従来の IAM ユーザー棚卸し手法は IAM Identity Center で管理するユーザーにも通用するのか確認してみた | DevelopersIO
従来の IAM ユーザー棚卸し手法は IAM Identity Center で管理するユーザーにも通用するのか確認してみた 未使用 IAM ユーザーの定期的な棚卸しは、セキュリティリスク軽減に不可欠です。 本記事では、AWS IAM Identity Center 環境で従来の棚卸し手法を用いて「n 日以上ログインしていないユーザーを特定」できるのか検証します。 確認結果 検証した 4 つの方法は、IAM Identity Center 管理ユーザーには非対応でした。 認証情報レポート AWS Config の特定ルール IAM Access Advisor IAM Access Analyzer の未使用アクセスアナライザー 以下、各方法の詳細な検証結果を説明します。 AWS IAM Identity Center 概要 AWS IAM Identity Center は、AWS アカ
JenkinsをIaCにより管理・運用する - decadence
はじめに JenkinsをIaCで管理する Jenkins本体の起動から初期設定 Jenkins Configuration as Code pluginによる設定管理 認証・認可の設定 Jobの定義 〆 Jenkinsの管理をIaC(Infrastructure as Code)に載せることで、運用コストの削減・不正な操作についての耐性・知見の共有といった様々な恩恵が受けられる。 具体的には以下のようなツールを使うことについて、この記事では述べようと思う。 Jenkins初期設定についてはdockerなどで管理を行う Jenkinsの設定管理をConfiguration as Code Pluginにより管理をする 認証設定についてはsaml pluginを、認可設定についてはrole-strategy pluginによりRBAC管理を行う JenkinsのJobについては、job-ds
Next.js × Convex × Clerkで認証付きフルスタックアプリをラクに開発する
はじめに この記事では、Next.js × Convex × Clerk でフルスタックアプリを作る方法をハンズオン形式で紹介します。 Convex と Clerk を組み合わせることで、認証付きのフルスタックアプリを爆速で開発することができます。 完成物は、以下の GitHub リポジトリで公開しています。 Convex とは Convex は、Firebase のようなバックエンドアプリケーションプラットフォームです。リアルタイムデータベースやファイルストレージなどの機能を提供しています。 Firebase との違いは、以下の記事で詳しく解説されています。 Clerk とは Clerk は、認証・認可を提供するサービスです。Clerk と Convex を併用することで、認証・認可の実装を非常に簡単に行うことができます。 Next.js での認証といえば、NextAuth が思い浮かび
個人アカウントでも AWS Organizations と IAM Identity Center を使う a.k.a. 古の AWS アカウントにかけられた東京リージョン az-a の呪いからの脱出 - blog.ayakumo.net
アカウント温故知新と東京リージョン az-a の呪い 昔話になりますが、私は個人の AWS アカウントを 東京リージョンが利用可能になった 2011年 に作成しました。それ以降 EC2 をはじめとして散発的に AWS リソースを使用してきましたが、時代とともに古いアカウントならではの制限事項が目につくようになってきました。 制限事項の中で最も大きいのが 古い AWS アカウントでは東京リージョンのアベイラビリティゾーン a が使用できない という問題です。AWS CDK しかり、Cfn しかり、何かのハンズオンしかり、基本的に新しめの(?) AWS アカウントを想定しており、その度に「他の人のアカウントではうまくいくが自分のアカウントだとエラーになってしまう」ケースが「稀ではなくよくある」事態となっていました。 こういった経緯を含め、アカウント管理の体制を一新して AWS Organiza
[レポート] ワークショップ – GitHub Actionsを使ったIAMポリシーの検証と分析の自動化 #IAM452 #AWSreInforce | DevelopersIO
[レポート] ワークショップ – GitHub Actionsを使ったIAMポリシーの検証と分析の自動化 #IAM452 #AWSreInforce あしざわです。 米国フィラデルフィアで開催されている AWS re:Inforce 2024 に参加しています。 本記事は AWS re:Inforce 2024 のワークショップ 「Automating IAM Policy Validation and Analysis using GitHub Actions」のレポートです。 セッション概要 In this builders’ session, learn how to automate the validation of AWS Identity and Access Management (IAM) policies using the IAM Policy Validator f
![[レポート] ワークショップ – GitHub Actionsを使ったIAMポリシーの検証と分析の自動化 #IAM452 #AWSreInforce | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/d1ac42cfd4e5f0a287ed5db0380a987866b4dde2/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2024%2F06%2Feyecatch_awsreinforce2024_1200x630.png)
cancancanのテストをRSpecで書く - Qiita
cancancanを使った際、テストに学びがあったので投稿します。 前提:cancancanとは 権限による制御が簡単にできるgemです。 cancancan Rails|CanCanCanの使い方解説 ↓私も1つ記事を書きました。 cancancanでモデル名に紐づかない制御をする方法 cancancanのテスト requestスペックなどで特定の権限が各アクションを実行できるかどうかをテストする方法もあると思いますが、今回はcancancanが用意しているmatcherを使ってテストする方法を紹介します。 参考 https://github.com/CanCanCommunity/cancancan/blob/develop/docs/testing.md require "cancan/matchers" describe "User" do describe "abilities"
Devise 4.9をインストールしてRails 7.0 (Hotwire/Turbo)に対応する - Qiita
はじめに Rails 7.0が2021年の暮れにリリースされて以降、Deviseは長らくRails 7.0(というか、Hotwire/Turbo)に完全対応していない状態が続いていました。ですが、ようやく2023年2月17日にRails 7.0に対応したDevise 4.9.0がリリースされました🎉 rails-ujsではなく、Hotwire/Turboを使っているRails 7.0にDeviseを組み込んでいる(もしくはこれから組み込もうとしている)人は、以下の手順に従ってDevise 4.9.0を導入してください。 備考 もともとこの記事は「開発中のDeviseをインストールしてRails 7.0 (Hotwire/Turbo)のテストに協力する」というタイトルで公開していましたが、Devise 4.9.0が正式リリースされたことに伴い、タイトルと本文を修正しました。 前提条件 Ra
Punditをなるべくやさしく解説する - Qiita
Punditについて、なるべくやさしく解説します。 ドキュメントを翻訳したものに近い内容となっております。 ドキュメントを読めるほど実力に自身がない人 ライブラリを調べる際にいろんな記事を見て時間を消耗する人 上記の方々の助けとなれば幸いです。 ※Railsで利用することを前提に話します。 Punditとは Rubyのgem(ライブラリ) 認可の仕組みを提供してくれる 「認可(Authorization)」と「認証(Authentication)」は意味が異なります。 詳しくは「よくわかる認証と認可」をご参照ください。 簡単に言うと「ユーザーによってページ表示の許可・拒否をしたり、表示情報の範囲を変えたりすることができるgem」です。 似たようなgemとしてcancancanがよく比較されますが、その違いはこちらの記事から引用させていただきます。 cancancanはユーザに対して、どんな
Rails でトークン認証 API を 15 分で実装する - Qiita
scaffold で User Model と Controller を作ります。 lock_version というカラムを追加すると Rails で楽観ロックを実装してくれます。便利ですね。 $ cd yourappname $ rails g scaffold User name:string \ email:string \ role:integer \ password_digest:string \ register_user:integer \ update_user:integer \ lock_version:integer \ activated_at:datetime \ deleted_at:datetime User.create!([ { name: 'admin', email: 'admin@example.com', role: 'admin', passw
Pundit + Railsで認可の仕組みをシンプルに作る - Qiita
Punditというgemを使ってRailsに認可の仕組みを作ってみます。認可というとcancancanが有名です。 cancancanはユーザに対して、どんなアクションが許可するかを定義するのに対して、Punditではリソースに対して誰が許可されるのかを定義します。反対からの目線ですね。cancancanがコントローラ寄りならば、Punditはモデル寄りの責務です。また、cancancanがDSLなのに対し、PunditはピュアRubyな書き方になっています。 個人的には複雑で大量の認可設定を書いていくと、ユーザ目線かつDSLで記述していくのは大変だなぁ&Abilityクラスが肥大化しがちで見通しが悪いと感じたので、Punditに移行しました。Punditのソースコード自体も読みやすく、どのように動いているのかが把握しやすいのもメリットです。ここらへんはDeviseよりもAuthLogic
sorceryで認証機能を追加してみる - Qiita
Sorceryとは? Sorceryは、ユーザ認証機能を簡単に実装できるライブラリ パスワード認証機能 今回は基本的な機能であるパスワード認証の実装 ・ユーザー登録機能 ・ログイン機能 ・ログアウト機能 Sorceryの導入 Userモデルを作成 bundle exec rails g sorcery:installを実行し、Userモデルとデータベースのmigrationを生成します。 今回usersテーブルにはfull_nameカラムを追加そしてstring型と必須項目を追加。 User登録機能を実装 Userモデルをベースに実装していきます。 モデルの実装 はじめに、Userモデルのフィールドである、 ・email ・password ・password_confirmation ・full_name に対するバリデーションを実装します。 class User < ActiveRec
SorceryとDeviseの違いについて - Qiita
はじめに 皆さん、初めましてマッチョ💪 現在、プログラミングスクールにて学習をしている “のぞみ” と言います。 私は現在、未経験からのエンジニア転職に向けて今年の4月から本格的に学習をスタートし、現在6ヶ月目に突入しております。 今回、学習中に気になった点があり深掘りする機会がありましたので、初めて技術記事を書かせていただきました。 概要 現在、《Ruby on Rails》を用いたポートフォリオについてアイデアを考えている段階なのですが、 その際 ”認証機能” の実装について調べている時に、ふとこう思いました。 「認証機能実装のGemって、”Sorcery” と “Devise” の2種類あるけど、どう違うの??」 今回はそんなふと感じた疑問点について、初学者なりに纏めた内容となっております。 ですので、内容に誤り等がある場合がございますのでご了承下さい。 もし誤りに気づかれた際は、
RailsでCanCanCanを使った権限管理: スタッフは自分のデータのみ編集可能 - Qiita
RailsでCanCanCanを使った権限管理 導入 Railsアプリケーションにおいて、ユーザーによって操作できるデータを制限する場合、CanCanCan は非常に有力なツールです。このガイドでは、Staff モデルが自身のデータのみを編集できるようにする設定方法を紹介します。 前提条件 この設定を行う前に、CanCanCan ジェムがアプリケーションにインストールされていることを確認してください。 そして、bundle install を実行します。 Ability クラスの設定 CanCanCan は Ability クラスを使用して、誰が何をできるかを定義します。Staff が自分自身のプロファイルのみ更新できるように設定しましょう。 # app/models/ability.rb class Ability include CanCan::Ability def initiali
[速報] IAMのMFA(多要素認証)でPasskeyが利用できるようになりました #AWSreInforce | DevelopersIO
あしざわです。 現在開催されているAWS re:Inforce 2024 のKeynote にて、AWS IAMのrootユーザーおよびIAMユーザーのMFA(多要素認証)としてPasskeyのサポートが発表されました。 AWS What's newブログ、AWS Blogの両方で発表されています。 概要 本アップデートによって、AWSのrootユーザー、IAMユーザーのMFAデバイスとしてPasskeyが利用できるようになります! AWS側で発行したPasskeyをGoogleアカウントや1passwordなどのクラウドサービスに登録することで、MFA認証としてPasskeyを利用してAWSアカウントにログインできるようになります。 AWS Blogに以下のように記載があるため、初回のリリース時はPasskey+パスワード認証のみでパスワードの利用は必須であるようです。今後のリリースでP
![[速報] IAMのMFA(多要素認証)でPasskeyが利用できるようになりました #AWSreInforce | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/3943ff4d5aff421cb4c2e42ad253a590a12c7bdf/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2024%2F06%2FIMG_3975-2.jpg)
社外の開発メンバーをAWSアカウントに入れるときのIAM設定を考えている - kmiya_bbmのブログ
サービスを開発する際に、社外の業者さんに開発をお願いしたり、社外パートナーに開発に参加してもらう、ということがよくあります。 開発に使うAWS環境として、うちの会社で作成したAWSアカウントに入ってきてもらうこともあるのですが、このときにAWSアカウントの管理者として社外の開発メンバーにどのような権限を持たせるのが良いか、それをどう実現するのが良いか、いつも悩みます。 このエントリでは現時点での考えと実装方法をまとめておこうと思います。 課題 私が関わる案件で社外の開発メンバーに協力を仰ぐ場合、大抵はPoCから始まるような新規サービスの構築案件となるためAWSのどのサービスを使うか最初からすべて決まっていることは稀です。 最初は ALB + EC2 + RDS で作り始めたシステムにDynamoDBが導入され、AWS IoT coreが導入され、Kinesis Stream が導入され、、
IAM ユーザーのログイン失敗を検知して複数回失敗すると権限を剥奪する仕組みを作ってみた | DevelopersIO
こんにちは、AWS 事業本部の平木です! AWS における PCIDSS v3.2.1を見た時に要件 8 を参照するとアカウントロックに関する要件があります。 現状、執筆時点では IAM ユーザーで連続してログイン失敗してしまったとしてもアカウントをロックできる仕様はありません。 ただ、AWS 公式のコンプライアンスガイドを見ると以下のように記述されていました。 PCI DSS 審査の適用範囲内であると判断された IAM ユーザーには、8.1.6 および 8.1.7 のアカウントロックに関する要件を満たす追加の仕組みが必要です。お客様がこれを達成するには、AWS CloudTrail、Amazon DynamoDB、AWS Lambda、Amazon CloudWatch を組み合わせて連続したログイン失敗を追跡して、ログイン失敗がしきい値である 6 回連続で発生した場合に制限を強めた I
IAM Identity Centerでもaws-vaultでセキュアにAWS CLIを使う - Nealle Developer's Blog
こんにちはSREチームの宮後(@miya10kei)です。最近、トリュフナッツにハマりビール🍺の消費量が増えています。 AWS CLIを使用する時にaws-vaultは使っていますか? AWSのユーザ管理をAWS IAM Identity Centerに移行した際にaws-vaultの設定でつまずいたので解決方法を紹介したいと思います。 AWS IAM Identity Centerとは? 複数の AWSアカウントやアプリケーションへのワークフォースのアクセスを一元管理するためのサービスです。外部IDプロバイダーと接続しSSO(シングルサインオン)連携をすることができます。ニーリーではGoogle Workspaceと連携させGoogleアカウントでログインできるようにしています。 aws-vaultとは? aws-vaultはAWS CLIを使用する際の認証情報を安全に保存し、アクセス
クラウドでもsuが出来る! GCPにPAM(特権管理)がついに登場
はじめに Linuxの良い所の一つにsuやsudoと言った特権管理の仕組みがあります。普段は通常アカウントで入って、例えばインストールなどの特権作業が必要な時だけsu/sudoで一時的な権限昇格が可能ですし、/etc/pam.dで誰がどのユーザにスイッチ出来るかなどは細かく制御できます。 一方で、クラウドの権限管理は悩みの種で、誤操作が怖いので普段はRead Onlyの権限にしておきたいのですが、手軽に権限を昇格する方法がありません。なので、別の管理者ユーザを作って、そちらでログインしなおしたり、それを半自動化するCyberArkやBeyondTrustといったPAM系ソリューション、あるいは最近流行りのCIEM(PAM機能を持つもの)を導入する必要がありました。 Azureでは結構以前からPIM(Privileged Identity Management)がネイティブで組込まれており非
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Rails+Devise+Pundit 多対多実装の備忘録 - Qiita
【翻訳】Railsで権限管理を出来るgem, "Pundit"(前編) - Qiita
