【Tips】Admin権限を持っていないIAMユーザでIAM Roleを設定するためのポリシー設定 | DevelopersIO
地味サービス大好き、森永です。 7/7は弊社の創立記念日ということで、地味なネタ無いかなぁと考えていて思いつきました。 今日は物凄い数ブログが出ると思うので埋もれるとは思いますが、必要な人は絶対にいると思い筆を執ります。 序説 AWSでの権限管理と言えばIAM(Identity and Access Management)です。 誰にでもAdmin権限を渡していてはセキュリティ的に怖いですから、権限の調整が必要ですが、そこでハマるポイントを自分の備忘としてまとめておきます。 問題 AWSにはPowerUserというポリシーも用意されているのですが、Adminとの違いは「IAMの操作が出来るか」だけです。 こちらがAdminポリシーです。 全てのアクション、全てのリソースに対する操作が許可されています。 { "Version": "2012-10-17", "Statement": [ {
Terraformとdriftctlで行うGoogle Cloud 権限管理の省力化 - ZOZO TECH BLOG
はじめに こんにちは、ML・データ部MLOpsブロックの岡本です。 MLOpsブロックでは日々複数のGoogle Cloudプロジェクトを管理しています。これらのプロジェクトでは、データサイエンティストやプロジェクトマネージャーなど別チームのメンバーが作業することもあり、必要に応じてメンバーのGoogleアカウントへ権限を付与しています。 権限の付与はプロジェクトの管理者であるMLOpsブロックメンバーが行いますが、これは頻繁に発生する作業でありトイルとなっていました。 また権限付与後はこれらを継続的に管理し、定期的に棚卸しすることで不要になった権限を削除する必要があります。しかし当初の運用だと権限の棚卸しの対応コストが大きく、これが実施されずに不要な権限が残り続けるという課題もありました。 本記事ではMLOpsブロックで抱えていたGoogle Cloudプロジェクト内での権限管理における
AWS外の環境でアクセスキーを使わないでAWS CLIを実行
AWSに関する操作をコマンドで実行する時にアクセスキーは頻繁に使われていた。 そのアクセスキーが漏洩することによりAWSの不正利用が行われるリスクがある。 なので、AWSとしてもアクセスキーの利用を推奨していない。 にもかかわらず、一部のツールはアクセスキーの利用を当たり前のようにしている。 AWS内はIAMロールを利用するのが基本。 ではAWS外は?? 最近だとIAM Roles Anywareなるサービスがリリースされたけど、Private CAが必要で証明書の管理が結構手間。 別の方法として、ジャンプアカウントのIAMユーザーでアクセスキーを発行して、スイッチロールすることでワンクッション置いているけどもなんかモヤモヤw アクセスキーと一緒にIAMロール名やジャンプ先のアカウントIDが一緒に漏れると意味がないw ジャンプアカウントでのやり方は以前にブログ記事に書きますた。 OCIのサ
AWS CLIをAWS IAM Identity Center(SSO)で認証させるには? | DevelopersIO
AWS OrganizationsのAWS IAM Identity Center(旧AWS Single Sign-On;AWS SSO)を利用すると、Organizations配下のAWSアカウントにSSOできます。 本記事では、同機能をAWS CLIから利用する方法を紹介します。 AWS IAM Identity Centerの詳細は次のブログを参照ください。 なお、本記事ではAWS Identity Center directoryでユーザー管理しているものとします。 ポイント IAM Identity CenterにはAWS CLI v2が対応。v1は未対応 設定ファイルはAWS CLIだけでなくAWS SDK全般で流用可能 IAM Identity Centerはリージョナル・サービス IAM ユーザーのように永続的なアクセスキーは存在せず一時的な認証情報を利用 各アカウントへ
Amazon Lightsail 専用のIAMポリシーを設定する | DevelopersIO
こんにちは、菊池です。 小ネタです。Lightsailのみアクセス可能なIAMポリシーを設定しようとしたところ、Lightsaiには現状AWS管理ポリシーが存在しません。独自ポリシーでIAMポリシーを設定する必要がありますので、APIリファレンスを参考に作成しました。 PowerUserAccessや、ReadOnlyAccessのポリシーを使えばLightsailも利用可能ですが、他のサービスを参照させたくないケースを想定しています。 IAMポリシー フルアクセス Amazon Lightsailの全操作が可能です。 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lightsail:*" ], "Resource": "*" } ] } 読み取り専用 参照のみ可能な権限です。 { "
Amazon Lightsail と IAM の連携について - Amazon Lightsail
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 Amazon Lightsail と IAM の連携について Lightsail へのアクセスを管理するために IAM を使用する前に、Lightsail でどの IAM特徴が使用できるかを理解しておく必要があります。Lightsail およびその他の AWS のサービスが IAM と連携する方法の概要を把握するには、IAM ユーザーガイドの「IAM と連携する AWS のサービス」を参照してください。 Lightsail アイデンティティベースのポリシー IAM のアイデンティティベースポリシーでは、許可または拒否するアクションとリソース、またアクションを許可または拒否する条件を指定できます。Lightsail は、特定の操作、リソース、および条件キーをサポートし
データエンジニア / Analytics Engineer向けの権限管理のためのTerraform紹介 - yasuhisa's blog
これは何? 背景: 権限管理とTerraform 権限管理の対象 誰に権限を付与するのか どのスコープで権限を付与するのか どの強さで権限を付与するのか Terraformについて Terraformの概要: 権限管理でTerraformを使うと何がうれしいのか 例: roles/bigquery.jobUserを付与してみる コラム: どこでTerraformを実行するか Terraformでの権限管理の例 例: データセットの作成 例: データセットに対する権限付与 サービスアカウントの管理 iam_member関連の注意点: AdditiveとAuthorativeを意識する Terraformで管理されていなかったリソースをTerraform管理下に置く: terraform import Terraformの登場人物 terraform planやterraform applyの
最小権限の原則による Cloud Run のデプロイ保護 | Google Cloud 公式ブログ
※この投稿は米国時間 2023 年 2 月 18 日に、Google Cloud blog に投稿されたものの抄訳です。 Cloud Run を使用すれば、デベロッパーは、Google のスケーラブルなインフラストラクチャ上で実行されるサーバーレス環境に本番環境のウェブ アプリケーションと API を簡単にデプロイできます。開発チームは Cloud Run を活用して開発のアジリティを向上させ、迅速に反復処理できますが、多くの場合、インフラストラクチャのセキュリティ体制が見落とされています。十分な注意が払われていないセキュリティの側面として特に注目すべきなのが、アクセス管理と最小権限の原則です。 最小権限の原則とは、あるリソースに対してその機能に必要なリソースのみへのアクセスを許可することを示します。この原則は、ID の侵害によって攻撃者に幅広いリソースへのアクセスが許可されるリスクに対応
テクニカルトレーナーと学ぶ AWS IAM ロール ~ ここが知りたかった ! つまずきやすい部分を理解してモヤっとを解消 - 変化を求めるデベロッパーを応援するウェブマガジン | AWS
こんにちは ! テクニカルトレーナーの杉本圭太です ! 最近読んで面白かった漫画は「あかねさす柘榴の都」と「クジマ歌えば家ほろろ」です。 今回は IAM ロールの説明を、私なりに感じた「理解する時につまずきやすい部分」を紹介する形式でお伝えします ! これは自身の経験やトレーニングの受講者からよくいただく相談などを踏まえたものなので、今まで IAM ロールの説明を聞いたり読んだりしてきたけどいまいちピンときていない方に、ぜひモヤッとを解消していただきたいです ( ・∀・)=b というのも、私は業務でお客様に AWS の様々なトレーニング を提供しているのですが、AWS Identity and Access Management (IAM) について説明をした後に「トレーニングを受講したことで、今まで難しいと感じていた IAM ロールを理解できた !」と言っていただくことがあります。そのた
【AWS】AWS Organizationsの理解 - Qiita
はじめに どうも、道産子エンジニアのkitonです。 AWS SAAの更新期限が迫っていて、更新せずに上位資格(SAP)を取ることに決めました! 試験勉強していく過程で、 「全然理解していないサービスがあるじゃないか!!」 と絶望したので、一旦知識整理してきます。 今回はAWS Organizationsについてです。 難易度(個人的感想) ★★★★☆ Why?? 個人開発者としては、実際に手を動かして網羅的に理解するには結構しんどい。 組織の分析経験、一括請求の確認など。。 ポリシーの許可・拒否設定を理解する上で、IAMの知識が必要。 特にactionの理解 実務で使うにあたっては、企業毎の組織分析、請求管理、アクセスポリシーの設計スキルが必要。 AWS Organizations 複数のAWSアカウントを一元管理 グループ化して、ポリシーを適用し利用サービスを制限することが可能。 AW
【AWS】IAMでスイッチロールを利用して複数アカウントにログインする方法 - Qiita
概要 AWSのIAMで、スイッチロールを利用して顧客のAWSアカウントを利用しました。その際の設定手順について備忘も兼ねて記載します。 前提 自分の会社を「会社A」、顧客の会社を「会社B」として記載してます。 踏み台アカウント(ジャンプアカウント)を利用して、スイッチロールします。一つの入り口からのみ複数環境(ステージング・本番・検証など)にスイッチできる、セキュアな方式です。 踏み台アカウントについて、顧客BからID/Passは連携済とします(MFA認証のキーも)。より強いセキュリティ権限を付与したい場合は別途検討されてください。 AWSリソース図 実行手順 ①ロールを作成する(会社B) ②スイッチロールを設定する(会社B) ③スイッチロールで切り替えを行う(会社A) ①ロールを作成する(会社B) IAM画面→ロールの作成→クロスアカウントアクセスを選択 スイッチロールを許可したいアカウ
【AWS IAM Identity Center 小ネタ】APIで作成したユーザーにメールでOTP(ワンタイムパスワード)を送るようにする | DevelopersIO
AWS IAM Identity Center のユーザー作成を、API(AWS CLIなど)を活用して 効率化したいケースがあると思います。 ただデフォルトの設定では、APIから作成されたユーザーは パスワードが設定されていないので、サインインできません。 これを解消するにはコンソールの [設定] > [認証] > [標準認証] > [E メールの OTP を送信] を有効化する必要があります。 Send email OTP for users created from API - AWS IAM Identity Center (successor to AWS Single Sign-On) …伝えたいことは以上ですが、これだけでは物足りないので 実際にその設定を有効化してみます。また、ユーザー作成時の挙動も確かめてみました。 設定の有効化 IAM Identity Center コ
サービスアカウントで BigQuery にアクセスするときに、どのロールでどんな操作が可能なのか確認してみた。 | DevelopersIO
サービスアカウントで BigQuery にアクセスするときに、どのロールでどんな操作が可能なのか確認してみた。 こんにちは、みかみです。 やりたいこと BigQuery の事前定義ロールにはどんな種類があるか知りたい 各ロールでどんな操作ができるのか知りたい BigQuery Python クライアントライブラリを使用する場合に、各ロールで実行可能な処理を確認したい 目次 GCP の権限管理 BigQuery の事前定義ロールを付与したサービスアカウントを作成 Python クライアントライブラリ経由で BigQuery を操作 プロジェクト関連操作 データセット関連操作 テーブル関連操作 テーブルデータ関連操作 ルーティン関連操作 モデル関連操作 ジョブ関連操作 許可されていない操作を実行した場合の挙動 ロールごとに実行可能な操作一覧 まとめ(所感) 参考 GCP の権限管理 GCE や
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GCPの権限管理に関する自動化について
2023 年の BigQuery 権限管理
GoogleのService Account認証に潜む invalid_grant 問題 | infoScoop開発者ブログ