日々権限設計で頭を抱えてます。この苦悩が終わることは無いと思ってますが、新しい課題にぶつかっていくうちに最初のころの課題を忘れていきそうなので、現時点での自分の中でぐちゃぐちゃになっている情報をまとめようと思い、記事にしました。 所々で「メリット」「デメリット」に関連する情報がありますが、そのときそのときには色々と感じることがあっても、いざ記事にまとめるときに思い出せないものが多々ありました。フィードバックや自分の経験を思い出しながら随時更新する予定です。 TL;DR(長すぎて読みたくない) 想定する読者や前提知識 この記事での権限とは 権限の種類 ACL(Access Control List) RBAC(Role-Based Access Control) ABAC(Attribute-Based Access Control) どの権限モデルを採用するべきか 権限を適用する場面 機能
IAM ロールの PassRole と AssumeRole をもう二度と忘れないために絵を描いてみた | DevelopersIO
コンバンハ、千葉(幸)です。 皆さんは、 PassRole と AssumeRole についてきちんと理解ができていますか?どちらも IAM ロールに関するものですね。 私はカラダ(ボディ)の調子がいい時は思い出せるのですが、雨が降っている日や、ちょっと疲れて気を抜いた時にはすぐ分からなくなってしまいます。 ということで、イメージとして脳に刻み付けることによって忘れられなくしてやろうと思いました。 そこで出来上がったのが以下です。 間違えました。以下です。 あ、でもやっぱり忘れづらいのはこちらかもしれませんね。 どうですか?もう忘れられなくなりましたね? 先にまとめ IAM ロールには以下ポリシーを設定できる アイデンティティベースポリシー Permissions boundary 信頼ポリシー AWS リソースに IAM ロールを引き渡す際には PassRole の権限が必要 PassR
日本の従業員が「世界一やる気がない」本当の理由
各種の国際比較調査から、日本の従業員のモチベーションやワークエンゲージメントは世界最低であることが明らかになっています。しかし、本当に日本人は世界で最もやる気・熱意がないのでしょうか。今回は、この残念な定説の真偽について考えてみましょう(以下、モチベーション=やる気、ワークエンゲージメント=熱意とします)。 やる気・熱意が低下傾向にあるのは事実 オランダのランスタッド社の調査(2019年公表)によると、日本は「仕事に対して満足」と回答したのは42%で、34カの国と地域の中で最下位でした。アメリカのギャラップ社の調査(2023年公表)によると、「熱意あふれる従業員」と回答したのはわずか5%で、日本は125カ国中最低でした。他にも、日本のこうした状況を示す調査結果が多数あります。 では、当の従業員はどう受け止めているのでしょうか。大手・中堅企業に勤務する従業員にヒアリングしました。 「以前のよ
AWS初心者にIAM Policy/User/Roleについてざっくり説明する | DevelopersIO
こんにちは、CX事業本部の夏目です。 先日、AWS初心者にIAM Policy/User/Roleについてざっくり説明する機会があったので、説明した内容を共有します。 IAM Policy/User/Role 結論だけ簡潔に表現すると、次のようになる。 IAM Policyは できること/できないこと を定義し、UserやRoleに紐づけて使う IAM Userは、Policyを紐付けて、ユーザーができることを定義する IAM Roleは、Policyを紐付けて、誰か/AWSのサービス ができることを定義する Policyは できること/できないこと を定義し、UserやRoleに紐づけて使う IAM PolicyはAWSで何ができるかを定義するものです。 これ単体では何もできず、IAM UserやRoleに紐づけて使用します。 これはS3ReadOnlyAccessという、AWSが提供し
管理職とは? 管理職の定義・役割・なりたくない人のキャリアパターン・メリットを5分で解説 - ミーツキャリアbyマイナビ転職
管理職とは、企業において、部門・チームをまとめ、部下の育成を担う役割。従来、多くのビジネスパーソンにとって、管理職になることは出世と成功への道であり、将来の目標でした。 しかし近年は、「苦労に見合った給与がもらえない」「責任が重くなる」「プライベートの時間が減る」といった理由から、「管理職はコスパが見合わない」「管理職になりたくない」と考える人が増えているようです。将来、今の職場で管理職になるかどうかを迷っている人もいるのではないでしょうか。 今回は、管理職の定義や役割、必要なスキル、管理職になるメリット・デメリットなどの基礎知識を確認したうえで、管理職にならないという選択肢についても考えてみましょう。 <INDEX> ・管理職の定義 ・管理職の役割と仕事内容 ・管理職に必要なスキル ・管理職に向いている人と向いていない人 ・管理職になるメリット ・管理職になるデメリット ・管理職になりた
Google Cloud の IAM で、開発体制や組織の文化に合わせて検討したこと - Hatena Developer Blog
システムプラットフォーム部で SRE をやっている id:nabeop です。システムプラットフォーム部を一言で表すと、基盤を横断的に見る部署という感じです。 過去の発表などでもたびたび言及していますが、はてなのいくつかのサービスは AWS 上で構築されており、これまで「クラウドに構築する」は「AWS で構築する」とほぼ同義な世界でした。 ただし、AWS 以外も全く使っていなかったわけではなく、小さなプロジェクトや個人では Google Cloud の利用もありました。また最近は、各サービスで技術選択の多様化が進み「Google Cloud 上でサービスを構築する」という選択肢も十分ありえる状態になってきました。 このため、各サービスで Google Cloud の利用が本格化する前に、安心して使えるように IAM (Identity and Access Management) など環境
本投稿は DPE Camp blog series の一部です。 こんにちは。 Platform Infra の Kenichi Sasaki (@siroken3) です。メルカリでは主にAWSの管理を業務にしています。今回の投稿ではAWS構成管理リポジトリのセキュアなCI/CD環境を構築した件について紹介します。 背景 メルカリにおけるAWSの役割 メルカリにおけるAWSの利用の歴史は古く、商品画像を格納するためのストレージとしてS3をサービス開始当初から採用しています。その他S3はMySQLデータベースのバックアップ先、パートナー各社様とのデータ連携のための AWS Transfer Family のバックエンドとして使用しています。また2014年当時のUSメルカリのサービス開始時のメインインフラはAWS上にありました。 直近ではお客さま電話窓口やサポート担当の稼働管理ツールとして
はじめに TL; DR; 社内の普段はインフラ以外のところを主戦場にしている人向けに、AWS・GCPの権限に関する用語と概念を説明するために書いたものを加筆訂正して公開します AWS・GCPの権限管理は、基本的な概念は似ているが同じ英単語が別の意味でつかわれているのでややこしい 書いてあること 概念の説明と、関係を表す図 EKS・GKEからクラウドリソース *1 を使う時の考え方 書いてないこと 設定のためのコンソール画面のスクショや手順 Kubernetesからクラウドリソースを操作する方法は、以前のブログ「GitHub Actionsで実現する、APIキー不要でGitOps-likeなインフラCI/CD」でTerraformによるコードの例も紹介しているので、あわせて参考にしてみてください 想定読者 AWSはそこそこ使って慣れているけど、GCPにおける権限管理を理解したい人(またはその
思い出すのも恥ずかしい黒歴史の塊なのに、今でもたまに見てしまうネットのページがある。 笑顔の大学生たち、楽しそうに練習する動画などありふれたコンテンツだが、このページを見るたびに恥ずかしくてどうしようもなくなる。 同志社大学のアルティメットチーム「Magic」のツイッターサイトだ。 そして、取り返しのつかない失敗をしたことや寂しさなどが入り混じった複雑な感情がよみがえり、胸の奥が痛くなる。 実はこのチーム。 1992年に私が、友人と2人で始めた小さなサークルだった。 相方の名前を、仙田とさせて頂く。 当時大学1年生だった仙田と私は、とにかく時間と情熱と体力を持て余していた。 大学に入ったはいいが、つまらない授業とバイトとメシを食べるだけで過ぎていく毎日は、退屈で仕方なかった。 大学生らしい無意味な野心や根拠のない自分への特別感もあり、何か大きなことをしたいとバカな妄想ばかりでいつも盛り上が
WAI-ARIA中級編 ロールの決まり方
前回の「WAI-ARIAを学ぶときに整理しておきたいこと」(以下、「前回の記事」と略)やYouTubeで生配信した「WAI-ARIA勉強会」で 要素には暗黙のロールをもつ role属性を使うことでロールを上書きできる 要素によって上書きできないロールがある と説明した。 しかし、上書きできないロールをrole属性で指定してしまったときに最終的にロールが何になるかの説明をしていなかったし、要素の条件次第によっては上書き可能なはずのロールが無効化されたり、ロールが変化したりすることに触れていなかった。今回はそこが仕様でどうなっているのか深堀りしてみたいと思う。 ロールの決定に影響するもの まず、簡単にロールがどういったものから決定されるのかをざっくりと最初にまとめる。 要素の種類(HTMLとしてのセマンティック) 属性 構造(先祖・子孫関係) これをまず念頭に置いて、仕様を読みすすめると理解が
RBAC認可を使用する
このページに記載されている情報は古い可能性があります このページの更新日は英語版よりも古いため、記載されている情報が古い可能性があります。最新の情報をご覧になりたい方は英語版のページをご覧ください: Using RBAC Authorization Role Based Access Control(RBAC)は、組織内の個々のユーザーのRoleをベースに、コンピューターまたはネットワークリソースへのアクセスを制御する方法です。 RBAC認可はAPIグループ rbac.authorization.k8s.ioを使用して認可の決定を行い、Kubernetes APIを介して動的にポリシーを構成できるようにします。 RBACを有効にするには、以下の例のようにAPI serverの--authorization-mode フラグをコンマ区切りのRBACを含むリストでスタートします。
dashboard/docs/user/access-control/creating-sample-user.md at master · kubernetes/dashboard
In this guide, we will find out how to create a new user using the Service Account mechanism of Kubernetes, grant this user admin permissions and login to Dashboard using a bearer token tied to this user. For each of the following snippets for ServiceAccount and ClusterRoleBinding, you should copy them to new manifest files like dashboard-adminuser.yaml and use kubectl apply -f dashboard-adminuser
プロジェクトアサイン者との期待値を揃えてみよう!ロールセッションについて徹底解説してみた | DevelopersIO
データアナリティクス事業本部@札幌の佐藤です。 今回は私のプロジェクトで実際に活用している、各メンバーとの役割や期待値のすり合わせ方法について記載します。 当活用にあたっては株式会社コパイロツトの方にナレッジの共有や、推進方法など相談させていただいたうえで、ルールとして今整備、運用しているものとなります。 ※コパイロツト様に事前に掲載のご了承をいただいているものとなります。 ご協力いただきありがとうございます。 お話の前提 私の案件は小規模(メンバー10人未満)のプロジェクトが多いため、小規模案件での前提として記載します。 また、期間においても3ヶ月程度の短期間の開発プロジェクトを前提としております。 大規模案件・長期間案件・保守案件の場合は必ずしも該当しない観点がある可能性がありますので、あらかじめご認識いただければと思います。 プロジェクトでよくある問題 プロジェクトを実施していく中で
今回はPMとはどのような仕事内容や役割があるのか、必要なスキルやPMに就くためのアドバイスなどをお伝え致します。さらにPM求人・案件の単価詳細やPM求人・案件を取り扱っているオススメのフリーランスエージェントも詳しく解説していきます。 今後、正社員/契約社員からフリーランスのPMへの独立を希望している方・エンジニアからPMを希望している方、PMについての知識をより深くまで身に付けたい方にオススメの記事です。 特に下記の方にこの記事を一読していただきたいです。 ・今後PMを検討している方 ・既にPMとして活躍をされている方 ・フリーランスエージェントを1度も活用したことがない方 ・正社員や派遣社員からフリーランスのPMに転向を希望している方 <目次> 1.PM(プロジェクトマネージャー)の仕事とは? 2.PM(プロジェクトマネージャー)とプロジェクトリーダーの違いとは? 3.PM(プロジェク
非Organizations環境のAWSアカウントにAzure ADのユーザーからSSOしてみた | DevelopersIO
はじめに こんにちは。大阪オフィスの林です。 非Organizations環境のAWSアカウントに対して、Azure ADユーザーからのSSOを検証する機会がありましたので、手順をまとめておきたいと思います。Organizations環境であれば、AWS SSOなどの選択肢も出てくるかと思いますが、今回の検証は非Organizations環境のためAWS SSOは採用できません。本記事が、非Organizations環境でAzure ADユーザーを使ったAWSマネージメントコンソールへのSSOをご検討されている方の参考になれば幸いです。 構成の概要 今回検証する構成の概要は下記のとおりです。 Azure側 Azure ADに紐づけて作成する「エンタープライズアプリケーション」で、AWSマネージメントコンソールにSSOするためのアプリケーションを作成します。 作成したSSO用のエンタープライ
プロジェクトマネージャーの頭の中を書いてみました。 (本当は美味しいもの食べたいな、とかコーギーってかわいいよな、とか考えています。) AWS事業本部 マイグレーション部松浦です。 今月の終わりでちょうど入社して1年が経ちます。早い・・・ なので、この1年を振り返ってみたいと思いブログを書きました。 AWS移行におけるプロジェクトマネージャーとは、を考える良い機会になったのでよかったらご覧ください。 (最後に宣伝あり) 入ってからやっていたこと プロジェクトに関わる各種対応、およびチーム立ち上げ時期ということもあり、主に以下のような取り組みをしていました。 プロジェクト対応 提案活動 移行案件の推進、プロジェクト管理 全体的な状況整理や顧客調整 技術的な実務はソリューションアーキテクト(以下SA)、AWSエンジニアの方が対応 チームの立ち上げ 情報整理や調整 AWSプログラム プロジェクト
インスタンスプロファイル作成とAWS Systems Managerの設定をAWS CLIを使ってやってみようとしたら、IAM ロールとポリシーとAssumeRoleでハマったのでやってみた順番で整理してみた | DevelopersIO
みなさんどうも、新卒エンジニアのたいがーです? 何が起こったのかと言いますと、タイトル通りです。AWS CLIでインスタンスプロファイルとAWS Systems Manager(以下、SSM)の設定をしようとして、とても詰まりました。 私が"どういうところにハマったか、どう解決したか"、実際の流れに沿って書いていきたいと思います。 そもそも何があったのか 始めは、AWS CLIを使ってCloud Formationのテンプレートからスタックを作成しようとしていました。 今回のテンプレートでは、スタック実行前にインスタンスプロファイルを作成する必要があったため、IAMロールを新たに作成しなければなりません。全てAWS CLIを使って済ませたかった私は、コマンドリファレンスの中からIAMロールを作成するコマンドを見つけ、実行しようとします。 しかし、このコマンドでは、assume role p
By Hardik Savani November 5, 2023 Category : Laravel Today our leading topic is laravel 8 roles and permissions tutorial. In this article, we will implement a laravel 8 spatie user roles and permissions tutorial. i explained simply step by step laravel 8 spatie/laravel-permission. step by step explain laravel 8 acl tutorial. we are using spatie github package for roles and permissions in laravel 8
昨日付け(2019/02/12)で Apple Developer WebサイトとApp Store Connectの間でチームとアカウント権限が統一されました。 公式ドキュメントはこちら 変更点などは公式ドキュメントが一番わかりやすいです。 Apple Developer のAgent,Admin,Memberの権限は廃止され、Apple Developer WebサイトのAccount > People から、AppStore Connectのユーザーとアクセスへ飛ぶようになりました。 ではそれぞれの権限でできることについてまとめていきたいと思います。 Account Holder Apple との契約を締結する担当者です。1アカウントしか設定できません。 Admin権限も持ちます。 以前のLegal権限はAccount Holderに名前が変更されましたが、内容に変更はありません。
Azure AD と AWS 間における SAML 2.0 を用いた認証連携にはいくつかの方法があり、混乱することがありましたので、私自身の備忘録も兼ねて Azure AD と AWS Single Sign-On を連携させる方法と Azure AD と AWS アカウントを直接連携させる方法 2 種類の合計 3 つの方法の違いをまとめました。 まとめ Azure AD と AWS の主な認証連携方法である次の 3 パターンの構成イメージと比較表を記載します。各方式には本ブログ限りの名称を付けています。 1. AWS SSO 連携方式 Azure AD と AWS Single Sign-On (以下、AWS SSO) を連携させ、AWS SSO で各 AWS アカウントを管理する方式です。AWS 側では AWS SSO を利用するために AWS Organizations を利用してい
Microsoft Entra には約 60 種の組み込みロールがあります。これらは、ロールのアクセス許可がセットとして固定されたロールです。 組み込みロールを補完するため、Microsoft Entra ID ではカスタム ロールもサポートされています。 カスタム ロールを使用して、必要なアクセス許可をロールに選択できます。 たとえば、アプリケーションやサービス プリンシパルなど、特定の Microsoft Entra リソースを管理するために作成することが可能です。 この記事では、Microsoft Entra ロールの概要と、その使用方法について説明します。 Microsoft Entra ロールとその他の Microsoft 365 ロールとの違い Microsoft 365 には、Microsoft Entra ID や Intune といったさまざまなサービスがあります。 これ
Azure AD と AWS IAM 間で SAML を使った ID Federation をやってみた - Qiita
はじめに AWS マネージメントコンソールに、Identity Provider を使った SSO ログインがやりたいときがあります。AWS Organizations が使える環境だったら、AWS SSO を使えば比較的楽に実現できます。しかし、Organizations が使えない環境でも、AWS IAM で Identity Provider の設定をすることで、SSO が実現できます。 今回は、AWS IAM と Azure AD 間で、SAML を使ったフェデレーションを行っていきます。 わかったこと 今回の検証を通じて、わかったことを最初に書きます。 この記事の構成では、Azure AD 側でプロビジョニングの設定を加えても、AWS IAM User などには自動的に追加されない https://docs.microsoft.com/ja-jp/azure/active-dir
この記事では、Microsoft Entra ID で最小特権ロールを割り当てることによりユーザーの管理者アクセス許可を制限するために必要な情報を取り上げます。 機能領域ごとのタスクと、各タスクを実行するために必要な最小特権ロールのほか、そのタスクを実行できる非グローバル管理者ロールも別途記載しています。 より小さなスコープでロールを割り当てるか、独自のカスタム ロールを作成することで、アクセス許可をさらに制限できます。 詳細については、「Microsoft Entra ロールを異なるスコープで割り当てる」または「Microsoft Entra ID でカスタム ロールを作成して割り当てる」を参照してください。 アプリケーション プロキシ
Data Scientist & Machine Learning Engineer at Nubank - Building Nubank
This post was reviewed by: Luis Moneda, Tiago Magalhães, Jessica Sousa, Cristiano Breuel and Henrique Lopes Data Scientists (DS) and Machine Learning Engineers (MLE) have been around for some time now (at least by tech standards) but that doesn’t mean the specific definitions and expectations for each role are well agreed upon in the industry as a whole. Far from it. Very often people aren’t sure
プロジェクトマネージャーはシステム開発などにおけるチームの責任者のことを言い、プロジェクトの立ち上げから終結までの全体的な管理をします。プロジェクトの成功を左右するのはプロジェクトマネージャーだと言われることもあるくらい大事な役割です。 しかし、プロジェクトマネージャーはいったい何をしているのか、どのようなスキルが必要なのか分からないという方も多いのではないでしょうか。この記事ではそんなプロジェクトマネージャーの役割や業務内容、必要なスキルについてお伝えしていきます。 プロジェクトマネージャーの役割は? ここでは、プロジェクトマネージャーの役割とどんな業務をするのかをお伝えしていきます。 そもそもプロジェクトマネージャーとは? プロジェクトマネージャーは、新しいサービスを立ち上げるなどのプロジェクトの進捗管理を任される人のことを言います。プロジェクトをはじめるにはどれくらいの規模でやるのか
Your Amazon ECS tasks can have an IAM role associated with them. The permissions granted in the IAM role are assumed by the containers running in the task. For the IAM permissions that Amazon ECS needs to pull container images and run the task, see Amazon ECS task execution IAM role. If your containerized applications need to call AWS APIs, they must sign their AWS API requests with AWS credential
Azure AD認証でAWS SSM Session Manager経由でWindowsインスタンスにリモートデスクトップ接続する - Qiita
Azure AD認証でAWS SSM Session Manager経由でWindowsインスタンスにリモートデスクトップ接続するAWSaws-cliAzureADAWSSystemsManager はじめに エンタープライズをはじめとする組織の認証基盤としてAzure Active Directory(Azure AD)を採用している環境では、Amazon Web Services(AWS)へのログオンにAzure AD認証によるシングルサインオンを実現したいという場合があると思います。Azure ADとのシングルサインオンにより、さまざまな方法による多要素認証(MFA)や条件付きアクセスなど強力な認証機能を使用できます。この記事では、Azure ADとAWS Identity and Access Manager(IAM)とのフェデレーションを構成してAWS CLIを使用し、AWS S
LaravelでGate機能を使ってユーザ情報に権限情報を追加します。 ユーザ毎に管理者権限などを割り振りたい場合、Laravelに用意されているGate機能を利用すると便利です。 具体的にはユーザ毎に任意の数字を割り振り、その数字により権限を割り振ることにしたいのですが、デフォルトのuserテーブルにはそのカラムが存在しません。そこでカラムを追加するところから権限機能追加の手順について確認していきます。 ちなみに今回の環境はLaravel 5.8で、Auth機能は追加済みを想定しています。 また、追加したカラムの持つ数字の意味として、以下の権限を付与するものとします。 1 : 閲覧者 50 : 編集者 100 : 管理者 システム設計として、数字を連番にしてしまうと、いざ間に新しい権限を追加しようとしたときに困るので、数字の間に余裕を持たせるのが一般的です。 userテーブルに権限情報を
AWS SAMでLambdaのPolicyとRoleを付与したとき、Roleが設定されてPolicyで付与した権限が無いという現象に遭遇しました。 よくよく考えれば当たり前なのですが、地味にハマったのでご紹介します。 なお、本記事はAWS LambdaとServerless #2の12日目です。 ハマったこと 最初はPolicyのみ付与していた たとえば、AWS SAMで次のLambdaを定義し、DynamoDBのReadOnlyAccessポリシーを付与していました。 template.yaml Resources: HelloWorldFunction: Type: AWS::Serverless::Function Properties: CodeUri: hello_world/ Handler: app.lambda_handler Runtime: python3.7 Poli
困っている内容 Security Hub で、下記のコントロールにより違反となった S3 バケットがありました。 [S3.8] S3 Block Public Access setting should be enabled at the bucket level [1] 本コントロールは、S3 バケットレベルのブロックパブリックがすべて有効になっていないことで違反と判断されるかと思いますが、確認した所すべて有効化されていました。 設定変更はしていないので、一時的に検出されたわけではないと考えています。 考えられる原因について確認させていただきたいです。 どう対応すればいいの? S3 バケットのバケットポリシーで、AWS Config に設定されている IAM ロールからの S3 アクションが許可されているかご確認ください。 S3 バケットの情報を取得するための API リクエストが拒否さ
OpenSSLのプライベート認証局の出番では? こんにちは、のんピ(@non____97)です。 皆さんはIAM Roles Anywhereを使いたいなと思ったことはありますか? 私はあります。 先人が既にアクセスキーを発行せずにAWS CLIを叩けることを検証しています。 せっかくなので、OpenSSLで作った自己署名証明書でもIAM Roles Anywhereを使えるのか検証してみます。 いきなりまとめ OpenSSLで作った自己署名証明書でもIAM Roles Anywhereは使える 証明書の秘密鍵はパスフレーズを解除しておく必要がある IAM Roles Anywhereで使用する証明書の要件はよく確認しよう Trust model in AWS Identity and Access Management Roles Anywhere - IAM Roles Anywher
公開日 : 2021年12月13日 カテゴリー : アクセシビリティ / 情報設計 (IA) この記事は、アクセシビリティ Advent Calendar 2021 の13日目の記事です。 ウェブアクセシビリティを高めるための実装方法のひとつに、WAI-ARIA があります。 WAI-ARIA とは、Web Accessibility Initiative (W3C の中で、ウェブアクセシビリティに関する仕様を検討する部会) が策定した、Accessible (アクセシブル) な Rich Internet Applications (リッチインターネットアプリケーション : RIA) に関する仕様です。 WAI-ARIA によって、ユーザーインターフェースオブジェクトの「Roles (役割)」「States (状態)」「Properties (特性)」を動的にスクリーンリーダーなどの支援
俺達はいつまでも立ち尽くし見つめていた━━━ 数多の IAM ロールが移ろうように連鎖していく、そのさまを。 コンバンハ、「 IAM ロールはお面」おじさんです。 この世で最も大切なもの、それは繋がりであり、そして連なりですよね。 ということで、早速 IAM ロールで 10 連鎖してみました。 いや、せっかくなので 100 連鎖くらい行ってみましょうか。そうしましょう。興奮してきたな。 まとめ IAM ロールはそんな連鎖させるようなもんじゃない。 手始めに IAM ロールを 101 個作ろう 早速、 100 連鎖のために IAM ロールを 101 個作ります。 「 100 連鎖なのに 101 個なの?」と思うかもしれませんが、ヤマタノオロチの「股(首と首の間)」は 7 個しかありませんよね。(「岐」は 8 個あるんですけどね。)それと同じです。 101 個くらいの数なら「温かみのある手作業
こんにちは。中小企業診断士の多田と申します。 いよいよ今回から、プロジェクトマネジメントの具体的なお仕事についてまとめていきたいと思います。 PMBOKの「10の知識エリア」を、1つづつ順番に紹介していく予定です。 # 051: 資源マネジメント ← 今回 # 052: コミュニケーション・マネジメント # 053: ステークホルダー・マネジメント # 054: リスク・マネジメント # 055: スケジュール・マネジメント # 056: コスト・マネジメント # 057: 品質マネジメント # 058: 調達マネジメント # 059: 統合マネジメント # 060: スコープ・マネジメント 今回から3回は、プロジェクトを進める上で最も大切な「人」に焦点をあてていきます。 「資源マネジメント」とは 今回扱うのは、上から6番目の「資源マネジメント」です。 この「資源マネジメント」、PMBOK
※記事中ではS3に限定していますが、AWSリソース全般にアクセスする際に使える方法です。 概要 バックエンド(Node.js)をFargateで動かしており、そのコンテナからS3バケットにアクセスしている。ローカル開発(Mac OS)でもDockerを利用しているが、クラウド上のコンテナとRoleは異なる。 ローカル環境と、ステージング・本番環境で差異が生まれないように、下記条件を満たすS3アクセス方法を探ったので備忘として記しておく。 ソースコードに違いが生じないようにする(各環境用にif分岐など使いたくない) クラウド上のコンテナに付与したRoleと同等の権限にする 結論 Fargateのコンテナと同じアクセス権限をもった Access Key ID と Secret Access Key を ~/.aws/credentials に [default] として記載し、その権限でクラウ
コンバンハ、千葉(幸)です。 皆さんは、 PassRole と AssumeRole についてきちんと理解ができていますか?どちらも IAM ロールに関するものですね。 私はカラダ(ボディ)の調子がいい時は思い出せるのですが、雨が降っている日や、ちょっと疲れて気を抜いた時にはすぐ分からなくなってしまいます。 ということで、イメージとして脳に刻み付けることによって忘れられなくしてやろうと思いました。 そこで出来上がったのが以下です。 間違えました。以下です。 あ、でもやっぱり忘れづらいのはこちらかもしれませんね。 どうですか?もう忘れられなくなりましたね? 先にまとめ IAM ロールには以下ポリシーを設定できる アイデンティティベースポリシー Permissions boundary 信頼ポリシー AWS リソースに IAM ロールを引き渡す際には PassRole の権限が必要 PassR
この記事はアノテーション株式会社 AWS Technical Support Advent Calendar 2021のカレンダー | Advent Calendar 2021 - Qiita 3日目の記事です。 困っていた内容 AWS Backup で、EC2 を復元しようとするとエラーになります。 同じEC2 の AMI を、EC2 の画面から AMI を指定して復元すると起動させることはできました。 実行ユーザには、ほとんど管理者権限をつけているはずなのですが、IAM の権限設定の問題でしょうか? どう対応すればいいの? 対象の EC2 を確認すると、IAM ロールがアタッチされていました。 この場合には復元する際に、新たに IAM ロールをアタッチする必要があります。 そのため、AWS Backup から復元する場合には、「AWS Backup 用のロール」に以下のように「EC2
AWS Serverless Application Model 入門ハンズオンシリーズ - log4ketancho の第6弾です。この記事では、SAM で IAM ロールを構築する方法をまとめたいと思います。 このシリーズの第1弾(下記の記事)において、 www.ketancho.net Role は各環境の ARN に置き換えてください と書きました。実はしれっと既存の IAM ロールがあることを前提にここまで進めてきました。ですが、SAM でサーバレスな環境を作るからには、IAM ロールの構築も SAM 化すべきです。 IAM ロールの作成 IAM ロールを作成するには、 AssumeRolePolicyDocument: どのリソースに IAM ロールを割り当てるかを決定 Policies: IAM ロールに割り当てる IAM ポリシーを設定 を定義する必要があります。 Assu
AWS SSOを使う時、ユーザーは各アカウントにできたIAM RoleにAssume Roleすることで各アカウントで操作ができるようになります。 このあたりについての詳細は以下を御覧ください。 AWS SSOを図解してみた | DevelopersIO さて今回は、AWS SSOユーザーがAssume RoleするためのIAM Role、この特定のRoleからさらにAssume Roleできる別アカウントのIAM Roleを作成したいと思います。 以下は、このRoleの信頼ポリシー(=Assume Roleできるエンティティを定義するポリシー)をどのように設定するか、という話です。 ガバガバで設定する { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:
CakePHP3 CakeDC/Usersで所有レコードのみ閲覧、更新、削除する権限設定方法 CakePHP3のユーザ管理プラグイン「CakeDC/Users」を使用して権限管理をする際の前提条件 この記事では、下記を実装するための解説です。 CakePHP3で、ユーザ管理プラグイン「CakeDC/Users」を使用してユーザ管理をするシステムを構築している。 その中で、ユーザAが登録した情報は、ユーザAが所有者として登録され、その登録情報はユーザAのみが見ることができ、更新、削除も所有者 Aのみが行える。 という機能を実装することを想定しています。 まず、CakePHP3にユーザ管理プラグイン「CakeDC/Users」を導入する方法については、下記の記事を参考にしてください。 CakePHP3のユーザ管理・ログイン認証プラグインCakeDC/Usersのインストール解説・3.6以降対応
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
アプリケーションにおける権限設計の課題 - kenfdev’s blog
Automation of Terraform for AWS | メルカリエンジニアリング
AWS・GCPとKubernetesの権限まわりの用語を具体例から理解する - JX通信社エンジニアブログ
何も決定しないクセに「失敗したらお前が責任を取れ!」という管理職は最悪の存在。
PMの仕事や役割とは?PMが高単価である理由や参画しやすい地域なども解説!
AWS移行プロジェクトのPMとして入社後1年経ったので振り返ってみた | DevelopersIO
Laravel 8 User Roles and Permissions Tutorial
AppStore Connectの役割の権限について - Qiita
Azure ADとAWSアカウントの認証連携方法まとめ | DevelopersIO
Microsoft Entra ロールの概念についての理解 - Microsoft Entra ID
タスク別の最小特権ロール - Microsoft Entra ID
プロジェクトマネージャーの基本的な役割と求められるスキルを解説 | Backlogブログ
Task IAM role - Amazon ECS
LaravelでGate機能を使ってユーザ情報に権限情報を追加する – helog
AWS SAMでLambdaのPolicyとRoleを両方設定すると、Roleが優先されてハマった話 | DevelopersIO
S3 バケットのブロックパブリックアクセス設定に問題はないのに、Security Hub で違反とされた場合の対処方法 | DevelopersIO
OpenSSLで作った自己署名証明書でIAM Roles Anywhereを使ってみた | DevelopersIO
WAI-ARIA ランドマークを暗黙的に実装する | Accessible & Usable
IAM ロールで 100 連鎖してみた | DevelopersIO
#051 プロマネのお仕事(本編1) - 資源マネジメント(メンバーを集めよう)|多田幸生@中小企業診断士
Fargateコンテナに付与したRoleと同等の権限でローカル開発環境からAWS S3にアクセスする
IAM ロールの PassRole と AssumeRole をもう二度と忘れないために絵を描いてみた | DevelopersIO
EC2 の AMI からは復元できるが、AWS Backup から復元しようとするとエラーになった際の対処方法 | DevelopersIO
【AWS SAM 入門⑥】IAM ロールの作成と Lambda Function への割り当て - log4ketancho
AWS SSOのIAM RoleからAssume RoleできるIAM Roleを作成する | DevelopersIO
CakePHP3のCakeDC/Usersでログインユーザの所有レコードのみ更新、削除する権限管理の設定方法