タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
IAM ロールの PassRole と AssumeRole をもう二度と忘れないために絵を描いてみた | DevelopersIO
コンバンハ、千葉(幸)です。 皆さんは、 PassRole と AssumeRole についてきちんと理解ができていますか?どちらも IAM ロールに関するものですね。 私はカラダ(ボディ)の調子がいい時は思い出せるのですが、雨が降っている日や、ちょっと疲れて気を抜いた時にはすぐ分からなくなってしまいます。 ということで、イメージとして脳に刻み付けることによって忘れられなくしてやろうと思いました。 そこで出来上がったのが以下です。 間違えました。以下です。 あ、でもやっぱり忘れづらいのはこちらかもしれませんね。 どうですか?もう忘れられなくなりましたね? 先にまとめ IAM ロールには以下ポリシーを設定できる アイデンティティベースポリシー Permissions boundary 信頼ポリシー AWS リソースに IAM ロールを引き渡す際には PassRole の権限が必要 PassR
GitHub Actionsに「強い」AWSの権限を渡したい ~作戦3 - AssumeRole with Google ID Token ~ - KAYAC engineers' blog
こんにちは。技術部の池田です。 この記事では、Github Actions上に「強い」AWSの権限を渡すために以下のことを行います。 App Runnerでお手軽にGoogle ID Token 取得するためのWeb Applicationを動かす。 Web Applicationから取得できるGoogle ID Tokenを信頼するIAM RoleにAssumeRoleする。 AssumeRoleによって得られた一時的な強い権限で、強い権限を要求する作業(Deploy, Terraform Apply)をGithub Actionsで行う。 これにより、Github Actions上にAWSのアクセスキーを置かずに、ある程度安全な方法でAWS上での強い権限を要求する操作を実行できます。 そのため、例えばGithub Repositoryに不正アクセスされてしまったとしても、AWSの本番環
クラウドの運用者に焦点を当てた、技術者向けの新しいテックイベント「Cloud Operator Days Tokyo 」。ここで株式会社カサレアルの新津氏が「これやったの誰?」をテーマに登壇。自動化したオペレーションに対して生じた疑問と学びについて紹介します。 自己紹介と今回のテーマ 新津佐内氏(以下、新津):みなさん、こんにちは。株式会社カサレアルの新津佐内と言います。本日は「これやったの誰?」というタイトルのお話をします。 「これやったの誰?」についてですが、DevOpsと合わせて自動化を進めていく中で、自動化したオペレーションに対しても生じたこの疑問に、実業務の中であらためて向き合ってみました。上記事例の詳細と現時点での我々の答えを紹介します。 まず本日お話しする内容ですが、スライドに書かれているような基盤の運用担当者のユースケースに関わるお話になります。どのようなユースケースかとい
MFA認証を使ったAssumeRoleでシンプルにTerraformを実行する(aws configure export-credentials) | DevelopersIO
MFA認証を使ったAssumeRoleでシンプルにTerraformを実行する(aws configure export-credentials) Terraform実行時のMFA認証を使ったAssume Roleを楽にできる方法がないか調べていたら、以下のコメントを見つけました。 Doesn't ask MFA token code when using assume_role with MFA required #2420 どうやらツールや長いコマンドの実行なしで、MFA認証ありでも簡単にAssume Roleができそうです。 便利だったのでブログにしてみました。 TerraformのMFA認証事情は以下のブログをご確認ください。 結論 この方法では、aws-vaultやaws-mfaなどのツールは不要です。 以下のようにProfileを用意して、terraformのコマンドを打つだけ
[AssumeRole] アクセスキーが漏洩しても被害が最小限になるIAMユーザでCloudFormationにデプロイする方法 | DevelopersIO
IAMユーザ & IAMロールを作成 デプロイ用のIAMユーザと付与するIAMポリシーについて このユーザ自身に与える権限は、AssumeRoleできる権限のみです。 そのため、万が一このIAMユーザのアクセスキーが流出しても、流出したアクセスキーでは実質何もできません。 デプロイ用のIAMユーザがAssumeRoleするIAMロールについて 「デプロイ用のIAMユーザ」がAssumeRoleする(引き受ける)「IAMロール」です。 今回作成するIAMロールには下記の権限を付与しますが、必要に応じて変更してください。 S3バケットの作成権限 S3オブジェクトの作成権限 お試しデプロイとしてAWS SAMを使うため、S3の権限も付与(Lambdaコードのアップロードをするため) CloudFormationのデプロイ準備に必要な権限 「CloudFormation用のIAMロール」はclou
![[AssumeRole] アクセスキーが漏洩しても被害が最小限になるIAMユーザでCloudFormationにデプロイする方法 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/3a9299c22c271be79f273b6db38d8ba6bc81bd1c/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2021%2F05%2F8823428add162ea6925215296ff8c67f.png)
AssumeRole(スイッチロール)を理解して、AWSへのデプロイを少しでも安全に実施しよう #devio2021 | DevelopersIO
DevelopersIO 2021 Decadeでビデオセッションを公開しました。 概要 CloudFormationをデプロイするユーザのアクセスキーが漏れてしまったら?と心配するあなたへ。 AssumeRoleを活用すれば、アクセスキーが漏洩しても被害が最小限になるIAMユーザでデプロイできます。 動画 スライド コメンタリー テーマ選定の理由は、自分が知りたかったから ある程度、AWSを使っていると、画面ボタンポチポチではなく、Infrastructure as Code(IaC)で管理することが多くなります。AWSでIaCを実現するツールはいくつかあります。 AWS CloudFormtaion AWS SAM AWS CDK Serverless Framework Terraform そして、これらのIaCツールとIAMユーザの「アクセスキー」は、切っても切り離せない関係です(
特定のIAM Identity CenterユーザーのみAssumeRoleできるIAMロールを作成する | DevelopersIO
はじめに マルチアカウント環境ではIAM Identity Centerを使ってメンバーアカウントへログインすることが多いかと思います。 今回は特定のIAM Identity CenterユーザーのみAssumeRoleできるIAMロールを作成してみました。 前提 この記事ではマルチアカウント環境を前提としているため、以下については既に有効化・作成されているものとして進めます。 Control Tower or Organizations IAM Identity Center メンバーアカウントへログインできるIAM Identity Centerユーザー IAM Identity Centerユーザーが利用するアクセス許可セット 今回は以下2つのIAM Identity Centerユーザーを作成して、Administorator権限のアクセス許可セットでログインしています。 User
aws コマンドなど CLI でも簡単かつセキュアに AssumeRole したいですね。 今回は moznion/sesstok と 1password を利用して CLI から AssumeRole する方法をまとめます。 - nao blog
はじめに 先日、AWS Organizations を利用して AssumeRole できる環境を構築するという記事の中で AWS コンソールから AssumeRole する環境構築の方法をまとめました。 aws コマンドなど CLI でも簡単かつセキュアに AssumeRole したいですね。 今回は moznion/sesstok と 1password を利用して CLI から AssumeRole する方法をまとめます。 moznion.hatenadiary.com sesstok sesstok は MFA に対応した AWS の一時トークンを取得することのできる Go で書かれた CLI ツールです。 読み方は某ショートムービーSNS的な感じですかね。 一定時間で失効する一時トークンを都度発行して Organizations から AssumeRole するので、Organi
CircleCIがOpenID ConnectをサポートしたのでAWSと連携させてJWTを使用したAssumeRoleを試してみた | DevelopersIO
CircleCIがOpenID ConnectをサポートしたのでAWSと連携させてJWTを使用したAssumeRoleを試してみた こんにちは、CX事業本部 IoT事業部の若槻です。 このたび、CI/CDプラットフォームCircleCIで、OpenID Connect(OIDC)がいよいよサポートされたとのことです。待ちわびていた人も多いのではないでしょうか。 #OIDC リリースされました! (OpenID Connect Tokens) Twitterでも「1月にでるはずだったよね」という期待をずいぶん頂き、ご関心をひしひしと感じてしました。 - Changelog: https://t.co/oqM0zbE2OF - Doc: https://t.co/fOYKoKfTNd — CircleCI Japan (@CircleCIJapan) March 26, 2022 Circle
AssumeRoleで取得した一時クレデンシャルの情報を環境変数にセットしてもAWS認証が通らずハマった話 | DevelopersIO
こんにちは、CX事業本部の若槻です。 前回投稿した次の記事の執筆のための検証の際に、 AssumeRole(スイッチロール)で一時クレデンシャルを取得して環境変数にセットするワンライナー | Developers.IO 記事で紹介しているワンライナーにより取得した一時クレデンシャルの情報を環境変数にセットしてもAWS認証が通らずハマったので、その際の話を共有します。 事象 前述の記事で紹介している次のコマンドを実行して、AssumeRoleで取得した一時クレデンシャルの情報をを環境変数AWS_ACCESS_KEY_ID、AWS_SECRET_ACCESS_KEYおよびAWS_SESSION_TOKENにセットしました。 % target_profile=<Assume先プロファイル名> % mfa_code=<6桁のMFAコード> % AWS_STS_CREDENTIALS=`aws st
AssumeRole(スイッチロール)で一時クレデンシャルを取得して環境変数にセットするワンライナー | DevelopersIO
こんにちは、CX事業本部の若槻です。 今回は、AWS CLIでAssumeRole(スイッチロール)により一時クレデンシャルを取得して環境変数AWS_ACCESS_KEY_ID、AWS_SECRET_ACCESS_KEY、AWS_SESSION_TOKENにセットしてAWS接続時の認証に利用可能とするワンライナーを作ってみたのでご紹介します。 前提 AWSプロファイルが次の通り設定済みであること。(Assume先プロファイルのmfa_serialは必要な場合のみ) ~/.aws/config [default] region=ap-northeast-1 output=json [profile <Assume先プロファイル名>] region = ap-northeast-1 mfa_serial = arn:aws:iam::xxxxxxxxxxxx:mfa/hoge role_arn
ついにaws-actions/configure-aws-credentials@v1にOIDCでAssumeRoleできる機能が取り込まれました! | DevelopersIO
吉川@広島です。 Release v1.6.0 · aws-actions/configure-aws-credentials 数日おきにチェックしていたのですが、今日見た所3日前にリリースされていました!気づくのに少し遅れを取ってしまいました。 GitHub Actions OIDCでconfigure-aws-credentialsでAssumeRoleする | DevelopersIO GitHub Actions OIDC+configure-aws-credentialsは最高なのですが、唯一、configure-aws-credentialsのリリースバージョンが切られていないことだけが気になっていました。 みんなが待ち望んだrelease GitHubドキュメントでも aws-actions/configure-aws-credentials@master とバージョンではな
コーヒーと DiveDeep が好きな木谷映見です。 皆さん、IAM を利用する際、「AssumeRole」というアクションを目にしたことはありますか?恐らく多くの方がかなりの回数目にしているのではないでしょうか。 私は特にこの「AssumeRole」というアクションが大好きです。目立たないけれど、いつもたくさんのサービスの裏で活躍している究極の縁の下の力持ち、いいやつですよね。 本日は AssumeRole について DiveDeep していきます。 IAM ロールはかぶると力を得る帽子 AssumeRole とは アイデンティティベースのポリシー リソースベースのポリシー IAM ロールの信頼ポリシー IAM ユーザーが引き受ける(かぶる)場合 例外 AWS リソースが引き受ける(かぶる)場合 IAM ロールを「引き受ける」「かぶる」とは さいごに 参考 ひとりごと IAM ロールはか
CodeBuildのビルド内でAssumeRole(クロスアカウントアクセス)する方法とハマった話 | DevelopersIO
こんにちは、佐伯です。 CodeBuildからAssumeRoleする方法はズバリこれだ!ってエントリがなかった気がするので書きました。今更感がありますがご了承ください。また、CodePipelineで少しハマったので共有目的で本エントリを書きました。 CodeBuildのビルド内からAssumeRoleする方法 ビルド内からAssumeRoleするための設定に焦点を置いています。その他もろもろの設定は省いていますのでその点ご注意ください。 AWSアカウントの定義 AWSアカウントは便宜上以下のような名称として定義しておきます。 AWSアカウント名 AWSアカウントID 備考 account-a:IAMロールの作成 IAMロールの信頼関係にaccount-bを信頼するポリシーを設定します。設定するプリンシパルはAWSアカウントを信頼する or CodeBuildサービスロールを信頼するどち
GitHub Actions OIDCでconfigure-aws-credentialsでAssumeRoleする | DevelopersIO
2022/1/8 aws-actions/configure-aws-credentials@v1アップデートを反映しました https://dev.classmethod.jp/articles/aws-configure-credentials-v1 吉川@広島です。 [GitHub Actions]aws-actions/configure-aws-credentialsを使ってOIDCプロバイダを介したSwitchRoleをする | DevelopersIO 先日こちらのブログを書いたのですが、色々と変わったため、最新内容を反映した手順を新しくブログにすることにしました(古い記事には注釈を入れておきます)。 IDプロバイダを作成 まずIAM ID Providerを作成します。 プロバイダのタイプ: OpenIDConnect プロバイダのURL: https://token.ac
[Terraform CLI]MFA認証を使ったAssumeRole。AWSVaultで解決 | DevelopersIO
はじめに 最近触り始めたTerraform CLI。Terraformコマンドを実行する権限は、AWS CLIと同じく.aws/credentials、.aws/configを利用することができますが、MFA認証を使ったAssumeRoleを使う場合は、ひと手間が必要です。 MFA認証はエラーとなる IAMを利用している方は、ユーザーおよびパスワードだけじゃなくMFAを必須とするポリシーで運用されている方が多いと思います。また、環境分離でAWSアカウント間はスイッチロールする運用されている場合、aws:MultiFactorAuthPresentをtrueとするように設定している方も多いかと思います。Terraform CLIでも同じくMFAを必須とするよう、credentials、configにmfa_serialが指定されたprofileを指定して実行すると以下のエラーが発生します。
AssumeRole(スイッチロール)で複数AWSアカウント運用【ビギナー向け】 - サーバーワークスエンジニアブログ
技術三課の杉村です。これからAWSを本格的に利用していこうと思っている方のために、複数AWSアカウントの運用を簡単にご説明します。 前回のブログをご理解いただいていることを前提としていますので、未読の方は以下をご参照ください。 AWSアカウントとは?IAMとは?【ビギナー向け】 なお本投稿ではAWSビギナーの方でも理解いただけるよう表現を抽象化したり、あえて深く説明していない部分もありますが、まずは概要を理解するためのものとお考えください。 1. 複数AWSアカウントの利用 前回のブログでは、AWSアカウントを部署単位、あるいは環境単位で分けるメリットを以下のように説明しました。 AWS権限の明確な分離(セキュリティ・ガバナンス上のメリット) AWS利用料金の明確な分離(コスト管理上のメリット) さらに凝った設計(セキュリティ・ガバナンス・コンプライアンス)を考えたとき、下記のAWS La
GetFederationToken は AssumeRole や GetSessionToken と何が違うのか | DevelopersIO
sts:GetFederationToken が好きです。でも sts:AssumeRole はもっと好きです。 コンバンハ、AssumeRole 大好きおじさんです。 AssumeRole とは、IAM ユーザーや AWS サービスといったエンティティが IAM ロールを引き受けるアクションを指します。引き受けた後は「IAM ロールを引き受けたセッション」がプリンシパルとなりアクションを実行します。 IAM ロール自身ではなくそれを引き受けたセッションが実行元である、という部分にえもいわれぬ浪漫を感じますね。このようなプリンシパルはセッションプリンシパルと呼ばれることもあります。 そしてセッションプリンシパルと呼ばれるのは「IAM ロールを引き受けたセッション」だけではありません。GetFederationToken によるフェデレーテッドユーザーもセッションプリンシパルのひとつです。
AWS SDK for JavaScriptで、「多要素認証(MFA)をしてAssumeRole(スイッチロール)」するスクリプトを書いてみた | DevelopersIO
AWS SDK for JavaScriptで、「多要素認証(MFA)をしてAssumeRole(スイッチロール)」するスクリプトを書いてみた Jumpアカウント環境でもAWS SDKを使って操作したかったので、AWS SDK for JavaScript でスクリプト(TypeScript)を書いてみました。 AWS SDK for JavaScriptで簡単に「多要素認証(MFA)をしてAssumeRole(スイッチロール)」したい こんにちは、のんピ です。 皆さんはAWS SDK for JavaScriptで以下のように「多要素認証(MFA)をしてAssumeRole(スイッチロール)」したいと思ったことはありますか? 私はあります。 AWS CLIの場合は、以下記事で紹介している通り、~/.aws/configを設定すれば簡単にスイッチロールして操作ができます。 しかし、それで
こんにちは。サービスグループの武田です。 AWS CLIは好きですか?(挨拶) AWSの操作はマネジメントコンソールを利用してぽちぽちする方法も楽ですが、自動化などしたい場合にはAWS CLIも便利です。またAWS CLIにはプロファイルにIAMロールを設定しておくだけで自動的にAssumeRole(スイッチロール)してコマンドを実行してくれる機能もあります。 さてAssumeRoleをして一時的なクレデンシャルを取得する際にはセッション名の指定が必要です。次のようにassume-roleコマンドのリファレンスでも--role-session-nameが必須パラメーターとなっています。 assume-role --role-arn <value> --role-session-name <value> AWS CLIがプロファイルの設定から自動的にAssumeRoleする際には、セッション
AWS CLI で SSO profile を元にした AssumeRole profile の設定 - Qiita
AWS CLI の設定 (~/.aws/config) で、 AssumeRole profile の source_profile として SSO Profile を指定する、という内容です。 この設定により、IAM User とその Key/Secret なしに、特定の AWS アカウント上のリソースに API 経由でアクセス可能となります。 本記事では、上記の具体的な設定方法を紹介します。 また、その設定を用いて AWSアカウント上に特定のIAM Roleに切り替えて、 aws cli (aws コマンド) 実行時もしくは aws-sdk を使ったAWS API呼び出しを行う方法についても記載します。 AssumeRole Profile の適用事例 この切り替え操作により、例えば、 新規機能のリリース前に、事前にローカル環境で権限設定変更による影響をエミュレートすることなどが可能で
今のはスイッチロールではない…AssumeRole からのフェデレーションサインインだ…をやってみた | DevelopersIO
IAM ロールの認証情報でマネジメントコンソールにアクセスする、を実現できるのはスイッチロールだけではありません。一時的な認証情報を使用してサインイントークンを取得し、フェデレーテッドユーザーとしてサインインすることもできます。 コンバンハ、千葉(幸)です。 …今のはスイッチロールでは無い… AssumeRole からのフェデレーションサインインだ… そんなセリフを言いたくなったことはありませんか?私はありません。「AssumeRole からのフェデレーションサインイン」なんて言い回しはきっとこの地球上に存在しないので、ありません。 ここでのスイッチロールとは「① IAM ユーザーのユーザー名とパスワードを利用してマネジメントコンソールにサインインする」「② IAM ロールに切り替える」の流れを指しています。 IAM ロールの認証情報を利用してマネジメントコンソールで操作したい場合には、こ
Retool で AssumeRole してDynamoDBテーブルにアクセスする(アクセスキーが流出しても、被害を最小限にしよう) | DevelopersIO
いろんなデータベースやAPIと接続してWebアプリをサクッと作れるRetoolですが、DynamoDBと連携する場合は、IAMユーザのアクセスキーを使います。 もし、アクセスキーが流出したら一大事です。 そこで、AssumeRoleを使って、少しでも影響が小さくなる方法を試してみました。 Retoolについては、下記をご覧ください。 おすすめの方 RetoolでAssumeRoleしたい方 IAMユーザとIAMロールと実験用のDynamoDBテーブルを作成する CloudFormationテンプレート 下記を作成します。 Retool用のIAMユーザ Retool用のIAMユーザに付与するIAMポリシー(AssumeRoleのみ可能) Retool用のIAMユーザがAssumeRoleするIAMロール(DynamoDBに対する操作権限のみ) DynamoDBテーブル AssumeRoleを
awsdoに ~/.aws/(config|credentials)の設定情報がなくてもAssumeRoleできるようにするためのオプションと、AssumeRoleしたロールでAWSコンソールにログインするオプションを追加した - Copy/Cut/Paste/Hatena
1年以上前からの久しぶりのアップデートです。 k1low.hatenablog.com --role-arn --source-profile 複数のAWSアカウントを横断して作業することがあり、AssumeRoleのための設定を~/.aws/(config|credentials)に書くのすら面倒になってきたので、設定なしでAssumeRoleができるようにするためのオプション --role-arn と --source-profile を追加しました。 委任元のアカウントAのロール arn:aws:iam::AAAAAAAAAAAAAA:role/example-role を委任先のアカウントBに委任できるようにしている場合、 委任先のアカウントBの設定が ~/.aws/(config|credentials) にある場合は( profile-b )、 $ awsdo --role-a
こんにちは、CX事業本部の若槻です。 AWSでのスイッチロール(AssumeRole)により取得できる一時的な認証情報の有効期限は、各種assumeの方法(AWSマネジメントコンソール、CLI、API)とも既定で1h、最大12hとなっています。 Using IAM roles - AWS Identity and Access Management 今回は、AssumeRoleで取得する一時的な認証情報の有効期限を既定の1hから長くしてみました。 現状の有効期限の確認 コマンド実行で使用する変数を定義します。 % profile=<Profile> % role_name=<Role Name> Assumeの引受けロールの有効期限(MaxSessionDuration)は既定の1hとなっています。 % aws iam get-role \ --profile ${profile} \ -
IAMユーザーにAssumeRoleの権限が無くてもスイッチロールできる(ように見える)のはなぜですか? | DevelopersIO
困っていた内容 スイッチロールの信頼関係設定における AssumeRole権限について質問します。 自アカウントのIAMユーザーに、自アカウントのIAMロールにスイッチできるよう設定を行っています。 ロールの信頼関係を次のようにアカウント( root = アカウント自体 の意味になります)で指定した場合、ユーザーに「sts:AssumeRole」のアクセス権限が必要だと認識しています。 arn:aws:iam::XXXXXXXXXXXX:root 一方で、ロールの信頼関係を次のようにユーザー名で指定すると、ユーザーに「sts:AssumeRole」のアクセス権限が無くてもスイッチロールできてしまいます。 arn:aws:iam::XXXXXXXXXXXX:user/username このような振る舞いの違いが起きるのはどうしてでしょうか? ユーザー名で指定する方法でスイッチロールする場合、
GKEのPodからTokenRequestProjectionで発行されたOIDCのID Tokenを使用してAWSのRoleにAssumeRoleしてみる | GRIPHONE ENGINEER'S BLOG
GKEのPodからTokenRequestProjectionで発行されたOIDCのID Tokenを使用してAWSのRoleにAssumeRoleしてみる この記事は GRIPHONE Advent Calendar 2021 2日目の記事です。 SREの徳田です。 GKEのTokenRequestで発行されたID Tokenって外から検証できるんだっけ・・?という疑問から色々探していたところ、OpenID Connect Discoveryまで実装されており外部からID Tokenの検証が可能だったため、これを活用して今回はAWSのRoleにAssumeRoleしてみようと思います。 TL;DR TokenRequestProjectionでTokenをマウントAWSでOIDC Identity Providerの設定とそこからAssumeRoleできるIAM Roleの作成Provi
[超小ネタ]Windows 10でAssumeRole後にAWS CLIのコマンドを試してみた | DevelopersIO
こんにちは!コンサル部のinomaso(@inomasosan)です。 前回、Cyberduckのブログを書いたのですが、ローカル端末でAssumeRoleした場合にどうやってAWS CLIのコマンド実行すればいいんだっけ??となりました。 普段はAWS Cloud Shellを使うことが多いので、時間が経つと忘れそうだなと思い、備忘用にブログで残すことにしました。 まとめ IAMロールのプロファイルを指定してコマンド実行すればよい。 やってみた AWS CLIのクレデンシャル設定 前回と同様に以下のパスにクレデンシャルを設定していきます。 C:\Users\<ユーザ名>\.aws\credentials 以下のようなクレデンシャル設定でコマンドを実行できるか試していきます。 [iam-user] aws_access_key_id = AKIAXXXXXXXXXXXXXXXXXXX aw
AWS Step Functionsでタスク毎に別アカウントのロールにAssumeRole(スイッチロール)出来るようになりました! | DevelopersIO
AWS Step Functionsでタスク毎に別アカウントのロールにAssumeRole(スイッチロール)出来るようになりました! AWS Step Functionsでタスク毎に別アカウントのロールにAssumeRole(スイッチロール)出来るようになりました!これでリソースベースポリシーがサポートされてない別アカウントのリソースもStep Functionsから直接操作出来るように! お疲れさまです。とーちです。 最近は AWS re:Invent 2022 の開催が近いせいかすごい数のアップデートが AWS から発表されてますね。 そんなアップデートの中でも個人的にオッと思ったアップデートである AWS Step Functions のクロスアカウントアクセスに関するアップデートをご紹介したいと思います。 かんたんまとめ ステートマシン内のタスク単位で別アカウントのロールに Ass
SSM Session ManagerのSSHトンネリング機能をAssumeRoleで利用する方法 - サーバーワークスエンジニアブログ
技術一課の杉村です。2019年7月、AWS Systems Manager Session ManagerでSSH/SCPセッションを利用できる機能が発表されました。 Session Manager launches tunneling support for SSH and SCP この機能を利用すれば「踏み台インスタンス対してSession ManagerでSSHセッションを確立し、Private Subnetにいる他のEC2インスタンスに対してポートフォワードでアクセスする」のような、より柔軟な使い方できるようになります。 もちろん、SSH対象のEC2インスタンスのセキュリティグループではSSH用のポートを許可する必要はありません。 EC2インスタンスから443ポートでSystems ManagerのAPIエンドポイントに対してHTTPS通信ができさえすればいいのです。 この機能を利
[小ネタ]GitHub ActionsでAssumeRoleするOIDCプロバイダのIssuerURLとオーディエンスの指定が変更されました | DevelopersIO
9月に話題となったGitHub ActionsでAWS Credentials が不要でAssumeRoleできるようになりましたが、OIDCプロバイダのIssuerURLが変更になりました。 突然の実行エラー 当初は以下のCloudFormationテンプレートでIAMロールを作成して10/8くらいまで動いていました。 AWSTemplateFormatVersion: "2010-09-09" Parameters: RepoName: Type: String Default: example-nakahara/cfn-cicd Resources: Role: Type: AWS::IAM::Role Properties: RoleName: github-actions-role ManagedPolicyArns: [arn:aws:iam::aws:policy/ReadO
GitHub ActionsとAWSのOIDC連携で特定のRepositoryやBranchにのみAssumeRoleを許可させてみた | DevelopersIO
GitHub ActionsとAWSのOIDC連携で特定のRepositoryやBranchにのみAssumeRoleを許可させてみた こんにちは、CX 事業本部 IoT 事業部の若槻です。 今回は、GitHub Actions と AWS の OIDC 連携で特定の Repository や Branch にのみ AssumeRole を許可させてみました。 設定箇所 GitHub と AWS の OIDC 連携をさせるためには、AWS には次の 2 つのリソースを作成する必要があります。 ID Provider IAM Role(および Inline Policy) そして OIDC 可能な GitHub の Repository や Branch を制限する場合は、IAM Role の Trusted entities のConditionを設定する必要があります。 Trusted
AWS SDK for JavaScript v3で多要素認証(MFA)をしてAssumeRole(スイッチロール)やEC2インスタンスを作成してみた | DevelopersIO
AWS SDK for JavaScript v3で多要素認証(MFA)をしてAssumeRole(スイッチロール)やEC2インスタンスを作成してみた v2とv3があったらv3を触ってみたくなるのが人の性 こんにちは、のんピ です。 皆さんはAWS SDK for JavaScript v3を触ったことはありますか? 私はありません。 AWS SDK for JavaScript v3は、こちらのwhat's newにある通り、2020/12/15に一般公開されています。 AWS SDK for JavaScript v2とAWS SDK for JavaScript v3があったら、より新しいAWS SDK for JavaScript v3を触ってみたくなるのが人の性というものです。 リリースされた半年以上経った2021年8月現在でも、触ってみた系の記事が少ないのもあり、AWS SDK
インスタンスプロファイル作成とAWS Systems Managerの設定をAWS CLIを使ってやってみようとしたら、IAM ロールとポリシーとAssumeRoleでハマったのでやってみた順番で整理してみた | DevelopersIO
みなさんどうも、新卒エンジニアのたいがーです? 何が起こったのかと言いますと、タイトル通りです。AWS CLIでインスタンスプロファイルとAWS Systems Manager(以下、SSM)の設定をしようとして、とても詰まりました。 私が"どういうところにハマったか、どう解決したか"、実際の流れに沿って書いていきたいと思います。 そもそも何があったのか 始めは、AWS CLIを使ってCloud Formationのテンプレートからスタックを作成しようとしていました。 今回のテンプレートでは、スタック実行前にインスタンスプロファイルを作成する必要があったため、IAMロールを新たに作成しなければなりません。全てAWS CLIを使って済ませたかった私は、コマンドリファレンスの中からIAMロールを作成するコマンドを見つけ、実行しようとします。 しかし、このコマンドでは、assume role p
CircleCIとAWSのOIDC連携で特定のProjectやUserにのみAssumeRoleを許可させてみた | DevelopersIO
こんにちは、CX事業本部 IoT事業部の若槻です。 前回のエントリでは、CircleCIとAWSをOIDC連携させて、永続的な認証情報を使用しないセキュアなAssumeRoleを試してみました。 今回は、CircleCIとAWSのOIDC連携でさらにセキュリティを高める対応として、特定のCircle CI Project(GitHub Repository)やUserにのみAssumeRoleを許可する設定を試してみました。 やってみた 同じCircleCI Organization(GitHub Account)に属するProject(Repository)であるrepository_aとrepository_bで試してみます。 準備 まず準備として、ProjectおよびUserの制限なくOIDCによるAssumeRoleが可能なOIDC設定を構築します。(前回のエントリとほぼ同じ構築内
【AWS IAM 小ネタ】権限を狭めてスイッチロール(AssumeRole)する | DevelopersIO
何か作業を行う際に、作業用のIAMロールへ スイッチロール(AssumeRole)するケースは多いと思います。 そのときの権限は基本的には 「そのロールにアタッチされたポリシー」です。 ですが、その権限を AssumeRole 時に狭められることを最近(今更)知りました。 「セッションポリシー」というものを使って スイッチロール先での権限を狭められるとのこと。 今回はこのセッションポリシーを適用して スイッチロール(AssumeRole)を試してみました。 まずは普通にAssumeRole まずは aws sts assume-role コマンドを使った いつもどおりのスイッチロールを紹介します。 以下シンプルなコマンドサンプルです。 ### スイッチ先のロールARN role_arn="arn:aws:iam::123456789012:role/example-dev-role" ##
aws-sdk-go, aws-sdk-go-v2 でMFAトークンによるAssumeRoleに対応する Summary aws-sdk-goで、標準入力からのMFAトークン入力によるAssumeRoleを実装する aws-sdk-go-v2で、標準入力からのMFAトークン入力によるAssumeRoleを実装する 前提条件 aws-sdk-go - v1.21.x aws-sdk-go-v2 - v0.10.0 aws-sdk-goで、標準入力からのMFAトークン入力によるAssumeRoleを実装する AssumeRole便利ですよね。AssumeRole自体の詳細な説明は公式のチュートリアル 等の記事に任せるとして、aws-sdk-goもMFAによるAssumeRoleに対応しています。拙作のEC2インスタンス一覧取得ツール で これを実装する機会があったので、実装方法の備忘メモを残し
GitHub ActionsでAWSにAssumeRoleでデプロイしてSlack通知しようとしたらError: Resource not accessible by integrationが発生した | DevelopersIO
GitHub ActionsでAWSにAssumeRoleでデプロイしてSlack通知しようとしたらError: Resource not accessible by integrationが発生した 2021/11/26追記 本記事の内容をリポジトリのREADMEに取り込んでもらえました。 https://github.com/8398a7/action-slack/pull/177 吉川@広島です。 GitHub Actions OIDCが熱いですね。日本語情報も続々出てきています。 GitHub Actions: Secure cloud deployments with OpenID Connect | GitHub Changelog GitHub ActionsがOpenID Connectをサポート。GitHubからクラウドへのデプロイがより安全に - Publickey G
Use AssumeRole to Provision AWS Resources Across Accounts | Terraform | HashiCorp Developer
AWS AssumeRole allows you to grant temporary credentials with additional privileges to users as needed, following the principle of least privilege. To configure AssumeRole access, you must define an IAM role that specifies the privileges that it grants and which entities can assume it. AssumeRole can grant access within or across AWS accounts. If you are administering multiple AWS accounts, you ca
Boto3でAssumeRoleする際にSTSのリージョナルエンドポイントを使用する | DevelopersIO
こんにちは。サービスグループの武田です。 すべてのリージョンでAWS Configを有効化しようとしたところ、ある特定リージョンのみ次のエラーが出て処理が完了できませんでした。 An error occurred (UnrecognizedClientException) when calling the DescribeConfigurationRecorders operation: The security token included in the request is invalid あるリージョンというのは香港リージョン(ap-east-1)です。香港リージョンのみ処理が失敗すると聞いてピンとくる人もいるでしょうか。たとえば検索すると次のエントリがヒットします。 このエントリにもあるように、オプトインリージョンで正しく処理するためにはSTSエンドポイントに気をつける必要がありま
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AssumeRoleとPassRoleでクレデンシャル情報を保持しない運用を AWSの自動化したオペレーションに対して生じた疑問「これやったの誰?」
AssumeRole について DiveDeep する - サーバーワークスエンジニアブログ
AWS CLIがAssumeRoleする際のセッション名を指定する | DevelopersIO
AssumeRoleで取得する一時的な認証情報の有効期限を長くしてみた | DevelopersIO
aws-sdk-go, aws-sdk-go-v2 でMFAトークンによるAssumeRoleに対応する
www.facebook.com
www.facebook.com
www.facebook.com
www.facebook.com
www.facebook.com
www.facebook.com