CodeCommit アクセス許可リファレンス - AWS CodeCommit
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 CodeCommit アクセス許可リファレンス 次の表には、各 CodeCommit API オペレーション、アクセス許可を付与できる対応するアクション、およびアクセス許可を付与するためのリソース ARN の形式が一覧で示されています。CodeCommit API は、その API により許可されたアクションの範囲に基づいてテーブルに分類されています。アクセスコントロール をセットアップし、IAM アイデンティティ (アイデンティティベースのポリシー) にアタッチできるアクセス許可ポリシーを作成する際、参照してください。 アクセス許可ポリシーを作成するときに、ポリシーの Action フィールドでアクションを指定します。ポリシーの Resource フィールドで、ワ
AWS CLI を使用して IAM ロールを割り当てる
AWS Command Line Interface (AWS CLI) を使用して AWS Identity and Access Management (IAM) ロールを引き受けたいと考えています。 解決策 AWS CLI を使用して IAM ロールを引き受け、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスへの読み取り専用アクセス権を持つには、以下を実行してください。 **注:**AWS CLI コマンドの実行中にエラーが発生した場合は、最新バージョンの AWS CLI を実行しているか確認してください。 重要: 以下の手順でコマンドを実行すると、パスワードなどの認証情報がプレーンテキストで表示されます。IAM ロールを引き受けたら、パスワードを変更することをお勧めします。 ロールを引き受ける権限を持つ IAM ユーザーを作成する 1
他のAWSアカウントのECRリポジトリにPush/Pullする - Qiita
アカウント①(111111111111)がアカウント②(999999999999)に対してPush/Pullする場合。 アカウント①のIAMの設定 まず、Pushする側のアカウント①のIAMに対してECRの操作に必要な権限 を付与する。 これは、アカウント②のECRリポジトリの権限とは別に必要なので注意。 ※MiamでRoleに権限を付与した場合の例を示す # アカウント①(111111111111) role "DockerPusher", :path=>"/" do instance_profiles( "DockerPusher" ) assume_role_policy_document do {"Version"=>"2012-10-17", "Statement"=> [{"Effect"=>"Allow", "Principal"=>{"Service"=>"ec2.amaz
所有している別の AWS アカウント へのアクセス権を IAM ユーザーに提供 - AWS Identity and Access Management
組織の業務に不可欠な Amazon EC2 インスタンスがあるとします。このインスタンスを終了するためのアクセス許可をユーザーに直接付与する代わりに、これらの権限を持つロールを作成できます。次に、インスタンスを終了する必要があるときに、このロールに切り替えることを管理者に許可します。これにより、インスタンスに次の保護レイヤーが追加されます。 ユーザーにロールを引き受けるアクセス権限を明示的に付与する必要があります。 ユーザーは、アクティブに AWS Management Console を使用してロールに切り替えるか、AWS CLI または AWS API を使用してロールを引き受ける必要があります。 MFA デバイスでサインインしているユーザーのみがロールを引き受けることができるように、ロールに多要素認証 (MFA) 保護を追加できます。ロールを引き受けるユーザーが最初に多要素認証 (M
AWS JSON ポリシーの要素: Principal - AWS Identity and Access Management
リソースベースの JSON ポリシーの Principal 要素を使用して、リソースへのアクセスを許可または拒否するプリンシパルを指定します。 リソースベースポリシー の Principal 要素を使用する必要があります。IAM など、いくつかのサービスが、リソースベースのポリシーをサポートしています。IAM リソースベースのポリシーのタイプは、ロールの信頼ポリシーです。IAM ロールでは、ロールの信頼ポリシー内の Principal 要素を使用して、だれがこのロールを引き受けることができるかを指定します。クロスアカウントアクセスとして、信頼されたアカウントの 12 桁の ID を指定する必要があります。 信頼ゾーン (信頼できる組織またはアカウント) 外にあるアカウントのプリンシパルにロールを引き受けるアクセス権があるかどうかについては、「IAM Access Analyzer とは」を
プライベートリポジトリポリシーの例 - Amazon ECR
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 プライベートリポジトリポリシーの例 このページのリポジトリポリシーの例は、Amazon ECR プライベートリポジトリに適用するためのものです。Amazon ECR リポジトリをリソースとして指定するように変更しない限り、IAM プリンシパルと直接使用すると正しく動作しません。リポジトリポリシーの設定詳細については、「プライベートリポジトリポリシーステートメントの設定」を参照してください。 Amazon ECR リポジトリポリシーは、個別の Amazon ECR リポジトリへのアクセスを制御することを目的として特に使用される IAM ポリシーのサブセットです。IAM ポリシーは、一般的に Amazon ECR サービス全体にアクセス権限を適用するために使用されますが
[アップデート]IAMのアクセスアドバイザーでは、140以上のAWSサービスを対象に、アクションレベルで「最終アクセス日時」が確認できるようになりました | DevelopersIO
はじめに AWS IAMのアクセスアドバイザーでアクションレベルでの「最終アクセス日時」が確認できるサービス数は、140以上に増えました。 IAMのアクセスアドバイザーとは、IAMエンティティ(ユーザー、ロール、グループなど)が、AWSサービスごとの最終アクセス日時や、アクセス可能なAWSサービスを確認できる機能です。 従来は、IAMやLambda、S3、EC2などの一部のAWSサービス数のみ、アクションレベルで「最終アクセス日時」が確認できていました。 以前も以下の記事のようにアップデートがありました。 今回のアップデートでは、140以上のAWSサービスを対象に、アクションレベルで「最終アクセス日時」が確認できるようになりました。 これによって、IAMロールに指定された権限が実際に必要かどうかを判断し、不必要な権限を削除することで、IAMのベストプラクティスである「最小権限の原則」の実現
![[アップデート]IAMのアクセスアドバイザーでは、140以上のAWSサービスを対象に、アクションレベルで「最終アクセス日時」が確認できるようになりました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/bf00ad68b49f41acf5078ae9946ea858f9b1f486/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2023%2F08%2Faws-iam.png)
AWS IAM のコントロールプレーンはバージニア北部リージョンにのみ存在しその設定内容は各リージョンのデータプレーンに伝播される | DevelopersIO
AWS ドキュメントに IAM コントロールプレーンとデータプレーンの記述が増えた コンバンハ、千葉(幸)です。 ひとまず以下の絵を 90 秒くらい眺めてください。 眺めましたか? まだ 30 秒も経ってなくないですか?せっかくなのでもうちょっと見てください。 ……眺めましたね? 以上でこのエントリの内容は概ね終わりです。読んでいただきありがとうございました。 ちょっとだけ残りが続きます。 IAM レジリエンスのドキュメントに記述が増えてた AWS IAM のレジリエンス(復元力、耐障害性)に関する記述は以下ドキュメントにあります。 Resilience in AWS Identity and Access Management - AWS Identity and Access Management 上記のページは 2022/5/16 に更新されており、その段階で追記された内容は以下エン
【入門編】IAMポリシー設計のポイントを整理してみる - サーバーワークスエンジニアブログ
週1回のサウナが習慣になったCI部1課の山﨑です。 今回はIAMポリシー設計のポイントを考えて整理してみました。 はじめに IAMポリシーの基本 IAMポリシーの要素 ポリシー例 IAMポリシー設計のポイント 5Wで要件を整理する Organizations SCP リソースベースのポリシー IAMユーザー IAMロール まとめ はじめに AWSにおいて認証・認可(権限の付与)を司るサービスと言えば IAM(Identity and Access Management)です。IAMではJSON形式でポリシーステートメントに具体的に許可したい操作、拒否したい操作を記述して認可(権限の付与)を行い、IAMユーザーやIAMロールに関連付けたりしてポリシーを適用します。今回は実際にポリシーを設計する際のポイントを考えて整理してみました。なおAWSが扱うポリシーはいくつかの種類と評価の優先順位がある
踏み台EC2を廃止してSession Manager接続に置き換えました
こんにちは、エウレカ SRE チームの原田です。 今年 (2021年) エウレカでは、公開鍵認証で接続するEC2の踏み台サーバを廃止し、代わりに各サーバへの接続をIAMで認証できるSSM Session Managerへのリプレースを行いました。本記事ではそのモチベーションや、実装のポイントを紹介していきたいと思います。 旧来の踏み台サーバ 旧来の踏み台サーバエウレカで長く運用されていた踏み台サーバ (Gateway) は以下のようなものでした。 各開発者は、自分の秘密鍵を使って踏み台サーバへSSHを行う ( 踏み台サーバ上には各開発者の個別ユーザーおよび公開鍵が登録されている )踏み台上では、接続が許可されているSSH対象のサーバの秘密鍵がユーザー毎に配置されており、その鍵で各サーバにSSHするMySQL / Elasticsearch / Redis など、Private Subnet
AWSにおけるABACの嬉しさ、辛さを語りました #AKIBAAWS | DevelopersIO
2021/8/17 に行われた AKIBA.AWS ONLINE #06 – AWS IAM 編 で 『ここが嬉しいABAC、ここが辛いよABAC』 というタイトルで登壇しました。 登壇資料を共有します。参考になれば幸いです。 資料 参考リンク 属性ベースのアクセス制御(ABAC)とは? メリットと適切なアクセス制御モデル | Okta AWS の ABAC とは - AWS Identity and Access Management IAM チュートリアル: タグに基づいて AWS リソースにアクセスするためのアクセス許可を定義する - AWS Identity and Access Management IAM でのポリシーとアクセス許可 - AWS Identity and Access Management SaaSテナント分離をAWS IAMとABACで実装する方法 | Ama
システム開発プロジェクトにおけるIAMポリシー権限はどうしたらいいですか | DevelopersIO
アプリチーム アプリチームには広めの権限を与えます。 使うリソースごとの FullAccess を付与することもありです。 AWS CDK や Serverless Framework 等を使う場合は AdminstratorAccess を求められるかもしれませんが、円滑なアプリ開発のために許容しましょう。 強い権限を直接付与することに抵抗がある場合は、Cloud9 を活用します。 Cloud9 でインスタンスプロファイルをアタッチすることでアプリ開発者に直接強い権限を付与しなくて済みます。 【レポート】AWS Cloud9 の紹介 #reinvent #DEV320 Calling AWS services from an environment in AWS Cloud9 AdminstratorAccess を与える場合でも、Permissions Boundary を正しく設定し
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
