IAM ロールの PassRole と AssumeRole をもう二度と忘れないために絵を描いてみた | DevelopersIO
コンバンハ、千葉(幸)です。 皆さんは、 PassRole と AssumeRole についてきちんと理解ができていますか?どちらも IAM ロールに関するものですね。 私はカラダ(ボディ)の調子がいい時は思い出せるのですが、雨が降っている日や、ちょっと疲れて気を抜いた時にはすぐ分からなくなってしまいます。 ということで、イメージとして脳に刻み付けることによって忘れられなくしてやろうと思いました。 そこで出来上がったのが以下です。 間違えました。以下です。 あ、でもやっぱり忘れづらいのはこちらかもしれませんね。 どうですか?もう忘れられなくなりましたね? 先にまとめ IAM ロールには以下ポリシーを設定できる アイデンティティベースポリシー Permissions boundary 信頼ポリシー AWS リソースに IAM ロールを引き渡す際には PassRole の権限が必要 PassR
クラウドの運用者に焦点を当てた、技術者向けの新しいテックイベント「Cloud Operator Days Tokyo 」。ここで株式会社カサレアルの新津氏が「これやったの誰?」をテーマに登壇。自動化したオペレーションに対して生じた疑問と学びについて紹介します。 自己紹介と今回のテーマ 新津佐内氏(以下、新津):みなさん、こんにちは。株式会社カサレアルの新津佐内と言います。本日は「これやったの誰?」というタイトルのお話をします。 「これやったの誰?」についてですが、DevOpsと合わせて自動化を進めていく中で、自動化したオペレーションに対しても生じたこの疑問に、実業務の中であらためて向き合ってみました。上記事例の詳細と現時点での我々の答えを紹介します。 まず本日お話しする内容ですが、スライドに書かれているような基盤の運用担当者のユースケースに関わるお話になります。どのようなユースケースかとい
【データ基盤構築/AWS】IAMのPassRoleで権限を渡すこととロールにポリシーアタッチして権限を渡すことの違い - Qiita
今回の課題 以下の前回の記事の機能を実装する際に、権限まわりでエラーが発生してしまったので解決した方法を記録する。 また、一応は解決できたが、解決できた理由がイマイチ理解できていなかったため、色々調査することにした。 発生した問題を解決する 前提 使用している権限 Lambdaにはpractice-Lambda-RDStoS3-role-idais11pというロールで権限が渡されている。 S3にアクセスや操作をできるようにするための権限(s3:GetObjectやs3:DeleteObjectなど)を持ったポリシーをアタッチしている。 こちらのロールの信頼されたエンティティは以下となっている。(Lambda実行時にAssumeRoleによって、ロールが所持しているポリシーの権限をLambdaが使える) { "Version": "2012-10-17", "Statement": [ {
AWSでロールを扱う際、iam:PassRole と sts:AssumeRole の両方が説明に出てくることが多い。どちらもロールを使えるようにするために必要なアクションだが、いまいち違いがわからなかったので改めて調べてみた。 iam:PassRole まず iam:PassRole は、ユーザに対して付与するアクセス許可ポリシーで指定できるアクションである。 例えばAWS Batchを使うとき、ジョブの内容に応じたアクセス許可ポリシーをロールに付与しておき、そのロールをAWS Batchで指定しておく必要がある。ジョブが作成されると、AWS Batchがロールを使ってジョブの内容を実行する。 このとき、もしユーザ自身が aws batch submit-job コマンド等でジョブを登録する場合、 iam:PassRole アクション内で当該ロールをResourceに指定したポリシーを作
AWS iam:PassRoleって何だ
EC2 インスタンスだけを管理できてそれ以外の権限は不要という IAM ユーザが必要になり、IAM ユーザのポリシーに AmazonEC2FullAccessだけを付与して EC2 インスタンスを作ろうとしたところ、iam:PassRole というアクションの権限が必要というエラーがでてきました。この iam:PassRole について調べたので備忘録です。 目次 iam:PassRole は、IAM Role の使用を許可する権限である 調査に至った背景 EC2 インスタンスの作成完了画面で Authorization failure エラーが発生する エンコードされたエラーメッセージをデコードする iam:passRole って何だ iam:PassRole がなぜ用意されているのか iam:PassRole が必要なサービス iam:PassRole は、IAM Role の使用を許
NormalBlog.net フリーランスWebエンジニアの開発ブログ AWS/Terraform/Docker/CircleCI/Vue.js/PHP/CakePHP/Laravel/Ruby on Rails/Python/MySQL/MariaDB/Apache/NginX/Vagrant/WordPress/Git/
このページでは ここには何が表示されますか? パスロール権限とは? Passrole 権限のデモンストレーション 役割の作成 IAM ユーザーの IAM ポリシーを追加する ロールをインスタンスに関連付ける セットアップのテスト IAM サービスは、クラウド リソースへのアクセスを制御する手段として、多くのクラウド サービス プロバイダーによって提供されています。誰がこれらのリソースにアクセスするために認証および承認されるかを決定します。 AWS IAM ID は、ユーザー、グループ、およびロールで構成されます。 このガイドでは、特に IAM ロールに焦点を当てます。この IAM ID は、IAM ポリシーをアタッチできるという意味で IAM ユーザーと同じです。これらのポリシーは、この ID のアクセス許可レベルの範囲を決定します。単一のユーザーに関連付けられ、長期的な資格情報を持つ I
IAMポリシーでPassRoleするサービスをCloudFormationだけに絞る - サーバーワークスエンジニアブログ
こんにちは、PS課のミネです。 IAMユーザーにリソース作成を許可したくない場合、CloudFormation用のIAMロールを作っておき、そのIAMロールをPassRoleする権限だけIAMユーザーには与えておけば、CloudFormation経由でだけリソースを作ることが可能です。 PassRoleするサービスをCloudFormationに絞る 以下のようにiam:PassedToServiceでPassRoleするサービスを絞ることが可能ですが、CloudFormationでスタックを流そうとするとエラーになります。 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals
EC2 インスタンスだけを管理できてそれ以外の権限は不要という IAM ユーザが必要になり、IAM ユーザのポリシーに AmazonEC2FullAccessだけを付与して EC2 インスタンスを作ろうとしたところ、iam:PassRole というアクションの権限が必要というエラーがでてきました。この iam:PassRole について調べたので備忘録です。 目次 iam:PassRole は、IAM Role の使用を許可する権限である 調査に至った背景 EC2 インスタンスの作成完了画面で Authorization failure エラーが発生する エンコードされたエラーメッセージをデコードする iam:passRole って何だ iam:PassRole がなぜ用意されているのか iam:PassRole が必要なサービス iam:PassRole は、IAM Role の使用を許
IAMRoleにおけるsts:AssumeRoleとiam:PassRoleの違いをハッキリさせる - Rice ITtech Blog
はじめに SCSの学習でIAMの奥深さに感動した勢いのまま書く。 注意:個人的な解釈であって絶対的に正しいものではない。 また、個人の責任において記載しているが抜け漏れや間違いがある可能性はあることを理解の上で読んで頂きたい。 正確な解釈は公式ドキュメントのポリシーとアクセス許可を参照。 とはいえこんな長ったるいの読んでられねえし、他ブログ記事の内容も個人的にいまいち腑落ちしなかったため書き残すことにした。 結論 面倒なんで 許可 前提で書く。 当たり前だがサービスが違う。(STSとIAM) 書く場所が違う。 iam:PassRoleは基本的にアイデンティティベースのポリシーに記載する。 sts:AssumeRoleはリソースベースのポリシーに記載する。 後で補足する。 アクションの内容が違う。 iam:PassRoleは あるIAMRoleをEC2インスタンスやLambda関数などのリソ
コンバンハ、千葉(幸)です。 皆さんは、 PassRole と AssumeRole についてきちんと理解ができていますか?どちらも IAM ロールに関するものですね。 私はカラダ(ボディ)の調子がいい時は思い出せるのですが、雨が降っている日や、ちょっと疲れて気を抜いた時にはすぐ分からなくなってしまいます。 ということで、イメージとして脳に刻み付けることによって忘れられなくしてやろうと思いました。 そこで出来上がったのが以下です。 間違えました。以下です。 あ、でもやっぱり忘れづらいのはこちらかもしれませんね。 どうですか?もう忘れられなくなりましたね? 先にまとめ IAM ロールには以下ポリシーを設定できる アイデンティティベースポリシー Permissions boundary 信頼ポリシー AWS リソースに IAM ロールを引き渡す際には PassRole の権限が必要 PassR
はじめに IAMのPassRole、使ったことありますか?何がなんだかわからない方も、その名前からだいたい想像できると思います。 IAMのPassRoleとはその名のとおりIAMロールをパス(Pass)することです。ただし、このパスの対象は人ではなくAWSのサービスです。 PassRoleによって認証情報をセキュアにAWSサービスに渡すことができますが、一方で丁寧に使用しないとセキュリティリスクに繋がってしまいます。本記事ではそんなIAMのパスロールとセキュリティについて解説したいと思います。 IAMのPassRoleとは IAMのPassRoleは、IAMポリシーの記述の中で iam:PassRole と表現するアクセス許可です。これは ポリシーがアタッチされているプリンシパル(IAMユーザとIAMロール) が、 AWSのサービス(EC2やLambdaなど) にロールを渡すことを意味して
PassRoleってなんやねん! - Qiita
今回は備忘録程度のちょっとした記事です。タイトルの通りIAMロール関連で耳にするPassRoleについて軽く触れます。 ・どうやってIAMロール作るんだ」のざっくりとした流れ ・実際にアタッチするポリシーの例 ・これらを経て作成したIAMロールの用途 を順に紹介します。 作り方 PassRoleは IAMロールを作成する ↓ IAMポリシーを作成する ↓ カスタムを作成する ↓ IAMロール作成完了 という流れで作りアタッチします ポリシーの記述例 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEqualsIfExists": { "iam:PassedToService": "cl
VPCエンドポイント経由でAWSサービスエンドポイントへ接続する環境で、AWS CLI コマンド実行時に「not authorized to perform: iam:PassRole」エラーが出たときの対処法 | DevelopersIO
困っていた内容 EC2 インスタンスから、AWS CLI コマンドの実行時以下のエラーが発生しました。 $ aws ec2 run-instances \ --image-id ami-0abcdef1234567890 \ --instance-type t2.micro \ --key-name MyKeyPair <IAMロールのARN> is not authorized to perform: iam:PassRole on resource ~ EC2 インスタンスには AdministratorAccess ポリシーが付与されたロールがアタッチされているにも関わらず、権限に関するエラーが発生していると見受けられました。 なお、VPC エンドポイント経由で、AWS サービスエンドポイントへ接続している環境です。 解決策を教えてください。 どう対応すればいいの? EC2 の Ru
AWS IAMにおける,AssumeRole・PassRoleの利用についての備忘録的な記事になります. AWS IAM AssumeRole PassRole 今回やりたいこと AssumeRole 作業用のIAMユーザーを作成 IAMロールを作成 AssumeRoleの実施 PassRole PassRole可能なIAMロールを作成 PassRoleを実施 まとめ (※)S3読み取り権限を持つインスタンスプロファイルの作成 AWS IAM IAMは,各種リソースへのアクセスを安全にコントロールするために使用されるサービスです. AssumeRole AssumeRole は,AWSのリソースが,IAMロールを引き受けることを表します. PassRole PassRole は、 AWSのリソースに IAMロールを渡す(パスする)ことを表します. 今回やりたいこと 本記事では,下図の内容を
今年に入ってから、AWS Control TowerでAWSのマルチアカウントを管理する方式に変更しました。 管理方法にもんだいなく、従来のGoogle WorkspaceをIDプロバイダーとして利用する方法に比べてユーザーとロールの管理が圧倒的に楽になりました。 AWS Control TowerによりAWSPowerUserAccessのアクセス権限セットが自動的に作成されますが、IAMの参照権限が付与されていないため、一部の操作ができない状態になりました。 以前のように、AWSのIAMポリシーPowerUserAccessでIAM情報の参照ができないの設定で解決できると思いましたが、AWS SSOのアクセス権限セットでは自身で作成したポリシーが参照できませんでした。 そこで、ポリシーをアタッチするのではなく、AWS SSOにカスタムアクセス権限ポリシーを直接指定する方法に切り替えまし
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AssumeRoleとPassRoleでクレデンシャル情報を保持しない運用を AWSの自動化したオペレーションに対して生じた疑問「これやったの誰?」
【AWS】iam:PassRoleとsts:AssumeRoleの違い - りんごとバナナ
Lambdaデプロイ時の権限ポリシーにiam:Passroleも必要だった
AWS での PassRole アクセス許可とは何ですか。また、その使用方法
AWS iam:PassRoleって何だ
IAM ロールの PassRole と AssumeRole をもう二度と忘れないために絵を描いてみた | DevelopersIO
IAM ロールの PassRole と AssumeRole をもう二度と忘れないために絵を描いてみた | Developers.IO
IAMのPassRoleとセキュリティの話 - Qiita
AWS CLIでAssumeRoleとPassRoleする - yy16ki’s diary
AWS SSO の PowerUserAccess に iam:PassRole を付与する - ハマログ