タグ

iamとIAMに関するyassのブックマーク (15)

  • AWSアカウントを跨いでSQSのメッセージを送信するパターン集 | DevelopersIO

    大栗です。 多数のシステムを運用するときは、システムに応じてAWSアカウントやVPCを分けて配置することを検討します。システム間で疎結合にメッセージを交換するためにSQSを多用しますが、AWS構成は色々と考えられます。パターンによってメリット・デメリットがあるのでまとめてみました。 参考:AWSアカウントとVPC、分ける? 分けない?: 分割パターンのメリット・デメリット AWSアカウントを跨ぐSQS使用で検討すべきこと AWSアカウントを跨いでSQSでメッセージを送信する場合には、以下の様なことを検討する必要があります アクセス権限は?(送信元アカウントと送信先アカウントの権限) SNSを使う?使わない? どっちのアカウントに配置する?(送信元アカウントと送信先アカウント) アクセス権限 AssumeRoleによる異なるアカウントの権限の取得 アカウントを超えて一般的なAWSリソースにア

    AWSアカウントを跨いでSQSのメッセージを送信するパターン集 | DevelopersIO
    yass
    yass 2017/01/12
  • AWS Solutions Architect ブログ

    アクセスキーのローテーションと不要なユーザーの削除。この2点について、AWS Identity and Access Management(IAM)のセキュリティベストプラクティスとして、私たちがお伝えしていることを聞いたことがあると思います。しかし、そのアクセスキー(IAMユーザーやrootアカウント)がもう使われていないのか、または、削除しても安全なのかがわからなかったのではないでしょうか? この問いに対する答えを助けるため、IAMは、最後に利用されたのが、どのリージョンで、何のサービスで、いつだったのかをレポートする機能を提供するようになりました。これらの詳細は、IAMユーザーやルートアカウントが最後に使われたのはいつかを示すとともに、古いキーのローテートや、自信を持って非アクティブのユーザーを削除することができ、そして、パスワードがいつ使われたのかについての情報を補完します。アクセ

  • 【鍵管理】~/.aws/credentials を唯一のAPIキー管理場所とすべし【大指針】 | DevelopersIO

    よく訓練されたアップル信者、都元です。AWSを利用していると、APIキーの利用は必要不可欠です。数多くのAWSアカウントを扱っていれば、たまたまAPIキーは利用せず、管理コンソールへのパスワードだけで済んでしまうケースもあるかもしれませんが、これはごく例外的な状況です。しっかりとAWSを使いこなしている以上、APIキーを管理する機会が必ずあります。 鍵管理が大変 というわけで、皆さんは自分用のAPIキーを数多く管理しているわけですが、その管理は行き届いているでしょうか。少なくとも「失くしたwww」なんていう事態は是非避けたいものです。大丈夫すか? では、とあるキーがありましで、それが書き込まれている場所を全て挙げられますか? あちこちのファイルに書き込んだりしていませんでしょうか。aws-cli用の設定ファイルはもちろん、環境変数設定用の~/.bash_profileの中、シェルのhist

    【鍵管理】~/.aws/credentials を唯一のAPIキー管理場所とすべし【大指針】 | DevelopersIO
  • 2015年3月 AWS IAMポリシーのチェック厳格化への対策 | DevelopersIO

    ども、大瀧です。 日、AWSより2015年3月にIAMポリシードキュメントの文法チェックが厳格化するというアナウンスがありました。具体的にどんな対策をするべきか、まとめてみました。 確認方法 まずは、対策が必要かどうかを確認します。IAMのDashboard画面(https://console.aws.amazon.com/iam/)にアクセスして、画面上部に「Fix Policy Syntax」の警告が表示されたら対策が必要、表示されなければ対策は不要です。 警告が表示されたら、早速警告文末尾にある[Fix Syntax]リンクをクリックしてPolicy Validatorを表示します。 Policy Validatorによるポリシードキュメントの修正 Policy Validatorのリストには、修正が必要なポリシー一覧が表示されます。ポリシー名をクリックすると、自動修正前と修正後の

    2015年3月 AWS IAMポリシーのチェック厳格化への対策 | DevelopersIO
    yass
    yass 2014/12/31
    " JSONとしては正しいがIAMポリシーとしては正しくないという、従来チェックしていなかった記述を修正するようです。"
  • AWSのアカウント管理の話 - プログラマでありたい

    AWS Advent Calendar 2014の7日目です。あと、全部俺Advent Calendarも開催中です。 運用絡みで何か書くと宣言したので、AWSのアカウント運用について書いてみます。テクニックや技術より、考え方の面での整理です。 AWSのアカウントの種類 AWSで利用するアカウントは2種類あります。AWSアカウントとIAMアカウントです。AWSアカウントは、マスターアカウントと呼ぶこともあって大元のアカウントになります。AWSにサインアップ時に作るものが、AWSアカウントで1つだけ存在します。それに対して、IAMアカウントはユーザアカウントです。AWSの管理コンソールから、個々のユーザ向けなどに作成します。 AWSアカウントの取扱について AWSアカウントは、全権限を持っています。強力すぎるアカウントで、日常の運用に利用するには危険すぎます。日常の運用には使わないというのが

    AWSのアカウント管理の話 - プログラマでありたい
    yass
    yass 2014/12/07
    " NotActionは、指定されたものを反転して許可します。Allow-Actionでec2を指定した場合は、ec2が許可されます。Allow-NotActionでec2を指定した場合は、ec2以外の全てのリソースが許可 "
  • AWS で作るシステムのセキュリティ考 - 水深1024m

    AWS アカウントを複数人で使ってシステムを作っていく時に、 セキュリティの面からやるべきことについて。 主に Web アプリケーションを想定した内容ですが、特に書いてあることは特殊ではないと思います。 各所の Blog にも記事書かれてますが思っていることをつらつらと書いてみます。 なんか変なこと言ってたらご指摘ください。 参考: AWSセキュリティが気になるなら読んでおくべきAWSセキュリティのベストプラクティス - yoshidashingo はじめに (AWS アカウントと IAM ユーザ) 前提というか用語の話。 AWS アカウント アカウント作成時のメールアドレス、パスワードでログインして使うユーザ IAM ユーザ AWS アカウントから発行できる、ユーザ名とパスワードでログインして使うユーザ AWS アカウント周り AWS アカウント (ルートユーザ) で作業できないように

    AWS で作るシステムのセキュリティ考 - 水深1024m
  • プログラムではアクセスキー/シークレットキーを使わずにRoleを利用する | DevelopersIO

    渡辺です。 最近は、システムの開発支援としてAWS環境構築などに関わる事が多いです。 そこで、開発者側視点で押さえておきたいAWSのノウハウや基礎知識を書いて展開してみたいと思います。 今回はEC2で動くプログラムがアクセスキー/シークレットキーを使わずにRoleを利用すべき、という話です。 Roleとは? RoleはIAMの機能のひとつで、アクセスキー/シークレットキーを使わずに各種AWSリソースにアクセスすることができます。 例えば、EC2インスタンスからS3にオブジェクトを書き込んだり、SNSにメッセージを送信したりする場合に利用できます。 アクセスキー/シークレットキーとの違い ひとことで言えば、Roleはアクセスキー/シークレットキーに比べ、キーの管理をする必要がありません。 ただし、EC2インスタンスにしか割り当てることしかできません。 キー管理が不要 アクセスキー/シークレッ

    プログラムではアクセスキー/シークレットキーを使わずにRoleを利用する | DevelopersIO
    yass
    yass 2014/09/05
    " RoleはIAMの機能のひとつで、アクセスキー/シークレットキーを使わずに各種AWSリソースにアクセスすることができます。 例えば、EC2インスタンスからS3にオブジェクトを書き込んだり、SNSにメッセージを送信したり "
  • AWSアクセスキー・ローテーションのススメ | DevelopersIO

    よく訓練されたアップル信者、都元です。AWSにおけるクレデンシャルには大きく「管理コンソールにログインするためのパスワード(Sign-In Credentials)」と「APIアクセスを行うためにAPIキー(Access Credentials)」の2種類があることをご紹介しました。そして、前者Sign-In Credentialsのセキュリティを強固なものにする手段として、MFAの活用についてもご紹介しました。 当は怖いアクセスキー しかし実は当に怖いのは、後者Access Credentialsのセキュリティです。アクセスキーはMFAによる保護に向いていません。設定を工夫すれば、「MFAによる認証を経なければアクセスキーを使えないようにする」ことも可能です。しかし、一般的には「プログラムが使う認証情報」であることが多いため、MFAの認証コードがなければAPIが叩けない、というのは受

    AWSアクセスキー・ローテーションのススメ | DevelopersIO
  • AWS News Blog

    AWS Weekly Roundup – AWS AppSync, AWS CodePipeline, Events and More – August 21, 2023 In a few days, I will board a plane towards the south. My tour around Latin America starts. But I won’t be alone in this adventure, you can find some other News Blog authors, like Jeff or Seb, speaking at AWS Community Days and local events in Peru, Argentina, Chile, and Uruguay. If you see […] New – Amazon EC2 H

  • AWS Solutions Architect ブログ

    AWSコンサルタントの高田です。 以前よりよくお客様よりお問い合わせ頂く内容として、AWSリソースを保護するためにAWS Identity and Access Management (IAM)をどのように利用すればよいのかというものがあります。 一般にAWSでは、AWSアカウントと重要な操作を許可されたIAMユーザーに対して多要素認証(MFA)を有効化することをお客様に勧めています。また、利用者が普段アカウントを利用する際にルートクレデンシャルを用いることがないよう、可能な限り制限されたロールベースでのアクセスを利用することも勧めています。 以下にAWSリソースを保護するためのベストプラクティスやHow Toについてまとめた資料へのリンクをご紹介致します。 IAM Best Practices : この記事は、AWS リソースの保護に役立つIAMサービスの使用に関する全般的なアドバイス

  • AWS IAMによるセキュリティ・ベストプラクティス(スライド紹介) - ブログ日記

    IAM Best Practices from Amazon Web Services AWSのPrincipal Security Solutions ArchitectであるMax Ramsayが、AWS IAMのベストプラクティスを説くスライドの紹介。AWS IAMとは、AWSのサービスやリソースへのアクセスをセキュアに制御するためのサービス。 クラウド・ベンダーはメインとなる仮想サーバー機能やストレージ機能だけではなくて、IAMのような地味ながら極めて重要な機能を提供できることが大切であると個人的には感じている。ところが、IAMがあっても十分に活用されていない場合もあるので、この良スライドを意訳しつつ日語でサマリーを書いてみる。 最小権限の原則といったセキュリティ管理における常識的な内容を、AWS IAMという機能にマッピングするのがプレゼンテーションの趣旨なので、実現方法の説

    AWS IAMによるセキュリティ・ベストプラクティス(スライド紹介) - ブログ日記
  • AWS Management Consoleのアクセスログを取る。その1 IAMによるIP制限 - プログラマでありたい

    3/9に行われた春のJAWS-UG 三都物語の資料が続々と公開されています。どれも面白いですが、cloudpackさんの"JAWS-UG三都物語 2013 春 よりセキュアなAWS環境 構築事例 〜PCI DSS対応〜"の事例が中々興味深かったです。 その中の1つに、AWS Management Consoleのログを取るというのがあります。割と実現して欲しいと要望の多い機能ではありますが、2013年3月現在のAWSのデフォルトの機能ではありません。この機能が何故必要かと言いますと、エンタープライズ向けで使うためには必要要件として定義されていることが多いからです。今回の例でもPCI DSS対応の為にも、必須とあるようです。 デフォルトの機能でないとすれば、どうすれば良いのか?1つはAPIを使って独自に作るという方法です。AWSのサービスは全てAPIが用意されています。つまり画面で出来ること

    AWS Management Consoleのアクセスログを取る。その1 IAMによるIP制限 - プログラマでありたい
  • AWS News Blog

    New Amazon EC2 R7iz Instances are Optimized for High CPU Performance, Memory-Intensive Workloads Today we’re announcing general availability of the Amazon EC2 R7iz instances. R7iz instances are the fastest 4th Generation Intel Xeon Scalable-based (Sapphire Rapids) instances in the cloud with 3.9 GHz sustained all-core turbo frequency. R7iz instances are suitable for workloads where there’s a requi

  • S3とIAMを組み合わせたお手軽ファイル共有

    ファイルをやり取りする時など、イントラにあるファイルサーバー(SambaやAFP、NFSなど)を経由させるのが一番お手軽な方法だと思います。実際、最近のNASは安いですし、RAIDも簡単に組めてそこそこ信頼性もあります。ちなみに弊社ではBuffaloのTera Stationを利用しています。 ですが、このファイルサーバーをクラウドに持って行くとなると結構大変です。弊社の場合ですと、エンジニアと印刷オペレーターとでファイルをやり取りする機会も多いので、エンジニア以外の人たちでも簡単に扱える仕組みが必要となります。AWSでこの手の「ファイル共有」プロトコルを喋らせるにはEC2を仕立ててあげなければなりませんが、今回はそのような時間もお金もかける事が出来ません。 AWSにはS3という容量無制限のストレージサービスがあります。CloudBerry ExplorerやCyberduckを使えば、F

  • AWS News Blog

    AWS Week in Review – AWS Documentation Updates, Amazon EventBridge is Faster, and More – May 22, 2023 Here are your AWS updates from the previous 7 days. Last week I was in Turin, Italy for CloudConf, a conference I’ve had the pleasure to participate in for the last 10 years. AWS Hero Anahit Pogosova was also there sharing a few serverless tips in front of a full house. Here’s a picture I […] Amaz

  • 1