昨今は、さまざまな要因から、複数のクラウド(IaaS)プロバイダーを活用することが多くなりました。例えば、サービスのワークロードはAWSだが、データ分析はGoogle CloudのBigQueryを使うなどです。異なるプロバイダー間でのリソースにアクセスするには、認証が必要であり、シークレットを安全に発…
AWS(Amazon Web Services)は、AWS IAM(AWS Identity and Access Management)でWebAuthnに対応したことを発表しました。 AWS IAMは以前から多要素認証に対応しており、今回この多要素認証の要素の1つとしてWebAuthnが使えるようになりました。つまりパスワードを入力した上で、追加の認証を行う多要素認証にWebAuthnが加わったことになります。 (2022/6/8 12:45 追記:当初、WebAuthnでパスワードレスなログインが可能と表記しておりましたが、間違いでした。お詫びして訂正いたします。タイトルと本文の一部を変更しました) WebAuthnは、パスワードレス技術の標準化団体であるFIDO Alliance(ファイドアライアンス)が策定したFIDO2仕様の構成要素であるWeb認証技術のことです。 2019年3
AWS Security Blog Authenticate AWS Client VPN users with AWS IAM Identity Center September 12, 2022: This blog post has been updated to reflect the new name of AWS Single Sign-On (SSO) – AWS IAM Identity Center. Read more about the name change here. AWS Client VPN is a managed client-based VPN service that enables users to use an OpenVPN-based client to securely access their resources in Amazon We
現在参画中のプロジェクトでAWS Single Sign-On(以下SSO)を利用するべきかどうか検討しました。 要件 Organizationsを使って、複数アカウントを管理する AD等の外部認証基盤は無い コードで構成管理したい (Infrastructure as Code) ManagementAccount(旧名MasterAccount)はできる限りいじりたくない できるだけ簡単に設定・管理したい できるだけ簡単に各アカウントにアクセスしたい ユーザーあるいはグループごとに細かな権限設定をしたい MFA(多要素認証)必須 (にするかも) AWSアカウントへのアクセスのみが目的。SAML 対応のクラウドアプリケーション (Salesforce、Office 365、Dropbox など)や他アプリケーションで認証基盤を共用することは考えていない ※ SSOで実現できる機能です 選
管理画面の時だけ認証をかけたいみたいな要件はよくある。今回はその要件をALBで特定のpathの時だけCognito認証を通すという構成で実装してみたのでメモ。構成はaws-cdkを使った。 やりたいこと /admin/以下の場合はCognitoの認証をかけ、許可したユーザーしかアクセスできないようにする それ以外のパスではアプリケーションに認証なしで繋がるようにする 実装 aws-cdk 1.62.0を使って実装した。なお今回のコードは実際の実装をミニマムに変更しているので、動作確認はちゃんと出来ていない(たぶんそのままだと動かなそう)。雰囲気だけ感じてください。 import { IVpc, Port } from "@aws-cdk/aws-ec2"; import { Ec2Service } from "@aws-cdk/aws-ecs"; import { Application
セッションマネージャー越しにSSHアクセスする構成のメリットについて考えてみました。 なにそれ? 公式ドキュメントでいうと以下内容のことです。 Step 8: (Optional) Enable SSH connections through Session Manager もう少し詳しく まず、クライアントはセッションマネージャーを使ってアクセスしたいインスタンスにアクセスします。 もう少しこの部分を具体的に説明すると、クライアントがアクセスしているのはインスタンスではなく、SSM(Systems Manager)のエンドポイントです。 そして、アクセス先インスタンス内のSSM Agentがポーリングアクセスしていて、こちらを通じてアクセスしています。 そして、この接続の先で、SSH接続し直しているイメージになります。これが今回扱う「セッションマネージャー越しにSSHアクセス」です。 わ
「Cognito IDプールってやつはAWSリソースへのアクセスを制御する認可部分を担当しているらしいけど、いったいどういう理屈でそうなってるんだ…?」 そんな自分の疑問からAWSのドキュメントを読み実際に手を動かして得られたCognito IDプールに対する理解をまとめました。 「Cognito IDプールってやつはAWSリソースへのアクセスを制御する認可部分を担当しているらしいけど、いったいどういう理屈でそうなってるんだ…?」 そんな自分の疑問からAWSのドキュメントを読み手を動かして得られたCognito IDプールに対する理解を、 AWS CLIで再現できる形にまとめてみました。 Cognito IDプールでAWSの一時クレデンシャルキーを発行することによって、Cognito IDプールの世界からIAMの世界へ落とし込めると、だいぶイメージが付きやすいんじゃないかと思います。 AW
AWS CLIからCloudFormation でユーザとロールを作成して、流れるようにスイッチロールの確認をしてみた 最近は、ABACばっかりやってるAWS 事業本部 梶原@福岡オフィスです。 ABAC(属性ベースのアクセスコントロール )を実施する際、ポリシーは同一にして、スケールすることができるのですが、ユーザやロールの確認作業は必要になってきます。 とはいえ、様々な属性値のユーザの確認作業を手作業でやるのは結構大変です。 ということで検証作業を楽にするため、ユーザー作成、ロール作成部分をTemplate化しました。必要に応じて修正(タグ値を追加など)して、ご自由にお使いください また流れで、ロールの検証を行いたいため、スイッチロールを楽にするために認証情報を取得しやすくしています。 credentialsの設定や、configの設定って微妙にはまりがちなのでなるべく簡単に定型作業で
IAM ロールに対して STS:AssumeRole 系APIを実行すると、そのロールを引き受ける一時的な認証情報が発行されます。アクセス許可を委任したいときなどに利用され、利用頻度・利用パターンが非常に多いため、本サイトでも大量にブログが書かれています。 同様に STS:GetSessionToken API を実行すると、IAM ユーザーの一時的な認証情報が発行されます。 MFA 付きリクエストを実行する場合 モバイルデバイスやウェブブラウザのような安全性の低い環境から IAM ユーザーで AWS リソースにアクセスする場合 などに利用されます。 本ブログでは、あまり触れられることのない STS:GetSessionToken API についてかんたんに紹介します。 やってみた IAM ユーザーの一時認証情報を利用するには、STS:GetSessionToken API で発行された一
こんにちは!広告技術部のUT@mocyutoです! 最近はスマブラでなんのキャラを使おうか迷っています この記事はGunosy Advent Calender 19日目の記事です。 昨日の記事は@mathetakeのpeer-to-peerはGoogleの夢を見るかでした。 はじめに OIDC ALBの認証機能 一般的な認証機構 ALBを利用した認証 データフローの説明 実際の導入 APIでjwtから認証情報を取得する例 まとめ はじめに みなさんユーザ認証はどうやって作っていますか? フレームワークを使って実装していますか? それともイチから自前で作っていますか? SSOのシステムとかはどうでしょう? OIDCとAWSのALBを使えば簡単にユーザのログイン管理を作ることができます。 (少し煽り気味のタイトルですいません ;) OIDC OpenID Connect と言って、OAuth2
コンニチハ、千葉です。 AWSのサービスを組み合わせれば、独自の認証基盤を構築できます。例えば、WordPressを限定的に公開する、Apache、 Nginx、カスタムWebアプリなどなど、簡単に認証をかけたい場合、ベーシック認証は昔から利用されてきました。ただし、これはスケーラビリティや運用面でどうしてもつらい場面がでてきます。 そこで、ALBに素敵すぎる組み込みの認証機能が追加されたのでこちらを利用し、コードを一切書かずに認証を導入します。また、OIDCなど認証プロトコルに対応していますが、今回はシンプルにCognitoのユーザープールを利用し、ユーザー管理自体もCognitoに任せます。 要件 今回の想定する要件です。 Nginxを社内ユーザーのみに公開 スタンドアローンのユーザープールを用意(AD、OICD、SAMLなどによる連携なしで、独自でユーザーを管理) ユーザーは管理者が
育児休業中の五十嵐です。 【国内販売開始】AWS IoT Enterprise Button試してみたらホンマに簡単にLambda関数を実行できた | Developers.IO の記事を読んで、脊髄反射的に「AWS IoT Enterprise Button(以下、IoT Buttonといいます)」をポチりました。 そして到着。 さてなに作ろう。 pic.twitter.com/CV6ulp6tNv — BISQUE (@bisque33) 2018年5月22日 なにか作ろうと、家の中でネタを探したところ、ちょうど良さそうなものを見つけました。 これは新生児の生活を記録するノートです。我が家では主に排泄と授乳の回数を記録していましたので、これをIoT Buttonで記録できるようにしてみました。 仕様 IoT Buttonが押されたら、押された時間と、Click Typeを記録します。C
春嵐の候, 春風に誘われて、外出の機会も多くなりました。お元気でしょうか、せーのです。 私は今、福岡におります。本日こちらで行われている「JAWS-UG福岡:6度目もちょっと濃い目にAWSの話をしてみよう」にお邪魔しています。母さん、札幌の桜はまだですが、福岡はもう夏です。。。 ということで、やってきました福岡。会場はなんと さくらインターネット株式会社 福岡オフィス! AWSのコミュニティイベントがさくらの会場で行われる、しかもセッションのトップはさくらの方、という、、、なんて太っ腹なんでしょう。 そんな恵まれた環境にて日曜日にもかかわらず30人以上のAWS使いが集まり(出席率99%)、熱のこもったセッションが5時間近くに渡って行われました。 そんな中、私はAlexaのちょっと面白い使い方、として顔認証システムを構築してAlexaとつなげてみる、というお話をしてきました。 スライドはこち
下記GitHubにサンプルをアップロードしました。 https://github.com/teradonburi/CognitoUserAuthApiApproval サーバレスアーキテクチャとは サーバを運用する場合、大まかにわけて次の3つの選択肢が存在すると思います。 1. 自社でサーバを管理するケース(オンプレミス型) 2. クラウドサービスでサーバを管理してもらうケース(IaaSクラウド型) 3. クラウド上でビジネスロジックのみ記述して、必要な時だけサーバを稼働させ、スケールもクラウドサービスに任せるケース(サーバレス型) クラウドに依存するほど自前でカスタマイズできる自由度が減る代わりにサーバ運用コストが下がります。 ざっくり言ってしまうとオンプレのサーバは運用が大変なのとコストが高くて自社で持ちたくないのでクラウドのサーバを使いたい。クラウド型だと常時稼働していると運用コスト
引き続き主語大きめでお届けしております。 人類に IDaaS は早すぎた話 で IDaaS について触れました。昨日、Amazon Web Service から関連するリリースが出ました。 New – Your User Pools for Amazon Cognito | AWS Blog これまでの Cognito これまでも Amazon Cognito は、モバイルアプリや JavaScript アプリケーションから、AWS のサービスにアクセスするための認可・認証の機能を提供していました。しかし、ユーザーのパスワードや属性情報を Cognito が保持できるわけではありませんでした。また、Webサービスにおける一般的な認可のための機能やフロー – パスワードの複雑性の管理や Emailアドレス確認のプロセス – は提供されていなかったため、いわゆる IDaaS とは同カテゴリなが
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く