースベースポリシーだの、アカウントをまたぐまたがないだの、ガードレールがどうだの、暗黙的だの明示的だの、覚えることがたくさんあって難しいです。 詳細な内容は必要に迫られたときに考えるとして、「だいたいこういうことでしょ」とやんわり理解する状態を本セッションでは目指していきます。 セッションの雰囲気 これが…… こうなる感じ雰囲気のセッションです。 セッションで学べること 章ごとにサマリを描きます。 1. IAM JSON ポリシー IAM のポリシータイプは 6 つあること IAM JSON ポリシーの構成要素として Ef
最小権限のIAM Policy作成にCloudFormationのコマンドが役立つ | DevelopersIO
最小権限のIAM Policyを作成するのって地味に面倒ですよね。以前私は、Route53ホストゾーンにDNSレコード作成するのに必要な最小権限のPolicyを作るため、権限ゼロの状態から始めて、権限不足エラーが出るたびに権限を足していくという力技でPolicyを作ったことがあります。 Route53ホストゾーンにDNSレコードをTerraformで作成するのに必要な最小権限 | DevelopersIO もうちょっとスマートなやり方が、CloudFormation(CFn)のコマンドを使うとできる場合があることを学んだのでレポートします。 aws cloudformation describe-type そのコマンドが、 aws cloudformation describe-typeです。--typeオプションでRESOURCEを指定して、 --type-nameでCFnのリソースタイ
AWS IAM Userアクセスキーローテーションの自動化 | BLOG - DeNA Engineering
この記事は、 DeNA Advent Calendar 2021 の17日目の記事です。 こんにちは、 @karupanerura です。 普段はAWSやGCPを使って仕事をしています。 前作 に引き続き、AWS IAM Userのアクセスキーの定期的なローテーションを自動化したので、今回はそれについて書きます。 IAM Userの使いどころ IAM Userの利用にはアクセスキー(Access Key IDとAccess Key Secretの組)やコンソールログイン用のパスワードなどのクレデンシャルが必要です。 当然これらが漏洩すればそれを不正に利用され得るリスクがあるので、可能であればなるべくIAM Roleを利用するべきです。 IAM Roleならクレデンシャルの管理が不要で、アプリケーションやサービスに対してそのIAM Roleを通して任意の権限を与えることができるため、管理も非
特定の IAM ロールのみアクセスできる S3 バケットを実装する際に検討したあれこれ | DevelopersIO
今回は S3 バケットへのアクセスを特定 IAM ロールからのみに限定して利用する機会がありましたので、設定方法と検討したあれこれをご紹介します。 やりたいこと 構成図はこんな感じ 前提条件 IAM ロールと S3 バケットは同一アカウントに存在する IAM ロールには S3 を管理する権限がアタッチされている 今回は AmazonS3FullAccess ポリシーをアタッチしています NotPrincipal でやってみる 「特定 IAM ロール以外は制限する」という考え方でパッと思いつくのは、以下のような NotPrincipal で制限する方法かと思います。 バケットポリシー { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "NotPrincipal": { "AWS": "arn:aws:iam::xxxx
AWS Advanced JDBC WrapperによるAurora Postgresの高速フェイルオーバー - エムスリーテックブログ
【 デジスマチーム ブログリレー1日目】 こんにちは。 デジスマチームの山本です。 クリニック向けDXサービスであるデジスマ診療のWeb フロントエンド・バックエンド・インフラを担当しています。 今回は先日AWSから発表されたaws-advanced-jdbc-wrapperについて紹介します。 はじめに AWS Advanced JDBC Wrapper 提供Plugin フェイルオーバーとは これまでのフェイルオーバー対策 AWS Advanced JDBC Wrapperを利用した場合のフェイルオーバー対策 Failover Connection Plugin Host Monitoring Connection Plugin 導入方法 Gradle(Kotlin)での依存先の追加 Spring Boot + HikariCPでの設定例 実際に動かしてみた 何も設定しない場合 設定後
Amazon Web Services ブログ 最小権限実現への4ステップアプローチ 前編 AWS のセキュリティベストプラクティスを実現するに当たり、「最小権限の原則」に戸惑ったことはありませんか? AWS の利用では AWS Identity and Access Management (IAM)サービスを避けて通ることは出来ません。そのベストプラクティスとして掲げられているのが、最小権限の原則です。特に強固なセキュリティを求めるユースケースではこの原則の実現が課題になることが多いかと思います。本ブログでは、この最小権限の原則をシステマチックに検討するアプローチの一例をご紹介します。 はじめに 「最小権限を適切に運用する」ことを計画する際、まず思いつくのはシステムの運用や開発の視点で「必要」となる操作の権限のみを人やアプリケーションに付与するというアプローチです。シンプルですが、権限が
AWS IAM のコントロールプレーンはバージニア北部リージョンにのみ存在しその設定内容は各リージョンのデータプレーンに伝播される | DevelopersIO
AWS ドキュメントに IAM コントロールプレーンとデータプレーンの記述が増えた コンバンハ、千葉(幸)です。 ひとまず以下の絵を 90 秒くらい眺めてください。 眺めましたか? まだ 30 秒も経ってなくないですか?せっかくなのでもうちょっと見てください。 ……眺めましたね? 以上でこのエントリの内容は概ね終わりです。読んでいただきありがとうございました。 ちょっとだけ残りが続きます。 IAM レジリエンスのドキュメントに記述が増えてた AWS IAM のレジリエンス(復元力、耐障害性)に関する記述は以下ドキュメントにあります。 Resilience in AWS Identity and Access Management - AWS Identity and Access Management 上記のページは 2022/5/16 に更新されており、その段階で追記された内容は以下エン
こんにちは、株式会社スマートラウンドSREの@shonansurvivorsです。 私は今年5月に1人目のSREとしてこの会社に入社し、既に半年以上が経過しました。 2022年も終わりが近づいて来た中、この場を借りて、スタートアップの1人目SREとして、今年やってきたことを記録として残したいと思います。 なお、本記事で取り扱う内容はSREの理論や原理原則に沿って各種プラクティスを実践したこと、というよりは、セキュリティ、モニタリング、IaC、コスト、パフォーマンス、運用、開発効率などなど、いまこの組織で取り組むことでプロダクトと事業に貢献できるのではないか?と私なりに判断してきたこととなります。 そのため、Site Reliability Engineeringに関して学びのある記事にはなっていないと思いますし、また概ね時系列順に近い形で実施事項を羅列していきますので(述べ方が長たらしいと
はじめに 2023年、最初のブログはAWSセキュリティについて書きます。 MITRE ATT&CK(マイターアタック)という素晴らしいフレームワークには、非常に多くのナレッジが蓄積・公開されています。 パブリッククラウドサービスについても、各種クラウドごとにも纏められています。 さまざまな活用方法があるとは思いますが、自分なりの使い方の一つを共有しておきたいと思います。 今回、紹介するのは、インシデント発生後の再発防止についてです。 手順の概要 インシデント発生後、再発防止策の検討の際には、攻撃内容をもとにセキュリティホールを埋める対応を行いますが、多くの場合、担当者の知識ベースで考察します。 経験のあるエンジニアの場合、当初漏れてしまっていた対策も、この再発防止策を検討する際に気付けることが多いのですが、ここでMITRE ATT&CKと照らし合わせることで、攻撃者視点でのプロセスごとでの
Kubernetes サービスアカウントに対するきめ細やかな IAM ロール割り当ての紹介 | Amazon Web Services
Amazon Web Services ブログ Kubernetes サービスアカウントに対するきめ細やかな IAM ロール割り当ての紹介 本投稿は Micah Hausler と Michael Hausenblas による記事を翻訳したものです AWS ではお客様のニーズに最優先にフォーカスしています。Amazon EKS におけるアクセス権制御に関して、みなさまは「パブリックコンテナロードマップ」の Issue #23 にて EKS でのきめ細かい IAM ロールの利用方法 を求められていました。このニーズに応えるため、コミュニティでは kube2iam、kiam や Zalando’s IAM controller といったいくつかのオープンソースソリューションが登場しました。これらのソリューションは素晴らしいプロダクトであるだけでなく、それぞれのアプローチの要件及び制約は何なのか
GitHub - iann0036/iamlive: Generate an IAM policy from AWS, Azure, or Google Cloud (GCP) calls using client-side monitoring (CSM) or embedded proxy
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
こんにちは、上野です。 みなさん、AWSアカウントの初期セットアップはどうやっていますでしょうか。私も以下のような記事を書きましたが、いざすべてのAWSアカウントで毎回やるとなると大変ですよね。 tech.nri-net.com AWS Cloud Development Kit (CDK) を使用してAWSアカウントの初期セットアップができるBaseline Environment on AWS(BLEA) を使ってみたのでその紹介となります。 BLEAとは? シングルアカウントでセットアップする Chatbotの準備 認証情報の準備 初期設定 デプロイ 作成されたリソースの動作確認 カスタマイズしてみる 通知するConfigルールを増やす エントリポイントの修正 まとめ BLEAとは? 以下GitHubより Baseline Environment on AWS(BLEA) は 単独の
はじめに AWS のセキュリティブログにクラウドのアカウントを守るためのヒントが紹介されていたのでメモとしてまとめておきます。 aws.amazon.com はじめに 10 個のセキュリティアドバイス Accurate account info Use MFA No hard-coding secrets Limit security groups Intentional data policies Centralize AWS CloudTrail logs Validate IAM roles Take action on GuardDuty fidings Rotate your keys Being involved in dev cycle おわりに 10 個のセキュリティアドバイス AWS re:Invent 2019 では AWS の最高情報セキュリティ責任者である Step
GitHub Actions から AWS へのアクセスに利用している OpenID Connect ID Provider の thumbprint について調査した - ROUTE06 Tech Blog
ROUTE06 でエンジニアリングマネージャ兼ソフトウェアエンジニアとして働いております海老沢 (@satococoa) と申します。 先日発生した GitHub Actions と AWS の OpenID Connect 連携におけるトラブルに関して調査を行い、対応方針を策定した件を共有したいと思います。 [2023/07/10 追記] Thumbprint を明示的にユーザ側で設定しなくて良いように、AWS 側で対応されたそうです。 github.com 当面 Terraform のモジュール的には必須入力のままですが、任意の文字列で良いそうです。 (いずれ入力も不要になるのかと思います。) https://github.com/aws-actions/configure-aws-credentials/issues/357#issuecomment-1626357333 The A
本記事は わた推し~AWSアワードエンジニア編~ 1日目の記事です。 💻 イベント告知 ▶▶ 本記事 ▶▶ 2日目 💻 こんにちは、上野です。 NRIネットコム、2022 Japan APN Ambassadors / Top Engineers / ALL Certificate Engineers による推しテクシリーズです。 私が紹介するのはAWS Single Sign-On (AWS SSO)です。最高のサービスです。 AWS SSOの概要 AWS SSOを有効にすると、一元管理された(一つの)ユーザー名/パスワードでログインすることにより、複数のAWSアカウントへログインできるようになります。 ↓はログイン画面です。 ログインすると・・権限があるAWSアカウントが一覧で表示され、各AWSアカウントへログインできます。 便利ですね。 AWS SSOの仕組み AWS SSOで重
AWS Config の料金がなぜこんなに高い? Amazon Athena でどのリソースが Config の記録対象になっているか調べてみた | DevelopersIO
わたしの検証環境で試していきます。 Config の設定確認 AWS Config 配信チャネルで、出力先の S3 バケットがどこであるか確認しましょう。 普段独立したリソースとして意識する機会は少ないと思いますが、マネジメントコンソールで以下から確認できる部分は配信チャネルの設定を表しています。 S3 バケットに格納されたオブジェクトの URI の例は以下です。 s3://バケット名/AWSLogs/アカウント番号/Config/ap-northeast-1/2021/9/24/ConfigSnapshot/ファイル名.json.gz ちょっとした気づきですが、yyyy/mm/dd形式になっていません。2021/09/24のように月や日を 2 桁に揃えてくれるわけでなく、元の数字が 1 桁のままであればそのまま 1 桁です。 Athena のクエリ結果の出力先 S3 バケットの作成 今回
この IAM ユーザーが過去30日間にアクセスした AWS サービスを一覧化してください と言われたら | DevelopersIO
コンバンハ、千葉(幸)です。 タイトルの通りですが、特定の IAM ユーザーが過去一定期間でアクセスした AWS サービスを一覧で見たい、と言われたら皆さんはどのようなアプローチをとりますか? IAM ユーザーに限らず、グループ、ロール、ポリシーに置き換えてもよいです。 実は、以下の AWS CLI コマンドを使えば簡単にそのような要件に対応できます。 generate-service-last-accessed-details — AWS CLI 2.0.42 Command Reference get-service-last-accessed-details — AWS CLI 2.0.42 Command Reference これらのコマンドはまったく目新しい機能ではないですが、たまたま流れてきたツイートで存在を知りました。試したところ面白そうだったのでご紹介します。 1/ Hey
AWS IAM で障害が起こったらどうなるの? AWS IAM のレジリエンス(復元力)に関する記述がドキュメントに追記されていた | DevelopersIO
コンバンハ、千葉(幸)です。 AWS サービスで広範囲の障害が起こったときにどう備えるか?は AWS を利用する上では避けて通れない課題です。 例えば Amazon EC2 であれば、アベイラビリティゾーン(AZ)単位での障害に備えてマルチ AZ 構成にしておく、リージョン単位の障害に備えて別リージョンにバックアップを退避させておく、などの構成が思いつきます。 では AWS IAM で障害が起こったときに備えてどうすべきか?改めて問われると難しい問題です。わたしはぼんやりと「そもそも障害が起こることはないんじゃないか?そもそも AWS IAM における障害って何?」という思いを抱いていました。 そんな折、いつものように AWS IAM のドキュメントの更新履歴を眺めていると IAM のレジリエンスに関する更新が行われていることに気がつきました。 Document history for I
MFA認証を使ったAssumeRoleでシンプルにTerraformを実行する(aws configure export-credentials) | DevelopersIO
MFA認証を使ったAssumeRoleでシンプルにTerraformを実行する(aws configure export-credentials) Terraform実行時のMFA認証を使ったAssume Roleを楽にできる方法がないか調べていたら、以下のコメントを見つけました。 Doesn't ask MFA token code when using assume_role with MFA required #2420 どうやらツールや長いコマンドの実行なしで、MFA認証ありでも簡単にAssume Roleができそうです。 便利だったのでブログにしてみました。 TerraformのMFA認証事情は以下のブログをご確認ください。 結論 この方法では、aws-vaultやaws-mfaなどのツールは不要です。 以下のようにProfileを用意して、terraformのコマンドを打つだけ
7 年間溜めた AWS IAM AWS 管理ポリシーへの愛を語りました #devio2022 | DevelopersIO
7 年前からが好きだよ AWS 管理ポリシー コンバンハ、千葉(幸)です。 弊社主催のオンラインイベントDevelopersIO 2022の「アルティメットLT AWS愛を語り尽くす!AWS バーサス クラスメソッド 〜むしろお前が好きだよ〜」で AWS IAM AWS 管理ポリシーへの愛を語ってきました。 ここが好きだよ AWS 管理ポリシー 好きなポイントをかいつまんで書きます。 新サービスや新機能の発表の前に作成・更新されていることがある 新サービスや新機能が発表される前から、それらのための AWS 管理ポリシーが作成・更新されていることが多いです。 AWS管理ポリシーの更新をウォッチすることで、「もしかしたらこんなことできるようになるのかな?」という想像が捗ったりします。 数が多い 2022/8/1 時点で 960個以上の AWS 管理ポリシーがありました。推しを見つけたくなります
コンニチハ、千葉です。 監査ログを悪意ある削除から、何が何でも守っていくぞのコーナーです。 みなさんは、AWSの監査ログ(CloudTrail)をどのように保護していますか? CloudTrail を保護するために CloudTrail ログファイルの整合性の検証を有効化 CloudTrail ログファイルを暗号化 S3上のファイルを削除から守るために MFA削除の設定 が考えられます。 よし、保護している!って思っても、ユーザーが Admin 権限を持っている場合、暗号化していようが整合性チェックしていようがデータは削除可能です。しかも、 CloudTrail のレコーディング自体を停止 もできちゃいます。つまり、監査ログが保存されなくなり、何が行われたのか調査が難しくなります。 もしも、万が一、強い 権限がある Admin が第3者に渡ったとしても、大切なログを守りたいです。Admin
![[AWS]監査ログを悪意ある削除から守る | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/3a9299c22c271be79f273b6db38d8ba6bc81bd1c/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2021%2F05%2F8823428add162ea6925215296ff8c67f.png)
Auth0第一歩 ~複数のAWSアカウントにSAML認証でシングルサインオン~ | DevelopersIO
おうちプロジェクトでSlack,Trello,AWS,Githubなんかを使っているのですが、メンバーが数人にも関わらずアカウント管理がめんどくさくなってしまいました。経験がある人も多いかと思います。せっかくなんでシングルサインオン(SSO)試してみるか と思い、最近グイグイきているAuth0を試すことにしました。 Auth0 Auth0はWebサービス、モバイルアプリ、IoT、社内アプリケーションの為のソリューションです 弊社のパートナーで、導入のサポートなども行っております。興味のある方は下記をご参照ください。 クラスメソッド > パートナー > 次世代認証基盤サービス「Auth0」 シングルサインオン(SSO)ログイン 単一の資格情報を使ってアプリケーションにログインすることで、様々なアプリケーションに自動的にサインインします。 使用しているサービスやアプリケーションごとに資格情報を
※この投稿は米国時間 2023 年 2 月 18 日に、Google Cloud blog に投稿されたものの抄訳です。 Cloud Run を使用すれば、デベロッパーは、Google のスケーラブルなインフラストラクチャ上で実行されるサーバーレス環境に本番環境のウェブ アプリケーションと API を簡単にデプロイできます。開発チームは Cloud Run を活用して開発のアジリティを向上させ、迅速に反復処理できますが、多くの場合、インフラストラクチャのセキュリティ体制が見落とされています。十分な注意が払われていないセキュリティの側面として特に注目すべきなのが、アクセス管理と最小権限の原則です。 最小権限の原則とは、あるリソースに対してその機能に必要なリソースのみへのアクセスを許可することを示します。この原則は、ID の侵害によって攻撃者に幅広いリソースへのアクセスが許可されるリスクに対応
マルチアカウントな AWS環境のマネジメントコンソールへのアクセス方法をまとめてみた | DevelopersIO
※認証情報管理 … 管理する認証情報がどれだけ増えるか ✕ … 利用者につき複数 △ … 利用者につき1つ ◯ … 無し 以下で 各アクセス手段を簡単に説明します。 アクセス手段『IAMユーザー』 各AWSアカウントへ IAMユーザーを作る方法です。 各アカウント上に 認証情報※ を保持する必要があります。 ※認証情報は パスワード(マネコンへのログイン) や アクセスキー(CLI/API利用) です 各アカウントへIAMユーザーを展開するため 『誰がどのAWSアカウントへアクセスできるか』の把握が困難 『認証情報の複数管理』が大変 (これはセキュリティリスク増大にも繋がります) といったデメリットがあるため、一般にはおすすめしません。 ▼ セキュリティや運用のTips 最小権限に絞ることを意識しましょう IAMユーザーグループ を使った権限管理を行いましょう 認証の強化(多要素認証:MF
こんにちは。計測プラットフォーム本部バックエンド部SREチームの市橋です。 私たちのチームではZOZOSUIT、ZOZOMAT、ZOZOGLASSといった計測技術に関わるシステムの開発、運用を担当しています。現在のZOZOMATとZOZOGLASSは、どちらも独立したEKSクラスタ上で動いていますが、ZOZOGLASSの環境を構築する際に将来のマルチテナント化を踏まえ大きく設計を見直しました。今回は、この設計見直し時に考慮した点を紹介します。 ZOZOGLASSとは ZOZOGLASSは顔の情報を計測し、イエローベースとブルーベースの2タイプ、及び春夏秋冬の4タイプの組み合わせからなるパーソナルカラーを診断するサービスです。計測した顔の情報から肌の色に近いファンデーションを推薦します。2021年7月時点で、ZOZOGLASSが推薦するコスメアイテムはファンデーションのみですが、今後はファン
初めに IAMのアクセスキーが漏洩してしまった際に、漏洩を検知して対象のIAMアクセスキーを削除する仕組みを作る必要があったのでその内容について記載します。 構成 Trusted Adviserのルールを利用してEventBridegeで検知し、SNSを利用して通知し、Step FunctionsとLambdaで検知したIAMアクセスキーを削除します。 構成としては以下のようになります。 ※この構成はTrusted Adviserがバージニア北部リージョンでしか情報を取得できない関係で、バージニア北部リージョンで作成する必要があります。 今回は以下のTrusted Advisor toolsを参考にしました。 Trusted Adviser Trusted Adviserでは有効化しておけば特に設定しておくことはないです。 「漏洩したアクセスキー」のルールを使用してIAMアクセスキーの漏洩
Amazon RDS が使用する IAM ロールをうっかり絵を描いて整理してみた | DevelopersIO
コンバンハ、千葉(幸)です。 突然ですが問題です。 Amazon RDS では、データベースのログファイルを CloudWatch Logs に出力することができます。RDS のセットアップ時にログ出力を有効にすれば、CloudWatch Logs ロググループの作成や、ログストリームへのログのプッシュが行われます。 (エンジンにより出力できるログの種類や必要な設定に細かい違いがありますがここではあまり気にしない方向で……。) 上記で太字にしたようなアクションは、次のうちのどのロールに割り当てられた権限によって実現されているでしょうか。最も適切なものを選択してください。(10点) a. RDS が使用する AWS サービスにリンクされたロール b. RDS が使用する AWS サービスロール c. RDS の DB インスタンスもしくはクラスターに関連づけられたロール d. 上記のうちどれ
オペレーション部加藤(早)です。 AWSアクセスキーセキュリティ意識向上委員会って何? 昨今、AWSのアクセスキーを漏洩させてしまうことが原因でアカウントへの侵入を受け、 多額の利用費発生・情報漏洩疑いなど重大なセキュリティ事案が発生するケースが実際に多々起きています。 そこで、アクセスキー運用に関する安全向上の取組みをブログでご紹介する企画をはじめました。 アクセスキーを利用する場合は利用する上でのリスクを正しく理解し、 セキュリティ対策を事前に適用した上で適切にご利用ください。 はじめに AWSアクセスキー/シークレットキーの漏洩により不正利用が発生すると、緊急の対応が必要な上かなりの工数も取られて相当しんどいです。 なので本当は漏洩させないのが1番です。が、万が一の時慌てて二次被害を産まないよう、対応について予習をしておきましょう! 本記事では、以下のAWS公式ドキュメントを参考にご
G-genの杉村です。Google Cloud (旧称 GCP) の Identity and Access Management(略称 IAM)は、きちんと使いこなすことで強力なセキュリティ統制を効かせることができます。本投稿では、その内部構造まで解き明かしていきます。 Cloud IAM とは ID (アカウント) Google Cloud におけるアカウント管理 AWS の IAM User との違い Google アカウントとグループ サービスアカウント 解説記事 IAM の仕組み IAM とリソースの関係 継承 許可と拒否 IAM の内部構造 (IAM Policy とは) gcloud コマンドによる IAM Policy 操作 AWS IAM との比較と連携 概要 ID (IAM User) 概念の違い 用語の違い AWS IAM と Google Cloud IAM の連携
秘密情報をGitLabに格納することなくGoogle Cloud / AWSに対して認証する - エムスリーテックブログ
エムスリーエンジニアリンググループ AI・機械学習チームの笹川です。 趣味はバスケと筋トレで、このところはNBAはオフシーズンですが、代わりにユーロバスケが盛り上がっていて、NBAに来ていない良いプレーヤーがたくさんいるんだなーと思いながら見ています。 夜ご飯を催促するためデスク横で待機する犬氏(かわいい) 今回は、パブリッククラウドへの認証に必要な秘密情報をGitLab自体に格納することなく、安全に認証する方法について紹介します。 CI/CDの実行時のパブリッククラウドに対する認証 ナイーブな手法とその問題点 OpenID Connectを用いた認証 Terraformでパブリッククラウド側の設定を記述する Google Cloudの場合 AWSの場合 GitLab CI/CDで認証する Google Cloudの場合 AWSの場合 認証ステップの共通化 まとめ We are hirin
GCPに構築したシステムを安全に運用するための一時権限付与の仕組みについて - TVer Tech Blog
データシステム担当の黒瀬です。 こちらは、TVer Advent Calendar 2022の9日目の記事です。 この記事では、TVerで運用しているデータシステムの基本的な権限管理ポリシーについてご紹介します。 大まかな内容 GCP上に構築しているデータシステムをメンテナンスする際の権限を、従来は管理者が手動管理していたが、この運用にはリスクがありました。 そこで、権限を付与するためのサービスアカウントを経由する仕組みおよびその趣旨を明確にするルールを導入しました。 結果、管理者に依存せずにメンテナンスができる運用が可能になりました。 背景 TVerでは、主にBigQueryに視聴ログなどのデータを集約し、その上で集計や分析をするという方針をとっています。 ログを収集するシステムはAWSやGCPなど要件に合わせて各所に構築されていますが、これらからBigQueryへデータを収集・集約する
LayerX Fintech事業部(※)で、ガバナンス・コンプラエンジニアリングをしている 鈴木 (@ken5scal )です。 ※三井物産デジタル・アセットマネジメントに出向しています。 今回は、AWS IAMポリシーの条件における「ForAllValues」の仕様を誤って理解していたことから、安全でないアクセス制御を実装していたという内容です。もし同様の勘違いをされている方がいたら参考になれば幸いです。 ユースケース AWS IAMユーザーを、ロールの trust policy がユーザーのタグで制御するケースで考えます。 具体的には、「Group A あるいは Group B」に所属し、且つ「Admin」権限のあるユーザーのみが行使できる役割「AdminABRole」があるとしましょう。 この場合、Group と Admin のタグが存在し、下記のようなパターン(※)が考えられます。
. ├── backend.conf ├── main.tf ├── registry.tf ├── terraform.tfvars └── variables.tf main.tfでは、terraformのバージョン指定とサービスアカウントのroleの指定が定義されています。repo_nameは権限を与えるgithubリポジトリなので、この段階で連携するリポジトリを決めておく必要があります。 terraform { required_version = "~> 1.1.9" backend "gcs" { prefix = "terraform/state" } } locals { cloudrun_roles = [ "roles/run.developer", "roles/iam.serviceAccountUser" ] } resource "google_project_
Best Practices for AWS Organizations Service Control Policies in a Multi-Account Environment | Amazon Web Services
AWS for Industries Best Practices for AWS Organizations Service Control Policies in a Multi-Account Environment AWS financial services industry (FSI) customers often seek guidance on how to set up their AWS environment and accounts for best results. AWS has created a unified set of recommendations, called the multi-account strategy, to help customers like you make the best use of your AWS resource
IaCでセキュリティを強化しよう!~IAMが苦手な開発者でも簡単に権限を絞れる。そう、AWS CDKならね!~/secjaws32
「Security-JAWS【第32回】」での登壇資料です。 イベントURL:https://s-jaws.doorkeeper.jp/events/167836
IAMのセキュアな利用 ココを押さえておけばOK というタイトルで登壇しました #AKIBAAWS | DevelopersIO
【8/17(火)リモート開催】AKIBA.AWS ONLINE #06 – AWS IAM 編- で登壇しました。スライド資料を共有します。 資料
背景 去年7月にIAM Roles Anywhereがリリースされ、アクセスキー管理が不要でAWSの外部のリソースに対してIAMロールを割り当てるできるようになりました。 しかし公式のドキュメントには自己署名証明書を作成する方法が記載されていませんし、現在ネット上に上がっている記事では手順も複雑でなかなか容易に作成できないものが多いと感じました。 なので今回はIAM Roles Anywhere + 自己署名証明書を爆速で作成する方法を紹介します。 また、GitHub上にIAM Roles Anywhere作成のスクリプトも公開していますので、良かったらご活用ください。 1. cfsslのインストール まずはcfsslをインストールします。cfsslは簡単にCSR、秘密鍵を作成できるツールです。 opensslですといろんなオプションを指定しないといけないし、アルゴリズムを間違えたら信頼ア
AWS IAM Identity Center において一時的なアクセス許可を与える仕組みを提供する Temporary Elevated Access Management (TEAM) ソリューションを試してみた | DevelopersIO
AWS IAM Identity Center において一時的なアクセス許可を与える仕組みを提供する Temporary Elevated Access Management (TEAM) ソリューションを試してみた AWS IAM Identity Center で一時的なアクセス許可を与える仕組みを提供するソリューション Temporary Elevated Access Management (TEAM) が aws-samples で公開されました。例えば、特定の AWS アカウントへの AdministratorAccess 権限のアクセスを利用者が申請し、上長が承認する、といった運用を実現できます。 AWS のブログでも TEAM の使い方が紹介されています。 本ブログでは TEAM ソリューションをデプロイし、AWS アカウントへの一時的なアクセスの申請と承認を試してみます。
メルペイSREチームの @tjunです。この記事は、Merpay Tech Openness Month 2020 の19日目の記事です。 今日は、メルペイSREチームのオペレーションのために開発して利用している Qray(クレイ) というツールの話をします。 はじめに メルペイでは、Google Cloud Platform(以下GCP)を利用してサービスを構築し動かしています。 GCPには Cloud Identity and Access Management (IAM) という権限管理の仕組みがあります。IAMを適切に管理して、アカウントに最低限の権限を付与することがクラウドサービスを安全に利用するためには必要なことです。これはSREが持つ本番環境に対する権限についても同様で、できるだけ本番環境に対する権限を持たないようにしておきたいのですが、障害対応など本番環境でのオペレーション
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
MFAデバイスが機能しなくなってAWSアカウントにログインできなくなった場合の対処法 - おれさまラボ
最小権限実現への4ステップアプローチ 前編 | Amazon Web Services
スタートアップの1人目SREが入社後にやってきたこと
自己流AWSセキュリティインシデント発生時のMITRE ATT&CKの活用 - Qiita
BLEA(CDK)を使用したAWSアカウントの簡単セットアップ - NRIネットコムBlog
AWS CISO からの セキュリティに関する 10 個のアドバイス - おれさまラボ
AWS SSOを活用して安全かつ効率的にAWSへアクセスする - NRIネットコムBlog
[AWS]監査ログを悪意ある削除から守る | DevelopersIO
最小権限の原則による Cloud Run のデプロイ保護 | Google Cloud 公式ブログ
EKSのマルチテナント化を踏まえたZOZOGLASSのシステム設計 - ZOZO TECH BLOG
AWSでアクセスキーが漏洩した時に検知・削除する仕組みを実装する - Qiita
アクセスキー/シークレットキーが漏洩してしまった!一体何をすればいいの? | DevelopersIO
これで分かった!Google CloudのIAMの仕組みやAWSとの違い - G-gen Tech Blog
AWS IAM PolicyのForAllValuesを勘違いしてた件 - LayerX エンジニアブログ
Cloud RunをGithub ActionsとTerraformで管理する
IAM Roles Anywhere + 自己署名証明書 を爆速で作ってみた
権限をQray -SREへの一時的な本番環境権限付与のしくみ- | メルカリエンジニアリング
news.yahoo.co.jp
rio.px.ebb.jp
news.yahoo.co.jp
note.com/renaart
amass.jp
s.akiba-souken.com