Amplified exposure: How AWS flaws made Amplify IAM roles vulnerable to takeover | Datadog Security Labs
research Amplified exposure: How AWS flaws made Amplify IAM roles vulnerable to takeover April 15, 2024 aws vulnerability disclosure Key Points We identified two variants of a vulnerability in AWS Amplify that exposed identity and access management (IAM) roles associated with Amplify projects, allowing them to become assumable by anyone in the world. If the authentication component was removed fro
IAM Roles Anywhere + 自己署名証明書 を爆速で作ってみた
背景 去年7月にIAM Roles Anywhereがリリースされ、アクセスキー管理が不要でAWSの外部のリソースに対してIAMロールを割り当てるできるようになりました。 しかし公式のドキュメントには自己署名証明書を作成する方法が記載されていませんし、現在ネット上に上がっている記事では手順も複雑でなかなか容易に作成できないものが多いと感じました。 なので今回はIAM Roles Anywhere + 自己署名証明書を爆速で作成する方法を紹介します。 また、GitHub上にIAM Roles Anywhere作成のスクリプトも公開していますので、良かったらご活用ください。 1. cfsslのインストール まずはcfsslをインストールします。cfsslは簡単にCSR、秘密鍵を作成できるツールです。 opensslですといろんなオプションを指定しないといけないし、アルゴリズムを間違えたら信頼ア
Lake Formation を使用し AWS アカウント間でセキュアにデータ共有を実現 | Amazon Web Services
Amazon Web Services ブログ Lake Formation を使用し AWS アカウント間でセキュアにデータ共有を実現 近年、多くの企業で構造化データ・非構造化データをスケーラブルな形で一箇所に集約したいニーズが増えてきたことから、データレイクが非常に注目を集めています。データは元のまま保管されているため、事前に定められたスキーマへの変換は必要なく、ビジネスユースケースに応じて柔軟に新たな分析をデータレイク上で始めることができます。 実利用においては、自社が所有するデータを他の企業、組織、またはビジネスユニットに共有したい要件がよくあります。例として、他社のステークホルダーに自社のデータを共有し、共同のマーケティングキャンペーンを打ち出すなどが考えられます。このようなユースケースで、データの提供元 (プロデューサー) は自身のデータを丸ごとコピーすることなく、セキュアかつ
AWS IAMの属人的な管理からの脱却【DeNA TechCon 2021】/techcon2021-19
AWSをはじめとするクラウドプラットフォームの普及に伴い、DevとOpsの境目はかなり曖昧になっています。その中でもIAMの管理は設定によっては権限昇格を引き起こしかねないことから、その管理権限は慎重な管理になりがちです。結果的に、IAMは属人的な管理を行っている組織が多いのではないでしょうか。 一方で、DevとOpsの境目がどんどん曖昧になっていく中で、IAMロールやIAMユーザーを自由に作りにくい状況があると大変不便です。IAM関係のトライ・アンド・エラーが手軽に行えないことから、開発速度の鈍化を引き起こしたり、アーキテクチャ設計の上で運用上の足かせとなったりといったことが起こります。 また、それらの問題を回避しようとした結果として、IAMロールやIAMユーザーの使い回しが横行しはじめるなど、結果的に最小権限の原則が守られなくなっていくことも少なくはないのではないでしょうか。最小権限の
[アップデート]新IAM Policy Condition aws:CalledVia を学ぶ | DevelopersIO
IAM PolicyのConditionにaws:CalledViaというキーが追加されました。どういったキーなのかご説明します。 一言でいうと 「特定のサービス経由で実行している/いない」という権限付与の条件が設定可能になりました。 具体例を出して説明します。 これまで: aws:CalledViaが無い世界 CloudFormation(以下CFn)を使って、VPCを作成したいとします。 CFnテンプレートは至極シンプルです。 AWSTemplateFormatVersion: "2010-09-09" Description: Create VPC Resources: VPC: Type: AWS::EC2::VPC Properties: CidrBlock: "192.168.0.0/16" EnableDnsSupport: "true" EnableDnsHostnames
![[アップデート]新IAM Policy Condition aws:CalledVia を学ぶ | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/be87d4dc194a448afd90d0a4b97626b36839fd3a/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Faws-iam.png)
[新機能]IAMの委譲権限を制限可能なPermissions Boundaryが登場したので試してみた | DevelopersIO
新機能としてIAMの委譲権限を制限可能なPermissions Boundaryが登場したので試してみました。 にしざわです。ブログというか新機能について触るのも久々な感じですが、大好きなサービスの1つであるIAMサービスに、"Permissions Boundary"という新たな機能が登場したので、試してみたいと思います。ほぼ下記のドキュメントのシナリオ通りなのですが、よりシンプルに説明できるように少し設定を変えながら試した結果をご紹介します。 AWS Developer Forums: Delegate Permission Management to Employees by Using IAM Permissions Boundaries Permissions Boundaries for IAM Identities - AWS Identity and Access Mana
![[新機能]IAMの委譲権限を制限可能なPermissions Boundaryが登場したので試してみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/7ba1034b9360dd6b5d9f1c5c3fa68ed286fc549d/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2014%2F05%2FIAM.png)
[AWS] マネジメントコンソールへのIAMユーザーログイン時に発生するイベント - Qiita
発端 CloudWatch Events を使って、AWSマネジメントコンソールへのIAMユーザーのログイン失敗を検知していました。 ですが、どうやら「非存在ユーザー」のログイン失敗を検知できなくなっているようです。ここ1〜2ヶ月の間に。 というわけで、目的↓ 目的 IAMユーザーのマネジメントコンソールログイン時、成功/失敗でそれぞれどのようなイベントが発生するかを確認する。 調査方法 CloudWatch Events で SignIn のイベントを検知し、Lambdaに流してログ出力します。 ※以前のイベントパターンとの比較もできればよかったのですが、わかりやすくログを残してない&遡って調べる気力は無いので、やりません。 CloudWatch Event Rule のイベントパターン
![[AWS] マネジメントコンソールへのIAMユーザーログイン時に発生するイベント - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/dab5eee8e948b9b911496b2f79880f0777264867/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-9f5428127621718a910c8b63951390ad.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-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%26mark-x%3D142%26mark-y%3D112%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTYxNiZ0eHQ9JTQwbmlzZGEmdHh0LWNvbG9yPSUyMzIxMjEyMSZ0eHQtZm9udD1IaXJhZ2lubyUyMFNhbnMlMjBXNiZ0eHQtc2l6ZT0zNiZ0eHQtYWxpZ249bGVmdCUyQ3RvcCZzPWEwNGViZjYyMzcxMzZhZjI2YTk2ZWZhOTk3MGQxNjI5%26blend-x%3D142%26blend-y%3D491%26blend-mode%3Dnormal%26s%3Dc8c6d3562cbbaec2adc07db725dc0e67)
IAMロールのセッション期間が1時間から12時間に延長可能になりました | DevelopersIO
設定 IAMダッシュボードの「ロール」設定として、CLI/API セッション期間の指定が可能になりました。 期間として、1時間(3600秒)から、最大では12時間(43200秒)までの指定可能です。 確認手順 同時刻に2つの異なるブラウザ(Firefox/Safari)を利用してAWSコンソールにIAMログイン CLI/API セッション期間 1時間と、12時間のロールにスイッチしました。 CloudTrailログ(抜粋) 1時間設定ロール(Firefox) "eventTime": "2018-03-29T12:55:07Z", "eventSource": "signin.amazonaws.com", "eventName": "SwitchRole", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.13; rv:59
マネジメントコンソールで参照可能なサービスを制限する | DevelopersIO
こんにちは、坂巻です。 今回は、特定のIAMユーザに対して、 マネジメントコンソールから参照できるサービスを制限してみたいと思います。 目次 カスタマー管理ポリシーの作成 ポリシーの内容 ポリシーの作成 ポリシーの適用 動作確認 マネジメントコンソール AWS CLI 最後に カスタマー管理ポリシーの作成 本エントリでは、マネジメントコンソールよりカスタマー管理ポリシーを作成します。 インラインポリシーを利用して同様の制限を行う事もできますが、 インラインポリシーの場合、プリンシパルエンティティ(ユーザー、グループ、ロール)と1対1の関係になり、 再利用を行う事ができません。 ポリシーの分類についての詳細は、以下のエントリをご確認ください。 AWS IAMポリシーを理解する ポリシーの内容 ここでは、EC2の一覧表示のみ可能なポリシーを作成します。 ポリシーの内容は以下となります。 {
[レポート] AWS主催のIAM技術セミナーに参加してきました | DevelopersIO
先日開催されました、AWS 主催の技術セミナーに参加してきましたのでレポートします。 今回のセミナーは「エンタープライズサポート契約を結んでいるパートナー企業限定のトレーニングセッション」ということで、特にサポートエンジニアを対象として 1/25 に開催されたものです。弊社からは、オペレーションチーム所属のわたし以外に 2名、またリモートで 2名の、計 5名で参加しました。 限定セッションということで、その内容を詳細には書けないのですが、雰囲気をお伝えできればと思います。 セッション内容 セッションは AWS のオフィスで開催されました。 テーマ : IAM (AWS Identity and Access Management) 内容 : IAM技術セミナー (アドバンスド) 事前に参加者から寄せられた質問に対する Q&A ケース事例について 対象 : IAM Black Belt レベ
![[レポート] AWS主催のIAM技術セミナーに参加してきました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/eb4226b8c2e69cf714b391dc7dd11e85592eea24/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2015%2F09%2Freport.png)
AnsibleでAssumeRoleを行いbotoによるMFA入力を回避する | DevelopersIO
渡辺です。 複数のAWSアカウントに対し、IAMロールを管理しようとして色々ハマりました・・・。 管理方法として、Ansible、Terraform、CloudFormationと検討しましたが、最終的にAnsibleに落ち着きました。 前提として次のような制約があります。 メインアカウントのみMFAを有効にしたIAMユーザを作成し、アクセスキー/シークレットキーは作成する 管理対象のAWSアカウントのアクセスキー/シークレットキーは作成しない 設定ファイルなどで構成管理を行う なお、構成管理を行うには、Ansible以外に、CloudFormationやTerraformなどが選択肢としてあります。 iam_role モジュールとwith_items Ansibleでは、AWS関連モジュールも多く提供されています。 はじめに、 iam_roleモジュールと、繰り返し処理を行う with_
IAMのEC2権限をまとめてみた - サーバーワークスエンジニアブログ
みなさんこんにちは。 テクニカルグループの山田です。 最近、IAMで権限を管理/設定する機会が多いのですが、その中でも特に設定する機会が多い EC2の権限 を一覧にしてまとめました。 IAMで設定が出来るEC2の権限を全て網羅しております。 EC2のIAM権限 アクション アクションの内容 ec2:ActivateLicense ライセンスを有効化する ec2:AllocateAddress EIPを取得する ec2:AssignPrivateIpAddresses ENIにSecondary Private IPを追加する ec2:AssociateAddress インスタンス/ENIにEIPを割り当てる ec2:AssociateDhcpOptions VPCにDHCP Option Setを関連付ける ec2:AssociateRouteTable サブネットに対してRouteTab
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IAM Policies for integrated services - AWS Step Functions