【AWS IAM】Condition の条件キーやポリシー変数は可用性を意識しよう!という話 | DevelopersIO
突然ですが問題です あなたはAWS環境の管理者です。 IAMロールに付与したタグベース で、 EC2インスタンス開始/停止を制御しようと試みています。 現状 利用者ロールに割り当てている権限は PowerUserAccess 相当です。 以下のポリシーを追加で付与して制御を実現しました。 { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": ["ec2:StartInstances", "ec2:StopInstances"], "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringNotEquals": { "aws:PrincipalTag/Project": "${aws:ResourceTag/Project}" }}}
How to use Google Workspace as an external identity provider for AWS IAM Identity Center | Amazon Web Services
AWS Security Blog How to use Google Workspace as an external identity provider for AWS IAM Identity Center January 25, 2024: This post is no longer current. Please see this tutorial for the updated info. March 21, 2023: We modified the description of a permission set in the Introduction. March 8, 2023: We updated the post to reflect some name changes (G Suite is now Google Workspace; AWS Single Si
aws_iam_openid_connect_providerのthumbprint_listの計算方法 - Qiita
GitHub ActionsがOIDCプロバイダとして使えるようになりました。 これによりAWSのアクセスキーを埋めることなくロールベースでのアクセスができるようになりました。やったね。 この話自体はなぜか公式リリース前にサンプルコードが出回ったりして、みんなサンプルコードコピペして動いた〜って話題になってたので今さら感があるかもですが、例えばTerraformでaws_iam_openid_connect_providerの設定をするならこんなかんじでしょうか。 resource "aws_iam_openid_connect_provider" "github" { url = "https://token.actions.githubusercontent.com" client_id_list = ["sts.amazonaws.com"] thumbprint_list = ["
「AWS IAMだけでなんとかする、 最低限のガードレール」というタイトルで #AKIBAAWS で登壇しました | DevelopersIO
ちゃだいん(@chazuke4649)です。 先日 【8/17(火)リモート開催】AKIBA.AWS ONLINE #06 – AWS IAM 編- にて、AWS IAMについて登壇しました。その際のスライド資料や動画を共有します。 スライド資料 動画 ※アップロードが完了次第更新します 補足情報 基本的に今回の発表は以下ブログを元ネタとし、一部抜粋して紹介しています。合わせてこちらのブログもどうぞ。
AWS CLI を使用するように設定します AWS IAM Identity Center - AWS Command Line Interface
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 AWS CLI を使用するように設定します AWS IAM Identity Center AWS IAM Identity Center (IAM Identity Center) を使用してユーザーを認証し、ファイルから run AWS Command Line Interface (AWS CLI) コマンドを実行するための認証情報を取得するには、主に 2 つの方法があります。config (推奨) SSO トークンプロバイダー設定。SSO トークンプロバイダの設定では、 AWS SDK またはツールが更新された認証トークンを自動的に取得できます。 更新不可のレガシー設定。更新不可のレガシー設定を使用する場合、トークンは定期的に期限切れになるため、手動で更新す
AWS IAM の結果整合性を避けるためセッションポリシーを用いてポリシーの動作確認を行う | DevelopersIO
IAM ポリシーを変更するとそれが伝播するまで待つ必要があります。IAM ポリシーはそのままにして、セッションでのみ有効なセッションポリシーを変更しながら使えばその影響を回避できます。 IAM リソース変更の即時反映を期待してはだめ コンバンハ、千葉(幸)です。 AWS IAM は結果整合性が採用されています。 *1 言い換えれば、変更が即時に反映されることは保証されていません。例えば以下の操作を行ったとします。 IAM ユーザー A に唯一アタッチされた IAM ポリシー P に、EC2 操作を許可する権限を追加する IAM ユーザー A の認証情報を利用して EC2 の操作を行う このとき無条件に 2 が成功することを期待したくなりますが、1 からの実行間隔が短いと失敗することもあります。最終的には結果整合性により「成功する」に収束しますが、数秒なり数分間なりは 1 の変更前の権限で評
AWS IAM が WebAuthn と Safari ブラウザをサポートし、セキュリティキーによる多要素認証が可能になりました
今まで出来なかったとすると、革命的に便利になる気がする>< それともAADとかCloud Identityでセキュリティキー使えてる系とは違う話なのかな?
概要 AWS IAM Identity Center 昔はAWS SSOと呼ばれていたました これを使うことで、複数AWSアカウントのIAMを統一的に管理することができます 複数アカウントのIAM管理手法はいくつかあります スイッチロールによる管理との比較、メリットについては 株式会社PLAN-Bさんがまとめてくれています 下記記事がとても分かりやすいと思います IAM Identity Centerは既存のIAMユーザーと競合しないので、段階的に一部のユーザーだけ試してみるといった運用も可能です 同じユーザー名でも問題ありません 今回は以下のようにaccountA、accountBに存在するyamasitaアカウントをIAM Identity Centerのyamasitaに移行するまでの設定をやってみます 以下のようにログインのURLが変わりますが、ログイン後の使用感は変わりません 実
Register as a new user and use Qiita more conveniently You get articles that match your needsYou can efficiently read back useful informationYou can use dark themeWhat you can do with signing up
AWS IAM Identiy Center利用環境下で、メンバーアカウントのCodeCommitのリポジトリをクローンしたみた | DevelopersIO
AWS IAM Identiy Center利用環境下で、メンバーアカウントのCodeCommitのリポジトリをクローンしたみた はじめに IAM Identiy Center利用環境下で、メンバーアカウントのCodeCommitのリポジトリをクローンしてみました。 IAM Identiy Center利用環境下で、CodeCommitのリポジトリをクライアント端末にクローンする場合、IAMユーザーの永続的な認証情報であるアクセスキーを使うのではなく、IAM Identity Centerから払い出される一時的な認証情報を利用する方がよいです。 今回は、AWS CLIからIAM Identity Centerとの認証後にCodeCommitのリポジトリをクローンする手順をまとめました。 事前設定 IAM Identiy Centerの設定 IAM Identiy Centerは設定済み 許
Amazon Web Services ブログ SaaSテナント分離をAWS IAMとABACで実装する方法 この記事は、How to implement SaaS tenant isolation with ABAC and AWS IAMを訳したものです。 マルチテナントアプリケーションにおいては各テナントのリソースが他のテナントからアクセスできないように設計を行う必要があります。AWS Identity and Access Management (IAM) は多くの場合、この目的を達成するための重要な要素となりえます。一方で、IAMを用いることによる課題の一つとして、テナント分離を実現するのに必要な IAM ポリシーの数と複雑さが急速に拡大することにより分離モデルの規模と管理性に影響を与えることが挙げられます。IAM の 属性ベースのアクセスコントロール (ABAC) の仕組みはこ
AWS IAM Identity Center now supports automated user provisioning from Google Workspace
Customers can now connect their Google Workspace to AWS IAM Identity Center (successor to AWS Single Sign-On) once and manage access to AWS accounts and applications centrally, in IAM Identity Center. This integration enables end users to sign in using their Google Workspace identity to access all their assigned AWS accounts and applications. The integration helps administrators simplify AWS acces
IAMFinder: Open Source Tool to Identify Information Leaked from AWS IAM Reconnaissance
IAMFinder: Open Source Tool to Identify Information Leaked from AWS IAM Reconnaissance This post is also available in: 日本語 (Japanese) Executive Summary In a recent blog, “Information Leakage in AWS Resource-Based Policy APIs,” Unit 42 researchers disclosed a class of Amazon Web Services (AWS) APIs that can be abused to find existing users and Identity and Access Management (IAM) roles in arbitrary
AWS IAM の知っておくべき話と知らなくてもいい話 でチョークトークスタイルで登壇しました #devio2023 | DevelopersIO
「AWS IAM の知っておくべき話と知らなくてもいい話」をしました。当日あまりできなかった「知らなくてもいい話」をこの場で少しだけさせてください。 コンバンハ、千葉(幸)です。 2023/7/7 , 7/8 に行われた Developers IO 2023 にて、「AWS IAM の知っておくべき話と知らなくてもいい話」というタイトルで登壇しました。 AWS IAM の知っておくべき話と知らなくてもいい話 AWS IAMはAWSを利用する上で避けて通れないサービスです。使ったことがない、という方はいないと思います。そんなIAMについて、正解はないけどみんなどんな設計してるの?という話と、つまずきがちな複雑な評価論理の話と、知らなくてもいい裏側の話をします。皆さんのIAMライフをちょっとだけ豊かにすることを目指します。 クラスメソッド株式会社 AWS事業本部コンサルティング部 マネージャー
AWS Lambda 関数に適切に AWS IAM のポリシーを設定しよう!- 変化を求めるデベロッパーを応援するウェブマガジン | AWS
builders.flash 読者の皆さん!こんにちは! AWS のシニアテクニカルトレーナー 野邊(のべ)です。 今回は AWS Lambda 関数に設定するポリシーについて初学者の方向けに解説していきます! なお、AWS Lambda の初学者の方は、この記事をご覧になる前に builders.flash の 「AWS Lambda 関数の実行の仕組みを知ろう!」 の記事を読んで頂くことをお薦めします! また、今回の記事のタイトルの中で「AWS Lambda 関数」という言葉を使ってますが、記事の本文では用語として次のように使っていきますので、あらかじめ確認しておいて下さい! AWS Lambda サーバーを意識せずにコードを実行できる AWS のサーバーレスコンピューティングサービス Lambda 関数 AWS Lambda によって管理、実行されるアプリケーションのコードとその設定
既存 AWS IAM Identity Center ユーザーを Terraformにインポートする【import ブロックで超簡単】 | DevelopersIO
既存 AWS IAM Identity Center ユーザーを Terraformにインポートする【import ブロックで超簡単】 どうも、ちゃだいん(@chazuke4649)です。 Terraform v1.5にて新たに import ブロックと既存リソースのHCL生成が追加され、config-driven import (手動ではなく設定ファイルが起点となるインポート) が可能となりました。 背景 今まで既存のAWSリソースをTerraformにインポートする方法といえば、 terraform import コマンドによる地道な作業 Terraformer ツール頼み でどちらも厳しい状況でした。 そんな中、v1.5では救世主とも呼べる新たな選択肢が誕生しました。 今回は試しに、マネコン あるいは CLI で作成していた既存の AWS IAM Identity Center ユー
AWS IAMがやっぱりややこしい。
最初に 今回、AWSの各サービス群を振り返った際に自身アウトプット先とその対象をどんな層に対して向けるべきなのかを意識してみようと思ったが、Zennというサービスを使ってみようという個人的な意図と、そのサービスの理解を自分の言葉で文書化して残すことにした。 学んだ自身なりの所感や解釈によるものと言うことで、至らぬ点はどうかご容赦いただいた上でこちらを読んでいけると幸いです。 IAM(Identity and Access Management)とは AWSのサービスの一つであり、「アイアム」と呼ぶ。(一部別称もあるようです) これは「認証」と「認可」の設定を行うことができるサービスで、「認証」「認可」を正しく設定することで、AWSの利用者や、AWSのサービスがアクセスできる範囲を制御することができる。 ここでいう「利用者」や「サービス」とは後述の「プリンシパル」を指すと解釈している。 IA
OktaとAWSの連携方法ってAWS IAM Identity Center方式とAWS Account Federation方式どっちがいいのか?
こんにちは!たつみんです! AWSマネジメントコンソールへのSSOをOktaで実施しようとBrowse App CatalogからAWSと検索するとSAMLに対応したAWS IAM Identity CenterとAWS Account Federationの2つが確認できます。 この記事ではそれぞれの設定方法に触れながら最終的にどちらがおすすめか考えてみました。 3行まとめ AWS Account Federation方式は煩雑な印象だよ 公式CLIツール AWS CLI v2が使えるのはAWS IAM Identity Center方式だよ 特別な理由がない限りAWS IAM Identity Center方式がおすすめだよ AWS IAM Identity Center方式 特徴 OktaではSSOとユーザーとグループのProvisioningを行う AWS側でProvisionin
AWS IAM Userアクセスキーのローテーションを自動化しました - Money Forward Developers Blog
こんにちは。サービス基盤本部でPlatform SREとして全社共通のインフラ基盤を開発している @grezarjp というものです。私の所属しているチームが何をしているかについてはこちらの記事が詳しいです。 今回は、CI/CDのプラットフォームやTerraformなどで利用しているAWS IAM Userアクセスキーのキーローテーションを自動化して定期的なキーローテーションによるより安全なアクセスキーの運用を達成したのでご紹介したいと思います。 なお、この記事内でアクセスキーという用語を用いた場合は特に言及がない限りAWS IAM Userのアクセスキーを指すものとします。 大前提、アクセスキーは可能な限り持つべきでない 改めて言及する必要もないと思いますが、大前提として永続的なシークレットであるアクセスキーは漏洩のリスクやexpireのオペレーションなどを考えると可能な限り利用を避ける
Amazon SageMaker ドメインのアクセス認証がAWS IAM Identity Centerの場合、ユーザー同士でファイル共有する方法2選 | DevelopersIO
Amazon SageMaker ドメインのアクセス認証がAWS IAM Identity Centerの場合、ユーザー同士でファイル共有する方法2選 はじめに Amazon SageMaker ドメイン(以降、ドメイン)へのアクセスの認証方法は、以下の2つがあります IAMユーザー等で、AWSマネジメントコンソールを使用してドメインにアクセスする AWS IAM Identity Center経由で、ブックマークされた URL を使用してドメインにアクセスする 前者の場合、ドメイン内のユーザー(ユーザプロファイル)同士でファイル共有する場合、共有スペース機能で簡単にファイル共有が可能です。 共有スペース機能とは、SageMaker Studioのユーザー同士が共同で作業を行うことのできるSageMaker Studio環境です。 下記記事が参考になります SageMaker Studio
Announcing AWS IAM Identity Center APIs for visibility into workforce access to AWS
Announcing List Assignment APIs for AWS IAM Identity Center, enabling you to view who has access to what AWS accounts and applications. With these APIs, you can list all AWS accounts and applications that a specific user or group can access. You can use the API response in workflows to generate periodic reports and audit your employee access to AWS, saving time and effort you previously spent on m
はじめに こんにちは。IT 基盤部の星野です。 DeNA のエンターテインメント領域のサービスを中心に、多数のサービスのインフラを担当するチームをリードしています。最近では、全社的なクラウドセキュリティに関する調査・検討・導入も行っています。 本稿の内容とは関係ありませんが 2020年3月開催のTechCon2020で登壇 致します。既に registration も始まっておりますので、是非会場にお越しください。 さて、以前髙橋が DeNA の AWS アカウント管理とセキュリティ監査自動化 で、DeNAにおけるAWSセキュリティの取り組みについて触れ、人によるAWSマネジメントコンソールへのアクセスの安全な管理方法についてご紹介しました。今回は人によるAWSマネジメントコンソールへのアクセスについてではなく、システムによるAWSサービスへのアクセスの安全な管理方法について、DeNAで検
[アップデート] AWS IAM Identity CenterのAPIがユーザーとグループの作成・更新・削除に対応したのでAWS CLIで試してみた | DevelopersIO
[アップデート] AWS IAM Identity CenterのAPIがユーザーとグループの作成・更新・削除に対応したのでAWS CLIで試してみた AWS IAM Identity Center (旧 AWS Single Sign-on) にユーザーやグループの作成・更新・削除を行う API が追加されたため、AWS CLI で試してみました。 これまでは AWS IAM Identity Center 内の ID ストアを利用している場合はマネジメントコンソールからユーザーの作成等を行う必要がありましたが、今回のアップデートにより AWS CLI や SDK を用いてユーザー管理を自動化できるようになりました。 今回のアップデート内容は AWS のブログでも紹介されています。このブログではユーザー管理のためのサンプルスクリプト aws-samples/iam-identitycen
3: AWS MFAの設定方法 ご利用環境の 『AWS マネジメントコンソール』 を開く 右上のご自身ユーザー名から、 【マイセキュリティ資格情報】 を選択 『IAM セキュリティ認証情報』 ページに繊維後、少し下にスクロールして 【MFAデバイスの割り当て】 を選択 『MFA デバイスの管理』 にて 【仮想 MFA デバイス】 が選択をされていることを確認して 【続行】 を選択 下記画面が表示されましたら 【QR コードの表示】 を選択 スマホにインストールしてあるアプリを開いて 【QR コードスキャン】 を選択 アプリからコンソール画面に表示されている 『QRコード』 をスキャン アプリに表示されているトークンパスコードを 2 回別々のを入力 (30 秒待つとアプリ画面に表示されいてるトークンパスコードの方が変わります) 自分の認証情報ページの『多要素認証 (MFA)』の枠内に下記のよ
【Amplify】APIのAuthorization方式「AWS_IAM」を理解する#1 ~解説編~【AWS】 - Qiita
はじめに 本稿は以下の二部構成となります。 【Amplify】APIのAuthorization方式「AWS_IAM」を理解する#1 ~解説編~【AWS】 ←いまココ 【Amplify】APIのAuthorization方式「AWS_IAM」を理解する#2 ~実践編~【AWS】 ※作成中 昨今、新たなサービスの提供の際には、SPAやモバイルアプリで実現することが当たり前の状況になってきているかと思います。 AWSであればAmplifyというフレームワークを使うことで、基本的な構成をすぐに作ることができますが、そのベースとなる仕組みについての解説が少なく、少しでも想定構成を外れたものを作ろうとすると、途端に苦労します。 Amplifyで利用可能な(というより、AppSync・API Gatewayで利用可能な)Authorizationには以下の4つの方式がありますが、主に利用する方式は A
AWS IAM アイデンティティセンターで Google Workspace からの自動ユーザープロビジョニングのサポートが開始
Google Workspace を AWS IAM アイデンティティセンター (AWS Single Sign-On の後継) に一度接続すれば、IAM アイデンティティセンターで AWS アカウントとアプリケーションへのアクセスを一元管理できるようになりました。この統合により、エンドユーザーは自分の Google Workspace ID を使用してログインし、割り当てられたすべての AWS アカウントとアプリケーションにアクセスできます。この統合により、管理者は複数のアカウントにわたる AWS アクセス管理を簡素化すると同時に、エンドユーザーのサインイン後も使い慣れた Google Workspace エクスペリエンスを維持できます。IAM アイデンティティセンターと Google Workspace により、ユーザーを安全に IAM アイデンティティセンターにプロビジョニングできま
IAMって庶民の管理くらい面倒ですわ~~!?!?!? IAMって面倒ですよね。 EC2にはAMIっていう似た名前もあるし、AWS初学者だと500000%詰まる。 特にAWSを触って間もない頃だとユーザー?ロール?ポリシー?グループ?なんじゃそりゃ?ってなる。 特に設計とかになってくると絶対にあたまぐーるぐるする項目です。 今回はユーザー、ロール、ポリシー、グループについて要点を勢いでまとめてみる試みです。 じいや!!!ユーザーを準備なさって!!! IAMユーザーについてAWS公式ドキュメントでは以下のように説明される。 AWS Identity and Access Management (IAM) のユーザーとは、AWS で作成したエンティティのことです。IAM ユーザーは、AWS とやり取りするために IAM ユーザーを使用する人間のユーザーまたはワークロードを表します。AWS のユー
こんにちは。サービスグループの武田です。 ふとAWS IAMのポリシー一覧を見てみたら作ったものの削除されていない、未使用のカスタマー管理ポリシーが大量にありました。最初はマネジメントコンソールでぽちぽち消してみたんですが、いちいち確認画面が出ますし数も多いので面倒になって来ました。 そんなわけで簡単に削除できるスクリプトを作ってみたので共有します。awsとjqコマンドおよびbash環境で動作します。ローカルに環境がない場合はAWS CloudShellで実行してみてください。 #!/bin/bash set -eu policies=$(aws iam list-policies --scope Local) while :; do delete_target=$(echo "$policies" | jq -rc '.Policies[] | select(.AttachmentCou
こんにちは。サービスグループの武田です。 今回は使いどころがイマイチつかめない(※個人の感想です)IAMリソースの「パス」について紹介します。 IAMがなんなのか、というのは夏目のエントリなどを参照してください。 普段からAWSを使っている方でもIAMの「パス」を意識している人は、あまり多くないのではないでしょうか。というのも、別に意識しなくてもAWSは使えますし、マネジメントコンソールからIAMロールなどを作成する際には設定欄がなかったりします。ぶっちゃけ影が薄いです。 IAMの「パス」を設定する場合は、AWS CLIやSDKを使用することになります。例として、CLIでIAMロールを作成するのであれば次のように作成できます。 $ aws iam create-role --path '/cm-role/' --role-name cm-example --assume-role-poli
AWS を使うことが多かった自分が GCP をさわったところ、Cloud IAM に登場する用語が AWS の IAM と違うことで非常に混乱しました。 そこで、過去に AWS の IAM1 や Kubernetes の RBAC2 についてまとめたのと同じように、GCP の Cloud IAM に登場する基本概念をまとめました。 ※ 基本を理解するための記事なので、厳密ではない表現をしている箇所があります ※ Cloud IAM 初心者のため、間違いがあるかもしれません。見つけた方はご指摘ください Cloud IAM に登場する基本概念の全体像 整理した概念の全体像は以下の通りです。 AWS と比べながら順に説明していきます。 各概念の説明 メンバー GCP では IAM によって権限を付与できる対象を「メンバー」と言います。 「メンバー」には、 Google アカウント サービスアカウ
【AWS IAM Identity Center 小ネタ】APIで作成したユーザーにメールでOTP(ワンタイムパスワード)を送るようにする | DevelopersIO
AWS IAM Identity Center のユーザー作成を、API(AWS CLIなど)を活用して 効率化したいケースがあると思います。 ただデフォルトの設定では、APIから作成されたユーザーは パスワードが設定されていないので、サインインできません。 これを解消するにはコンソールの [設定] > [認証] > [標準認証] > [E メールの OTP を送信] を有効化する必要があります。 Send email OTP for users created from API - AWS IAM Identity Center (successor to AWS Single Sign-On) …伝えたいことは以上ですが、これだけでは物足りないので 実際にその設定を有効化してみます。また、ユーザー作成時の挙動も確かめてみました。 設定の有効化 IAM Identity Center コ
AWS Single Sign-On (AWS SSO) is now AWS IAM Identity Center
AWS Single Sign-On (AWS SSO) is now AWS IAM Identity Center. It is where you create, or connect, your workforce users once and centrally manage their access to multiple AWS accounts and applications. You can create user identities directly in IAM Identity Center, or you can connect your existing identity source, including Microsoft Active Directory and standards-based identity providers, such as O
弊社コンサルティング部による『AWS再入門ブログリレー 2022』の31日目のエントリ『AWS IAM』です。 コンバンハ、千葉(幸)です。 当エントリは弊社コンサルティング部による『AWS 再入門ブログリレー 2022』の31日目のエントリです。 このブログリレーの企画は、普段 AWS サービスについて最新のネタ・深い/細かいテーマを主に書き連ねてきたメンバーの手によって、 今一度初心に返って、基本的な部分を見つめ直してみよう、解説してみようというコンセプトが含まれています。 AWS をこれから学ぼう!という方にとっては文字通りの入門記事として、またすでに AWS を活用されている方にとっても AWS サービスの再発見や 2022 年のサービスアップデートのキャッチアップの場となればと考えておりますので、ぜひ最後までお付合い頂ければ幸いです。 では、さっそくいってみましょう。今日のテーマ
【AWS】IAMのスイッチロールの設定方法|コラム|クラウドソリューション|サービス|法人のお客さま|NTT東日本
1.そもそもIAMとは? AWS上のリソースへのアクセスを制御するものです。 IAMがあることで、役割に応じた権限を個別に付与できるようになるんです。 詳細は以下のコラムで書かれていますので、そちらをご参照ください。 AWS IAMによる権限設定のメリットと設定方法 2.スイッチロールとは? ロールの機能のひとつで、他アカウントからのログインを許可するロールのこと。 付与するポリシーによってさまざまな権限を与えることができます。 (管理者権限であったり、EC2限定の閲覧権限であったり) 3.スイッチロールのない世界 複数アカウントを管理している場合、アカウント間を移動する際にログイン・ログアウトを繰り返していると非常に手間がかかりますよね? 上図より開発アカウントからテストアカウントに移動する場合の作業。 ①開発アカウントからログアウト ②テストアカウント用のアカウントID、ユーザ名、パス
AWS IAM のコントロールプレーンとデータプレーンに思いを馳せてみました #devio2022 | DevelopersIO
IAM コントロールプレーンで障害が起こった時、IAM データプレーンで障害が起こった時、それぞれでどんな影響が生じるかを想像してみると楽しいです。(起こらないのがいちばん) コンバンハ、千葉(幸)です。 弊社主催のオンラインイベントDevelopersIO 2022 で どこで動いてるの?AWS IAM のコントロールプレーンとデータプレーンに思いを馳せるというタイトルで発表を行いました。 「AWS IAM はよく使うけどその裏側の仕組みは考えたことない……」そんな方にちょっとだけ世界が豊かになる情報をお伝えする。がテーマのセッションです。AWS IAM のコントロールプレーン、そしてデータプレーンについて理解を深めることを目的としています。 発表に用いた資料、そのサマリ、動画をまとめてご紹介します。 登壇資料 内容のサマリ 全体のイメージ 発表の内容を一枚絵にまとめたものが以下です。
【AWS IAM】AWS IAM Roles Anywhereを、自己署名のプライベートCA局で試してみる - Qiita
【AWS IAM】AWS IAM Roles Anywhereを、自己署名のプライベートCA局で試してみるAWSIAM はじめに 先日、AWS IAM Roles Anywhereなるサービスが発表されました。 下記、公式blog記事に丁寧に書いてあるので詳細は割愛しますが、X.509証明書を用いてAWS Temporary Security Credentials (i.e. AccessKeyId/SecretAccessKey/SessionTokenの組み合わせ)を取得し、これを用いてAWS S3/DynamoDB等のAWSサービスを利用できる仕組みとなります。 Extend AWS IAM roles to workloads outside of AWS with IAM Roles Anywhere | AWS Security Blog https://aws.amazon
目次 1. はじめに 2. IAMとは 3. IAMの基本 a) IAMユーザー(グループ)とは b) IAMポリシーとは c) IAMロールとは 4. IAMのベストプラクティス a) 権限は最小限にする b) 多要素認証をできるだけ行う c) CloudTrailでモニタリングをする d) アクセスキーは極力使わない 5. まとめ 1. はじめに AWS IAMについて詳しく記載していきます。IAMはAWSのセキュリティを考えるうえで基本的なサービスとなっていますので、AWSを安全に利用するためには正しく理解することが重要です。 2. IAMとは IAM(Identity and Access Management:アイアム)とは、AWSのサービスで「認証」と「認可」の設定を行うことができるサービスです。「認証」「認可」を正しく設定することで、AWSの利用者や、AWSのサービスがアクセ
AWS IAM Identity Center のアクセス許可セットで IP アドレス制限を設定する | DevelopersIO
AWS IAM Identity Center のアクセス許可セットのインラインポリシーを利用して、IP アドレス制限を設定する方法を紹介します。 外部 ID プロバイダーと認証連携している場合は、外部 ID プロバイダーの機能で IP アドレス制限を実施できる場合があります。本ブログでは、cと認証連携していない場合や、外部 ID プロバイダー側で IP アドレス制限を設定できない場合などを想定して AWS IAM Identity Center で IP アドレス制限を実現してみます。 なお、外部 ID プロバイダーで IP アドレス制限を実施することで AWS アクセスポータルにアクセスする前にブロックできます。例えば、Azure AD では条件付きアクセス機能で AWS アクセスポータルへのアクセスを IP アドレスで制限できます。下記ブログでは AWS IAM Identity C
Determining AWS IAM Policies According To Terraform And AWS CLI
Meir Gabay Posted on Apr 23, 2021 • Updated on Apr 30, 2021 • Originally published at meirg.co.il I find myself mentioning the term Principle Of Least Privilege often, so I thought, "Let's write a practical blog post of how to implement this principle in the CI/CD realm". In this blog post, I'll describe the process of granting the least privileges required to execute aws s3 ls and terraform apply
How to enable secure seamless single sign-on to Amazon EC2 Windows instances with AWS IAM Identity Center | Amazon Web Services
AWS Security Blog How to enable secure seamless single sign-on to Amazon EC2 Windows instances with AWS IAM Identity Center September 23, 2022: This blog post has been updated with correction on sample custom permissions policy download URL. September 12, 2022: This blog post has been updated to reflect the new name of AWS Single Sign-On (SSO) – AWS IAM Identity Center. Read more about the name ch
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AWS IAM Identity CenterでIAMアカウントを統一する
個人でやっている AWS IAM の運用 - Qiita
SaaSテナント分離をAWS IAMとABACで実装する方法 | Amazon Web Services
AWS IAMの安全な管理方法 | BLOG - DeNA Engineering
AWS IAM MFAをスマートフォンで設定する方法 | DevelopersIO
ド底辺お嬢様でもわかるAWS IAMについて - Qiita
AWS IAMの使用していないカスタマー管理ポリシーをすべて削除する | DevelopersIO
AWS IAMリソース パスのススメ | DevelopersIO
GCP の Cloud IAM に登場する基本概念まとめ + AWS IAM との対応 - Qiita
AWS再入門ブログリレー2022 AWS IAM編 | DevelopersIO
【AWS IAMとは?】初心者にもわかりやすく解説|WafCharm|WAF自動運用サービス