【アップデート】S3でACLを無効化できるようになりました #reinvent | DevelopersIO
re:Invent 2021 の期間中に登場した以下アップデートを紹介します。 どんなアップデート? S3バケットに 『ACL無効』 の設定を付与できます。 この設定は新規バケット作成時にも設定可能、既存バケットに対しても追加で設定可能です。 何が嬉しいの? ひとことで言うと 「ACLを捨てて、全部ポリシーで管理したいなああぁ…」 を叶えてくれます 詳しく S3 は歴史あるサービスです。 当初は S3バケットに対するアクセス制御の手段は ACL のみでした。 S3バケットはデフォルトでプライベートです。 そのため 他アカウント(もしくはパブリック)からのアクセス許可は ACL で実現しました。 その後 IAM が提供されて、アクセス制御の手段として ポリシー(IAMユーザーポリシーやバケットポリシーなど) が追加されました。 つまり現在、 S3バケットに対するアクセス制御は ACL と ポ
Amazon Cognito Identity Poolの外部プロバイダとしてFirebase Authenticationを使う - Sweet Escape
はじめに AWSには認証・認可のサービスとしてAmazon Cognitoというものが存在します。ややこしいのですが、認証のためのコンポーネントがAmazon Cognito user pools(以下、user pool)で認可のためのコンポーネントがAmazon Cognito identity pools (以下、identity pool)です。ちなみにidentity poolのほうはfederated identityと表記されている場合もあります。 そのうち、今回はidentity poolの話です。 identity poolは認証機構は持たず、大雑把にいうと任意のログインプロバイダで認証されたユーザに対してIAMロールが設定されたidを紐付けた上でテンポラリのAWSクレデンシャルを提供するといったサービスです。 この任意のログインプロバイダとしてFacebook、Twit
AWS STS でリージョナルエンドポイントの利用が推奨されるとはどういうことか | DevelopersIO
AWS STS のサービスエンドポイントとしてグローバルエンドポイントとリージョナルエンドポイントがあります。デフォルトではグローバルエンドポイントが使用されますが、リージョナルエンドポイントの使用が推奨されています。一体それはどういうことなのか、整理してみます。 コンバンハ、千葉(幸)です。 AWS Security Token Service (STS) は、一時的な認証情報を提供するサービスです。 AWS STS に対して一時的な認証情報払い出しのリクエストを行う際、リクエスト先となる AWS サービスエンドポイントには以下の2種類があります。 グローバルエンドポイント リージョナルエンドポイント デフォルトでは前者のグローバルエンドポイントが使用されるものの、後者のリージョナルエンドポイントの利用を推奨する、という記述が各種ドキュメントにあります。 👇 デフォルトでは、AWS S
AWS IAM Identity CenterのMFA設定で、組み込みの認証アプリの指紋認証を試してみた | DevelopersIO
AWS IAM Identity CenterのMFA設定で、組み込みの認証アプリの指紋認証を試してみた はじめに AWS IAM Identity CenterのMFA(多要素認証)タイプで組み込みの認証アプリを試してみました。 Identity Centerのユーザーの管理(ID管理)が独自の ID ストアの場合、MFAタイプには以下のオプションがあります。 FIDO2 認証機能 組み込みの認証機能 セキュリティキー パスワードマネージャー、パスキープロバイダー、その他の FIDO 認証機能 仮想認証アプリ ワンタイムパスワード (OTP) ベースのサードパーティー認証アプリ RADIUS MFA AWS Managed Microsoft ADを介して利用 今回は、組み込みの認証機能のTouch IDによるログインを試してみます。 前提条件 AWS Identity Centerのユ
"AWS Organizationsのユースケースで学ぶ AWSアカウント管理のベストプラクティス"というウェビナーで登壇しました | DevelopersIO
はじめに お疲れさまです。とーちです。 2024/7/31に開催された「AWS Organizationsのユースケースで学ぶ AWSアカウント管理のベストプラクティス」というウェビナーで登壇しました。 本記事ではその際に使用した資料をご紹介します。 登壇資料 資料概要 資料の流れとしては以下の通りです AWSを運用していく上ではマルチアカウント管理が重要 しかし、やみくもにAWSアカウントをたくさん作成していると多数のアカウントを管理しきれない等の課題も マルチアカウントにおける課題を解決するのがAWS Organizations 以下の課題についてAWS Organizationsを使うとどのように解決できるかをお伝え 複数アカウントがあるとログインや権限管理が煩雑に 複数アカウント間でのベースライン設定の統一できていない 複数のアカウントがあるとAWS全体のコストの把握や最適化が難し
AWS IAM Identity Center を使わないマルチアカウント環境のユーザー管理 #devio2024 | DevelopersIO
2024 年 7 月 31 日 にクラスメソッドの大阪オフィスで開催された DevelopersIO 2024 OSAKA において「AWS IAM Identity Center を使わないマルチアカウント環境のユーザー管理」というタイトルで話しました。 本ブログで資料を公開します。 登壇資料 次の内容について記載しています。 マルチアカウントのユーザー管理の課題 IAM ユーザーの一元管理の基礎 IAM ユーザーの一元管理のテクニック集 AWS Extend Switch Roles を利用したスイッチロール設定の管理 スイッチロールの条件として MFA 有無と送信元 IP アドレスを指定 スイッチロール先 IAM ロールの信頼ポリシーで複数ユーザーをまとめて許可 アクセスキーの利用 AWS CloudFormation を利用した IAM ロールの設定 外部 ID プロバイダとの連携
IAM Identity Center(AWS SSO)に移行して1年たったので使い方などまとめる | 株式会社PLAN-B
AWS SSOは現在「IAM Identity Center」に引き継がれています。本記事は2020年10月に公開されたもので、名称や機能などは当時の記載のままにしていますご了承ください。 AWSアカウントが複数ある時、みなさんは認証・認可の管理をどうしていますか? PLAN-Bでは2019年に全面的にAWS SSOを使い始め、1年以上が経ちました。以下の点で特にメリットを感じており、利用を継続しています。 アカウントごとにIAMを管理する必要がなくなるクレデンシャルが長期に渡ってローカルマシンに保持されることがない基本的には無料いずれも運用次第なので例外がありますが、マルチアカウントの管理に辟易していてゆるく始めるのであれば上記の認識で良いかと思います。きっちりかっちり管理が必要な場合もそれはそれで対応できるので、AWS SSOを導入した上で組織のポリシーと相談して合わせれば良いです。
セキュアなAWS環境の設計についての解説【2024年版】 - サーバーワークスエンジニアブログ
こんにちは!イーゴリです。 AWS にとって、クラウドのセキュリティは最優先事項です。(AWS公式ページ) AWS環境のセキュリティ対策としてAWSサービスを解説するよりも、まずはAWS環境の最適な設計について考える必要があります。AWS Well-Architected Frameworkを考慮しながらの設計を推奨します。AWS Well-Architected Frameworkを全部詳しく読むことをおすすめしますが、この記事では個人的に一番重要だと思う点について記載します。 とてもざっくり説明しますと、AWS Well-Architected Frameworkとは、クラウドシステムの最適な設計方法を提供するAWSのガイドラインで、6つの柱があります。この記事では基本的に「セキュリティ」の柱を技術的観点から見てみたいと思います。 AWS Well-Architected Framew
AWS Single Sign-onがAWS IAM Identity Centerになりました! | DevelopersIO
AWS Single Sign-on (AWS SSO) が AWS IAM Identity Center になりました。マネジメントコンソールで新しい設定画面を見る限り、AWS IAM Identity Center は AWS Single Sign-On の後継サービスの位置づけとなります。ざっくりと変更点を調べてみました。 AWS のブログでも紹介されています。 何が変わったのか 始めにまとめです。 現時点では、技術的な機能は変更されていない sso identitystoreなどの API、名前空間は下位互換性維持のため、変更されていない マネジメントコンソールを確認してみる 新しい設定画面を画面を見てみます。 メニューの構成は、AWS SSO のときからあまり変わっていないようです。関連コンソールとして、AWS IAM サービスへのリンクが追加されているくらいでしょうか。 冒
AWS Verified Access で VPN-less な世界を体験してみた - Qiita
この記事は AWS Community Builders Advent Calendar 2022 および セゾン情報システムズ Advent Calendar 2022 の 16 日目の記事です 2023/10/10 AWS Verified Access が東京リージョンでも利用可能になりました! 2023/5/2 追記 2023/4/28 に AWS Verified Access が一般利用可能になりました。ただし、東京リージョンおよび大阪リージョンではまだ利用できません。 GA に伴い、以下の機能が追加されています。 Verified Access instance に対する AWS WAF のサポート 署名済み ID コンテキストをアプリケーションエンドポイントに渡せるように (x-amzn-ava-user-context ヘッダー) AWS Verified Access
「AWSセキュリティを「日本語で」学習していくための良いコンテンツをまとめてみた」というタイトルでAWS Summit Japan 2024のCommunity Stageで登壇しました #AWSSummit | DevelopersIO
「AWSセキュリティを「日本語で」学習していくための良いコンテンツをまとめてみた」というタイトルでAWS Summit Japan 2024のCommunity Stageで登壇しました #AWSSummit AWS Summit JapanのCommunity Stageで登壇した「AWSセキュリティを「日本語で」学習していくための良いコンテンツをまとめてみた」の解説です。 こんにちは、臼田です。 みなさん、AWSセキュリティの勉強してますか?(挨拶 今回はAWS Summit JapanのCommunity Stageで登壇した内容の解説です。 資料 解説 AWSとセキュリティの勉強をしていく時、嬉しいことにAWS関連の情報はたくさんあります。しかし、どの情報から勉強していくか迷いますよね?そこで、AWS Security Heroである私がオススメする「日本語で」学習するための良いA
[オフライン世界最速?AWS re:Inforce 2024 re:Cap セミナー] IAM MFAのパスキー対応を理解したい 〜今更(?)多要素認証とパスキーについてキャッチアップしてみた〜 | DevelopersIO
あしざわです。 【オフライン世界最速?】AWS re:Inforce 2024 re:Cap セミナー にて、『IAM MFAのパスキー対応を理解したい 〜今更(?)多要素認証とパスキーについてキャッチアップしてみた〜』というタイトルで登壇しました。 先日のre:Inforceにて発表されたこちらのブログの内容を主題にしています。 パスキーや多要素認証についての知見が薄かったため、その辺りのAWSに関係しない領域のまとめに力を注ぐことになってしまいました。 セッション資料をご覧ください。 登壇資料 3行まとめ パスキーはFIDO(Fast Identity Online)という業界団体によって標準化されたFIDO2認証情報のことを指す。Apple、Googleなどの認証情報プロバイダーによるFIDO2実装の進化系。 パスキーはパスワードと比べると、セキュリティ観点・運用観点の様々なメリット
![[オフライン世界最速?AWS re:Inforce 2024 re:Cap セミナー] IAM MFAのパスキー対応を理解したい 〜今更(?)多要素認証とパスキーについてキャッチアップしてみた〜 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/6d17d62e8c21f31f6e575a129fa707d6f775d8e7/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2024%2F06%2F240617_AWS_reInforce-2024_reCap-1.png)
Amazon Q Business と AWS IAM Identity Center を利用して、プライベートでセキュアなエンタープライズ生成 AI アプリケーションを開発する | Amazon Web Services
Amazon Web Services ブログ Amazon Q Business と AWS IAM Identity Center を利用して、プライベートでセキュアなエンタープライズ生成 AI アプリケーションを開発する 本記事は、2024年4月30日に投稿されたBuild private and secure enterprise generative AI apps with Amazon Q Business and AWS IAM Identity Center を翻訳したものです。 2024 年 4 月 30 日現在、Amazon Q Business が一般提供開始 になりました。Amazon Q Business は、生成 AI を活用し、従業員の質問に答えたりタスクを完了させることで生産性の向上をサポートする対話型アシスタントです。従業員は Amazon Q Busi
[AWS利用者必読] アクセスキー漏洩による不正利用について | DevelopersIO
AWSアクセスキーセキュリティ意識向上委員会って何? 昨今、AWSのアクセスキーを漏洩させてしまうことが原因でアカウントへの侵入を受け、 多額の利用費発生・情報漏洩疑いなど重大なセキュリティ事案が発生するケースが実際に多々起きています。 そこで、アクセスキー運用に関する安全向上の取組みをブログでご紹介する企画をはじめました。 アクセスキーを利用する場合は利用する上でのリスクを正しく理解し、 セキュリティ対策を事前に適用した上で適切にご利用ください。 【はじめに】 昨今、アクセスキーの漏洩を契機とした不正利用の発生が多発しております。AWS 利用のお客様へのビジネスリスクが非常に大きく、弊社としても憂慮する状況です。 そのため、以下をお読み頂き AWS 利用のお客様は環境の見直しをお願い致します。 【この記事で伝えたいこと】 多額の費用発生リスクをなくすために、可能な限りアクセスキーの利用を
![[AWS利用者必読] アクセスキー漏洩による不正利用について | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/3a9299c22c271be79f273b6db38d8ba6bc81bd1c/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2021%2F05%2F8823428add162ea6925215296ff8c67f.png)
認証情報レポートで不要なIAMユーザー・アクセスキーを棚卸ししてみた | DevelopersIO
こんにちは!AWS事業本部のおつまみです。 みなさん、IAMユーザー・アクセスキーを棚卸ししたいと思ったことはありますか?私はあります。 検証をしていると、いつの間にか溜まってしまうIAMユーザーやアクセスキー。 不要なIAMユーザー・アクセスキーを放置することはセキュリティ的に危険です。 特にアクセスキー漏洩は不正利用に繋がる恐れがあります。 そこで今回はIAMの認証情報レポートを使用し、不要なIAMユーザー・アクセスキーを棚卸しする方法をご紹介します。 IAMロールやIAMポリシーの棚卸方法を知りたい方はこちらのブログもご参考ください。 AWSアカウントの認証情報レポートとは AWSアカウントの認証情報レポートは、IAMで管理されているユーザ認証情報の一覧を提供する機能です。 これにより、ユーザーの資格情報やパスワード、アクセスキー、MFA(多要素認証)設定などを確認することができます
AWS入門ブログリレー2024〜AWS IAM Access Analyzer編〜 | DevelopersIO
コンバンハ、千葉(幸)です。 当エントリは弊社AWS事業本部による『AWS 入門ブログリレー 2024』の33日目のエントリです。 このブログリレーの企画は、普段 AWS サービスについて最新のネタ・深い/細かいテーマを主に書き連ねてきたメンバーの手によって、 今一度初心に返って、基本的な部分を見つめ直してみよう、解説してみようというコンセプトが含まれています。 AWS をこれから学ぼう!という方にとっては文字通りの入門記事として、またすでに AWS を活用されている方にとっても AWS サービスの再発見や 2024 年のサービスアップデートのキャッチアップの場となればと考えておりますので、ぜひ最後までお付合いいただければ幸いです。 では、さっそくいってみましょう。今回のテーマは『AWS Identity and Access Management (IAM) Access Analyze
特定の IAM ロールのみアクセスできる S3 バケットを実装する際に検討したあれこれ | DevelopersIO
今回は S3 バケットへのアクセスを特定 IAM ロールからのみに限定して利用する機会がありましたので、設定方法と検討したあれこれをご紹介します。 やりたいこと 構成図はこんな感じ 前提条件 IAM ロールと S3 バケットは同一アカウントに存在する IAM ロールには S3 を管理する権限がアタッチされている 今回は AmazonS3FullAccess ポリシーをアタッチしています NotPrincipal でやってみる 「特定 IAM ロール以外は制限する」という考え方でパッと思いつくのは、以下のような NotPrincipal で制限する方法かと思います。 { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "NotPrincipal": { "AWS": "arn:aws:iam::xxxxxxxxxxxx:
IAM アクセスアナライザー と IAM アクセスアドバイザー をもう二度と混同しないために絵をかいて理解してみた | DevelopersIO
コンバンハ、千葉(幸)です。 突然ですが問題です。 あなたは企業の AWS 管理者です。IAM アクセスアナライザー もしくは IAM アクセスアドバイザー の機能を活用して、適切なアイデンティティ管理に役立てようとしています。 次に示す選択肢のうち、上記の機能を適切に活用している(誤った記述がない)取り組みを表すものを、すべて 挙げてください。(10点) 開発ベンダーが利用する資材格納用の S3 がある。当該 S3 バケットが意図せぬ外部エンティティからアクセス可能となっていないか、 IAM アクセスアナライザーを用いて確認した。 90日以上いずれの AWS サービスへもアクセスを行なっていない IAM ユーザーは一時的に無効化したい。IAM アクセスアドバイザーの通知機能を有効化し、該当ユーザーが検知されたら SNS 経由で E メールを受信できるように設定した。 IAM アクセスアナ
IAM 評価論理ファン必見!AWS ドキュメントにリソースベースポリシー評価論理のプリンシパルごとの違いが記載されました | DevelopersIO
IAM の評価論理、完全に理解した。 コンバンハ、IAM 評価論理おじさん(幸)です。 私としたことがしばらく気づいていなかったのですが、2021年10月5日に IAM の AWS ドキュメントで激アツな更新がされていました。 Document history for IAM - AWS Identity and Access Management (機械翻訳)リソースベースのポリシーや同一アカウント内の異なるプリンシパルタイプの影響についての情報を追加しました。 これまで、同一アカウントの IAM 評価論理でリソースベースポリシーによる Allow が最終的にどのような評価をもたらすか、「プリンシパルごとに異なる動作をする場合がある」という記載がされていました。 え……その詳細が分からないと困るのでは……という状態でしたが、ついにプリンシパルごとの挙動の違いが記載されました。 「プリンシ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Workshop Studio