本記事は 【Advent Calendar 2023】 12日目の記事です。 🎄 11日目 ▶▶ 本記事 ▶▶ 13日目 🎅 今回のテーマについて AWSを使用するシステムで、S3を使わないことなんてない。と言い切れそうなくらいS3は使用されていますよね。低コストで大容量のオブジェクトを保存できるというメリットがまず思い浮かぶと思いますが、それ以外にもアクセス制限を細かくできるといったセキュリティ面の強みも大きな魅力です。 そのセキュリティ設定の1つとしてバケットポリシーがありますが、正しく理解できていますでしょうか?今回はよく遭遇するシナリオパターン5つを想定し、それに即したバケットポリシーの例を紹介していきたいと思います。 なお、バケットポリシーは同じシナリオであっても複数設定パターンが存在し、今回紹介させていただくものが正解というものではありませんので、あらかじめご了承ください。
切っ掛けと問題の認識 AWS Config のカウント数の監視 対象外にしたいリソースが見つかったら AWS Config 側で除外する 実際のコスト削減効果 なぜもともとコストが高かったのか まとめ こんにちは、ABEJAの村主です。ABEJAアドベントカレンダー2023の18日目の記事です。今回は、意外にも高額になりがちなAWS Configのコスト削減について、どのように対応したかをご紹介します。特に、AWS Configのコストを大幅に減らすためのアプローチについてお話しします。また、CloudWatch で AWS Config のカウント量を可視化する方法はあまり見かけなかったのでブログにしておきました。 切っ掛けと問題の認識 最初に気づいたのは、AWS Cost Explorer を確認していたときです。そこで見たAWS Configのコストは、1日あたり約$15、月間では約
こんにちは。X(クロス)イノベーション本部 ソフトウェアデザインセンター セキュリティグループの耿です。 AWS WAF は簡単に Web アプリに WAF を追加でき、かつ値段も他の WAF 製品より安いため、好きな AWS サービスの一つです。そんな AWS WAF ですがしばらく構築・運用し、これを最初から知っておけば・・・と思ったことがあるので 8つご紹介します。 AWS WAF の基本については分かっている前提で、特に説明はいたしません。また2023年10月現在の最新バージョンである、いわゆる「AWS WAF v2」を対象としています。 その1: AWS マネージドルールのボディサイズ制限が厳しい その2: ファイルアップロードが AWS マネージドルールの XSS に引っかかることがある その3: マネージドルールにはバージョンがある その4: CloudWatch Logs
こんにちは、株式会社スマートラウンドSREの@shonansurvivorsです。 私は今年5月に1人目のSREとしてこの会社に入社し、既に半年以上が経過しました。 2022年も終わりが近づいて来た中、この場を借りて、スタートアップの1人目SREとして、今年やってきたことを記録として残したいと思います。 なお、本記事で取り扱う内容はSREの理論や原理原則に沿って各種プラクティスを実践したこと、というよりは、セキュリティ、モニタリング、IaC、コスト、パフォーマンス、運用、開発効率などなど、いまこの組織で取り組むことでプロダクトと事業に貢献できるのではないか?と私なりに判断してきたこととなります。 そのため、Site Reliability Engineeringに関して学びのある記事にはなっていないと思いますし、また概ね時系列順に近い形で実施事項を羅列していきますので(述べ方が長たらしいと
こんにちは、株式会社スマートラウンドSREの@shonansurvivorsです。 Terraform AWS Provider v4.33.0より、IAM Identity Center(AWS SSO)のグループとユーザーが作成できるようになりました! 当社は以前からIAM Identity Centerを利用しており、これまではマネジメントコンソールによる管理だったのですが、今回早速Terraform化しましたので、そこで得られた知見を元にしたサンプルコードを紹介します。 なお、Identity Centerの許可セット(IAMポリシー情報)などは以前からAWS Providerで対応済みですが、それらリソースは本記事のスコープ外となります。ご承知おきください。 環境 Terraform 1.1.7 AWS Provider 4.33.0 工夫したポイント 各ユーザーがどのグループに
これは エキサイトホールディングス Advent Calendar 2022 の4日目の記事です。 業務上、AWS IAM Identity Center(旧AWS Single Sign-On)をよく使うので、この記事では 2022 年の AWS IAM Identity Center 関連の嬉しいアップデートを振り返ろうと思います。ただし、re:Invent 2022 の内容は入っていません。 また AWS IAM Identity Center は名称として長いので、以降の文章内では IIC と省略させていただきます。 目次 AWS IAM Identity Center とは AWS IAM Identity Center が大阪リージョンで利用可能に 組織内で委任されたメンバーアカウントからの AWS IAM Identity Center の管理 AWS IAM Identit
AWS SSO を設定し AWS Organizations 管理のメンバーアカウントへサインインするまでの全体の流れを把握してみる AWS SSO の設定を有効化し AWS Organizations 管理しているメンバーアカウントへサインインまでの流れを整理しました。 本記事で学べること 以下の設定手順を画面キャプチャをベースに設定の流れを把握できるように紹介します。 AWS SSO の標準の ID ストアでサインインするユーザーの管理 サインインするユーザーには MFA デバイスの登録を強制 ユーザー、グループの作成 アクセス許可セットの概要 AWS Organizations の管理下のメンバーアカウントへのサインイン・アクセス権限設定 基本設定 AWS SSO を有効化します。AWS SSO 標準の ID ストアを使ってユーザー管理を行い、合わせてユーザーが初回ログイン時に MF
本記事は わた推し~AWSアワードエンジニア編~ 1日目の記事です。 💻 イベント告知 ▶▶ 本記事 ▶▶ 2日目 💻 こんにちは、上野です。 NRIネットコム、2022 Japan APN Ambassadors / Top Engineers / ALL Certificate Engineers による推しテクシリーズです。 私が紹介するのはAWS Single Sign-On (AWS SSO)です。最高のサービスです。 AWS SSOの概要 AWS SSOを有効にすると、一元管理された(一つの)ユーザー名/パスワードでログインすることにより、複数のAWSアカウントへログインできるようになります。 ↓はログイン画面です。 ログインすると・・権限があるAWSアカウントが一覧で表示され、各AWSアカウントへログインできます。 便利ですね。 AWS SSOの仕組み AWS SSOで重
AWS SSOは現在「IAM Identity Center」に引き継がれています。本記事は2020年10月に公開されたもので、名称や機能などは当時の記載のままにしていますご了承ください。 AWSアカウントが複数ある時、みなさんは認証・認可の管理をどうしていますか? PLAN-Bでは2019年に全面的にAWS SSOを使い始め、1年以上が経ちました。以下の点で特にメリットを感じており、利用を継続しています。 アカウントごとにIAMを管理する必要がなくなるクレデンシャルが長期に渡ってローカルマシンに保持されることがない基本的には無料いずれも運用次第なので例外がありますが、マルチアカウントの管理に辟易していてゆるく始めるのであれば上記の認識で良いかと思います。きっちりかっちり管理が必要な場合もそれはそれで対応できるので、AWS SSOを導入した上で組織のポリシーと相談して合わせれば良いです。
この記事は「GRIMOIRE アドベントカレンダー2021 ODD」の3つ目の記事です 今回の記事はグリモア天網チームのケンが担当します。 ここから現在グリモアを支えているエンジニア一同が出陣いたします。 よろしくおねがいします! 1日目に社長が言われていた『悪の組織』を目指すためには、【挑戦する文化】が必要になります。 挑戦しやすい文化を作るために、グリモアでは日々エンジニアリングで手間を解決し、人間でないとできないことにフォーカスを当てていくための活動が日々行われています。 今回はその活動の一貫としてAWSアカウントを複数運用する際の開発効率を上げるため、「AWS Organizations」「AWS Single Sign-On(AWS SSO)」「aws-vault」を利用して安全に、かつ楽に開発できるようになる仕組みを作成したという記事になります。 自己紹介2021年3月よりグリ
こんにちは、大前です。 Control Tower のランディングゾーンバージョン 3.0 がリリースされたので、実際にアップデートして変更点などを確認してみました。 参考 : AWS Control Tower landing zone version 3.0 バージョン 3.0 の変更点 リリースノート を確認すると、3.0 には以下の変更点が含まれている様です。 組織レベルの CloudTrail 証跡を選択するオプションの追加 Control Tower によって管理される CloudTrail 証跡をオプトアウト可能に CloudTrail の設定状況をチェックする 2つのガードレールが追加 グローバルリソースに関する AWS Config をホームリージョンに集約 リージョン拒否ガードレールの SCP 内容がアップデート 管理ポリシー AWSControlTowerServic
Control Towerのガードレール/コントロールを全てTerraformで作成・更新する未来も近い! どうも、ちゃだいん(@chazuke4649)です。 少し前に、Terraform の AWS Provider が AWS Control Tower のガードレール/コントロール の リソース と データソース をサポートしました! aws_controltower_control | Resources | hashicorp/aws | Terraform Registry aws_controltower_controls | Data Sources | hashicorp/aws | Terraform Registry いわゆるControl TowerのAPIが公開されたので、その後Terraform側も対応したという感じですね。 CloudFormation版はこ
ちょっと前に、Organizations+SSOで作ったマルチアカウント環境を使って、開発/ステージング/本番環境を同じCIDRにしてVPCでつなげるということをやりました。 で、同じ環境を手動で複数作るのは手間ですよね。できれば自動化したいですよね、ということで、Terraformでまるっと環境構築してみたいなと思うのですが、TerraformはSSOのプロファイルに対応していないそうです。そこでSSOのトークンを取得してくれた上でコマンドをラップして実行することになります。 上記ではaws2-wrapが紹介されているのですが、TerraformのSSOに関するissueのスレッドを追っかけていくとaws-vaultというのがあるのを知り、一番良さそうな感じがしたのでそれでやってみたいと思います。 事前準備 OrganizationsおよびSSOの設定も済ませてあることとします。 準備
以前、OktaとAWS SSOの連携をご紹介しました。今回はその延長線上で、oktaのユーザー属性を使ったアクセス制限を試してみました。属性値に応じてstart/stopできるインスタンスを制限します。 OktaとAWS Single Sign-Onを連携してみた Oktaコンソールで属性値を設定 Okta管理コンソールを開きます。Applicationsから、AWS Single Sign-On appを開き、Sign Onタブを開きます。SAMLセクションのAttributes (Optional)を開きます。 今回はDepartment(部署)でアクセス制限することにしました。その場合、Nameに「https://aws.amazon.com/SAML/Attributes/AccessControl:Department」と入力します。Department部分は使用する属性に変更し
OktaとAWS Single Sign-Onの連携をためしてみました。 ユーザーの利用イメージ OktaとAWS SSOの設定が完了し、ユーザーが利用するイメージを紹介します。OktaコンソールにAWS Single Sign-onアプリが表示されています。 アプリを選択すると、AWS SSOの画面に遷移します。キャプチャ中のAdministratorAccessとViewOnlyAccessは事前に設定しておいたアクセス権限セットです。それぞれ選択することで、AWSコンソールを開いたり、キーを表示できます。 AWS Single Sign-onアプリの追加 ここからは設定方法をご紹介します。Okta管理コンソール>Application>Applicationsから、Browse App Catalogを選びます。 AWS Single Sign-onで検索します。 アプリをAddしま
みなさん、こんにちは。 AWS事業本部コンサルティング部の芦沢(@ashi_ssan)です。 アップデートにより、AWS WAFv2でAWSマネージドルールグループ内のルールのアクションが個別に変更できるようになりました。 アップデートの発表がAWSのアップデートブログになっていなかったため、AWS公式ドキュメントのDocument historyから変更内容を紹介します。 ※例によって日本語版のドキュメントは更新されていないので英語版のドキュメントから引用します。 ・Change Action overrides in rule groups ・Description You can now override the actions of the rules in a rule group to any rule action setting. As with the prior Cou
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く