Register as a new user and use Qiita more conveniently You get articles that match your needsYou can efficiently read back useful informationYou can use dark themeWhat you can do with signing up
안녕하세요 클래스메소드 김재욱(Kim Jaewook) 입니다. 이번에는 EC2 Windows에서 Switch Role을 해 보는 과정을 정리해 봤습니다. Mac OS에서 롤 전환 및 AWS CLI 환경을 설정하는 방법은 아래 블로그를 참고해 주세요. EC2 Windows에 접속하는 방법은 아래 블로그를 참고해 주세요. AWS CLI 다운로드 아래 링크에서 AWS CLI를 다운로드 합니다. Windows탭에서 위 이미지와 동일한 링크를 클릭해서 AWS CLI를 다운로드 합니다. AWS CLI 설치가 끝났다면, powershell로 정상적으로 설치가 되었는지 확인합니다. aws --version 명령어를 입력하고. 버전이 출력되면 정상적으로 설치된 상태입니다. aws configure 설정 이제 aws conf
terraform: AWS provider や s3 backend の設定に role の arn をハードコードせずに switch role や MFA 環境で実行する方法AWSTerraform 概要 terraform を MFA 認証有の IAM ユーザ権限で switch role しつつ実行するのに手間どったので、対応方法を記載しておきます。 実行時に使用する switch role 先の arn を aws provider や s3 backend 設定にハードコードすると簡単にできるらしいのですが、role は環境(開発/テスト/本番)依存するものなので、ハードコードしたくないですよね。 同じようなことで困っている人は世の中にそこそこいて、関連する issue がいくつか挙がっています。 その中で、terraform の開発者っぽい人が、"terraform は自
「異世界Role-Players」第9回:造られた命〜It's Alive! It's Alive!! ライター:友野 詳(グループSNE) イラスト:鈴城 芹 ある雷鳴響く夜の冒険 語り部:今日の依頼は,ダンジョンのモンスターからだよ 戦士:なんだよ。自分達を退治してくれってか? 語り部:ダンジョンと言っても,おとなしい連中が住んでいるモンスターの町,みたいなところだ。ところが近ごろ,次々にモンスターが襲われて体の一部分を奪われる事件が発生しているそうだ。どうやら人間の仕業らしい。ということで,君達に依頼が来た 戦士:モンスターを襲う人間!? そんなのがいるなんて……驚いたぜ! 魔術師:おい,冒険者。自分達の仕事が何か分かってるか? 調査の結果,冒険者達は町はずれの丘の上に立つ,古びた館にたどりついた。稲妻とどろく夜,冒険者達が館の奥で出会ったのは,歪んだ天才と呼ばれた錬金術師だった……
RailsでPostgreSQLを使うぞ!「FATAL: role "postgres" does not existの解消」にむけてRubyRailsPostgreSQLpostgres はじめに Railsチュートリアなんとか一通り終え(理解度としては3割程度なので終えたと言えるかどうかはおいといて...)、 自身のローカル環境にてRuby, Railsの環境を構築する際に発生した問題に関して、自身のメモのため、初学者の方で同様の問題が発生した方向けに投稿します! 開発環境 macOS Catalina 10.15.7 MacBook Pro (13-inch, 2020, Two Thunderbolt 3 ports) プロセッサ 1.4 GHz クアッドコアIntel Core i5 メモリ 8GB Ruby 2.5.7 Rails 5.2.3 PostgreSQL 13.1 導
// AzureADの監査ログを対象とする AuditLogs // 大文字小文字区別せずに CategoryフィールドがRoleManagementのものに絞り込む | where Category =~ "RoleManagement" // 操作の種類が付与のものに絞り込む // https://cloudsteady.jp/post/33813/ | where AADOperationType in ("Assign", "AssignEligibleRole") // アクティビティもしくは操作の名称がPIMもしくはアクティブによる権限追加によるものに絞り込む // ※ユーザー、グループ問わずに権限付与された際は上記文字列になることに注意 | where ActivityDisplayName has_any ("Add eligible member to role", "A
Ansible Galaxyに自作ロールを登録するには 今度は自分で作ったロールをAnsible Galaxyで公開する際の手順を紹介します。 ロールをAnsible Galaxyに公開するに当たり、READMEファイルとメタ情報ファイルの2つを編集する必要があります。どちらのファイルもロールのテンプレート作成時に自動生成したファイルに「どのような内容を書くべきか」の説明が書かれています。 書くべき内容については後述しますが、具体的な記述内容についてはAnsible Galaxyで公開されているロールを参考にしてみてください。参考までに、筆者が作成した「CentOSの初期設定用にポート変更やファイアウォール設定を行う」ロールを以下で公開しています。 https://galaxy.ansible.com/tsyki/centos7-setup/ ロールのテンプレートを作成 ロールを作成するに
以前の記事の続編ということになりそう。 awsのassume-roleに対応していなそうなコマンドを無理やり使う方法のメモ - podhmo's diary ほとんど内容はタイトル通りで、assume roleに対応していないようなコマンドがある。それを使うにはどうすれば良いかという話。 以前の記事では aws sts assume-role で頑張って一時的なsession tokenを作成して実行ということをしていたのだけれど、これをライブラリ側に任せてしまえる環境変数があることを知った。具体的には AWS_SDK_LOAD_CONFIG=1 をつけて実行すれば良い。 詳細 ドキュメントの Sessions with a Shared Configuration File の部分を見れば良い。 Sessions with a Shared Configuration File Usin
※ChatGPT公式サイトでGPTs版が無料で利用できるようになったため、今後はそちらをご利用ください。 このページでは、APIキーを登録した場合のみご利用頂けます。 GPTs版はこちら
Integrate AWS IAM with Kubernetes. Contribute to uswitch/kiam development by creating an account on GitHub. uswitch/kiam で Kubernetes Pod に対して IAM role を割り当て、動作を確認する Kubernetes cluster は kops で AWS 上に構築したものを使う 検証用の S3 bucket を使い Pod に割り当てた role の有無で参照可能/不可能になることを確認する 前回検証した kube2iam と同様に、 IAM role を Pod に対して割り当てられるようにしてくれるやーつ。 kube2iamの記事:
対象読者 ※要点整理から攻略するAWS認定 セキュリティ・専門知識を参考に作成 この図を見た時、教科書的な説明は思い浮かぶが、実際の所IAM Roleについてよくわからない人 試験ではアクセスキーは×、IAM Roleは〇のように覚えてしまった人 こういった方に私なりに整理して、IAM Roleとは何かをお伝えできればと思います。 間違いなどありましたらコメントや編集リクエストいただければ確認し返答いたします。 結論 IAM Roleは「ユーザが管理しなくていいアクセスキー」で「ユーザーとサービス」に「一時的」に権限を渡している。 PrincipalでそのRoleを使っていいアカウント・AWSサービス等を限定する。 この記事で説明すること アクセスキーのデメリット IAM Roleによるデメリットの解消 Principalについて まずアクセスキーとIAM Roleを知ることで、アクセスキ
どうも!DA部の春田です。 本記事では、Informatica Intelligent Cloud Services(以下、IICS)でAmazon S3に接続するためのコネクタを作成していきます。 S3に接続するためには、以下の方法がありますが、今回はIAM Roleを使った方法をご紹介します。 S3バケットでパブリックアクセスを許可する IICSにAWSのAWS_ACCESS_KEY_IDとAWS_SECRET_ACCESS_KEYを登録する Secure Agentに付与したIAM Roleを使用する。 シークレットをそのまま登録するのは少し気が引けますからね…。S3に接続する際はこれがベストプラクティスとなるはずです。 事前準備 IAM Roleで接続するためには、EC2インスタンスでSecure Agentが稼働している必要があります。Secure Agentサーバーの構築方法に
前置き この記事は株式会社ビットキー 情シス Advent Calendar 2023 の5日目の投稿です。 はじめまして。株式会社ビットキーの日浦です。 当社の情シスは少数精鋭なため、同じ人が何回も投稿する場合もあります。頑張ります。 ビットキーでは業務シーンで多くのSaaSを利用しており、最近は管理コストの削減や管理精度の向上のために最近流行っている「SaaS管理SaaS」の検討を行っています。 期待する効果としては SaaS上のアカウントの可視化・棚卸し 一箇所で見えることは大事。 SaaSだけじゃなくてIaaSやPaaSも対象にしたい 要するにAWSやGCPのIAMですね。結論、大体のSaaSで対応可能 どのツールも低コストでアカウントの管理に関わる問題を解消できそうで、その有効性を実感しています。 しかし、私が試しに触らせていただいたところ、弊社の環境ではどのツールでも共通してA
こんにちは。たかやまです。 こちらのブログで紹介したとおりIAM Access AnalyzerのIAM Role検知はすべてのリージョンで行われてしまうため通知する場合にノイズになります。ブログではEventBridgeを使い、IAM Roleの通知を抑制する方法をご紹介しました。 このブログを書いたあとアーカイブルールでIAM Roleを抑制すれば同様のことができるなと思い、今回はマルチリージョンにIAM Roleの検知を抑制するアーカイブルールの作成スクリプトをご紹介したいと思います。 後述しますが、こちらのほうがSecurity Hubの情報もすっきりするのでおすすめです。 1つのリージョンを除いてアーカイブルールを作成する 複数リージョンでIAM Role検知のアーカイブルールを作成するスクリプトはこちらになります。各変数には環境に合わせて以下の値を設定してCloudShellな
Terraform利用時のアクセスキー管理から脱却!assume_roleを活用して複数環境の管理を楽にする方法 こんにちは、tkgです。 AWSの活用を進めている場合、一つのワークロードでも複数のAWSアカウントを保有している場合があります。 弊社のようなマネージドサービス事業者の場合は言わずもがな、様々なお客様のアカウントをお預かりしています。 Terraformで複数のアカウントをコード管理しようとすると、ネックになるのは認証情報、アクセスキーの取り扱いです。 手動での対応は対象アカウントの間違えや事故につながりますので、何かしらの手段を講じる必要があります。 複数アカウント環境でのスムーズなTerraformの利用について、現在利用している仕組みをまとめてみたいと思います。 ロールでの権限の継承 AWSアカウントを複数利用する場合、スイッチロールやIAM Identity Cent
クライアントVPNエンドポイント作成時に Please ensure that you have the iam:CreateServiceLinkedRole permission configure for your user/role エラーが発生する時の対処方法 困っていた内容 IAMポリシーの"aws:SourceIp"条件キーで送信元IPを指定しリクエストを制限しています。 操作に使用しているIAMユーザーにはAdministorator権限が付与されており、送信元IPで接続してしていることも確認していますが、クライアントVPNエンドポイント作成時に権限が足りないとエラーが発生しています。 原因と対処方法を教えてください。 原因 アクションによってはAWSサービスが内部的に他のAWSサービス呼び出す場合があります。この場合に、"aws:SourceIp"条件キーを使用したアクセ
PostgreSQLでroleを作成する /PG::ConnectionBad: FATAL: role "postgres" does not existRailsPostgreSQL初心者初心者向け まずはじめに 今回の記事はあくまで自分のメモ用みたいなものです。 そのため、間違っていることや、表現の誤りなども含むと思いますので、鵜呑みにはしないでください。 また、心の優しい方がいれば、そっと間違いを指摘していただけると学びの励みになるので、すごく嬉しいです。。。 エラー内容 Rails, PostgreSQLで環境構築をしていると、以下のエラーが発生。 ActiveRecord::ConnectionNotEstablished: FATAL: role "postgres" does not exist Caused by: PG::ConnectionBad: FATAL: ro
困っていること パッチ自動化のため AWS Systems Manager の一機能であるメンテナンスウィンドウを利用して、Run Command のコマンド実行を実施したいと考えています。 メンテナンスウィンドウから起動させようとしたのですが、タスク呼び出しで「Unable to assume the provided role.」 or 「The specified service role is invalid.」のエラーで想定される挙動となりません。 回避方法を教えてください。 どう対応すればいいの? 前提として、メンテナンスウィンドウの Run Command タスクにアタッチしている IAM サービスロールに、実行に必要な IAM ポリシーが付与されている場合、 ポリシーの信頼関係が不足していることが原因として考えられます。 例) Run Command タスクに使用する IA
Rundeckで playbookをclone → galaxyでroleを取ってくる → Ansible流す という感じのことをやった。わりと手こずったのでメモ。 こんなイメージ。 環境 MacにVagrantでCentOS7を立ててやった。 適当なVagrantfileを書いて2ノード立てる。node01にRundeckとAnsibleを入れて、Playbookをnode02に流すという感じ。 # -*- mode: ruby -*- # vi: set ft=ruby : Vagrant.configure(2) do |config| config.vm.box = "minimal/centos7" config.vm.define "node01" do |centos| centos.vm.network :forwarded_port, id: "ssh", guest:
Khi muốn switch role, trên AWS Management Console chúng ta chỉ cần vài cú click. Tuy nhiên với AWS Command Line Interface (CLI) thì chúng ta cần một vài bước thiết lập. Khi muốn switch role, trên AWS Management Console chúng ta chỉ cần vài cú click. Tuy nhiên với AWS Command Line Interface (CLI) thì chúng ta cần một vài bước thiết lập. I. Role và switch role Trong AWS, chúng ta sẽ không làm việc t
ウンベルト・エーコ, 『読者の役割 : テクスト記号学の研究』, Umberto Eco, The Role of the Reader - Explorations in the Semiotics of Texts, Indiana University Press, Bloomington & London, 1979, 273p.
[AWS IoT TwinMaker] ワークスペースを削除しようとすると “Could not assume the role provided, verify permissions” というエラーとなる場合の対処 こんにちは、CX 事業本部 Delivery 部の若槻です。 AWS IoT TwinMaker を利用する際には、すべてのリソースの最上位のコンテナとなる「ワークスペース (Workspace)」をはじめにに作成し、その中にデジタルツインの構築に必要なリソースを作成していくことになります。 今回は、このワークスペースを削除しようとすると `Could not assume the role provided, verify permissions`` というエラーとなる場合の対処方法のご紹介です。 事象 AWS IoT TwinMaker のマネジメントコンソールからワー
はじめに Ansible Roleに、想定外の状態で停止するエラー処理を実装していること があると思います。このエラー処理が発生することをテストするにはどうすればよいかを 考えてみました。 TL;DR エラー処理が発生することをテストをするには、blockセクションでAnsible Roleを 実行してエラーを起こし、rescueセクションでエラーの内容を確認する。 rescueセクションでは、変数ansible_failed_taskとansible_failed_resultで エラーが発生したタスクの状況が確認可能。 前提条件 Ansible Roleの基本的なディレクトリ構成を理解していること。 Ansibleにおけるblockセクション、rescueセクションの使い方を理解していること。 実行環境 Python: 3.6.8 Ansible: 2.9.7 詳細 1. テストするA
Siemens Advanta is a strategic advisor and a trusted implementation partner in digital transformation and industrial IoT with a global network of 10,000+ employees in 19 countries and 89 offices.
↓こちらで作成しているOIDCProviderとIAM RoleをCDKで作成してみました。 CircleCIがOpenID ConnectをサポートしたのでAWSと連携させてJWTを使用したAssumeRoleを試してみた CDKの中身 import { Stack, StackProps } from 'aws-cdk-lib'; import { Construct } from 'constructs'; import * as iam from 'aws-cdk-lib/aws-iam'; const CIRCLECI_ORGANIZATION_ID = "CircleCIのORGANIZATIONのID"; const CIRCLECI_PROJECT_ID = "CircleCIのPROJECTのID" // id providerがcircleciである場合常にこのthum
GitHub ActionsでAWSの永続的なクレデンシャルを渡すことなくIAM Roleが利用できるようになったようです アクセスキー、撲滅してますか? ナカヤマです。 目黒方面より、以下のような福音が聞こえてきました。 何がどのくらい最高かと言いますと! GitHub Actions に AWS クレデンシャルを直接渡さずに IAM ロールが使えるようになることがまず最高で! クレデンシャル直渡しを回避するためだけの Self-hosted runner が必要なくなるところも最高です!!✨✨✨ https://t.co/IUQmfzkIB0 — Tori Hara (@toricls) September 15, 2021 元ネタはこちら。 Ok I blogged about it. That's how excited I am. 1. Deploy this CFN templ
Garland H. WILLIAMS, Engineering Peace: The Military Role in Postconflict Reconstruction
We present the equivalence between the fuzzy core and the core under minimal assumptions. Due to the exact version of the Lyapunov convexity theorem in Banach spaces, we clarify that the additional structure of commodity spaces and preferences is unnecessary whenever the measure space of agents is “saturated”. As a spin-off of the above equivalence, we obtain the coincidence of the core, the fuzzy
AWS CDK(v2)でEC2を作るときにIAM Role(Instance Profile)を共用する方法を紹介します。TypeScriptのサンプルプログラム付き。 AWS CDKでEC2を作るときにIAM Roleを共用したい!なんてことはありませんか? 僕はしょっちゅうあります。 そんなわけで、本ブログではAWS CDK(v2)でEC2を作るときにIAM Role(Instance Profile)を共用する方法を紹介します。 前提条件 AWS CDKはv2を利用しています。 $ cdk --version 2.79.1 (build 2e7f8b7) CDKでIAM Roleを共用したEC2を作ってみる まずは、さくっとTypeScriptのcdkでIAM Roleを共用するEC2を作ってみます。 次のプログラムを保存して。 cdk.ts import {Construct} f
クロスアカウントを使うことがあったのと、そろそろv2をちゃんと使わないとなということでaws-sdk-go-v2を使ってassume roleする方法を調べました。EC2のDescribeInstancesを呼んでインスタンスリストを出すだけのサンプルを実装しています。コード全体はここに上げてあるのでみてみてください。MFAは無しとstdinからの入力のパターンに対応しています。 github.com 使い方はSDKドキュメントにしっかり書いてあってその通りなんですが、最初からそこは見つけられず、stack overflowでパッケージを把握して見に行きました。 サンプルからの抜粋 cfg, err := config.LoadDefaultConfig(ctx, config.WithRegion("ap-northeast-1"), ) if err != nil { log.Fata
안녕하세요 클래스메소드의 수재입니다. 제 환경에서는 IAM 역할의 권한과 MFA를 조합하여 AWS를 사용하고 있습니다. 그런데 이렇게 활용하니 테라폼을 설정할 때 너무나도 불편한 점이 많았습니다... 이 문제를 해결하기 위해 어떻게 했는지를 본 글에서 소개합니다. 무슨 일이 있었나 현재 aws의 config 파일은 다음과 같습니다. sujae-test(이하 test)와 sujae-origin(이하 origin)이 가진 role_arn의 iam account가 다릅니다. [profile sujae-origin] source_profile = sujae-origin role_arn = arn:aws:iam::++++:role/sujae mfa_serial = arn:aws:iam::++++:mfa/sujae r
@FILM]-WaTCH.! Critical Role: The Legend of Vox Machina Animated Special (2020) Online HD Full Movie | Free On Putlocker By seoganteng June 12, 2020 0 Comments Watch full FREE signup CLICK HERE !!! ►► http://allocine.live/movie/586214/critical-role-the-legend-of-vox-machina-animated-special.html MovieS.4K.UltraHD!~FERVOR* HOW to Watch Critical Role: The Legend of Vox Machina Animated Special Onli
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く