【GCP】Cloud IAMの概念を整理してみた
はじめに IAMを触る時、「ロールとポリシーの関係ってなんだっけ?」、「サービスアカウントってなんだっけ?」と毎回調べて雰囲気のまま使っていました。 今回は、再度勉強しなおしてCloud IAMについて纏めてみました。 Cloud IAMとは Cloud IAMとは「誰(ID)」が「どのリソースに対して」「どのようなアクセス権(ロール)」を持つかを定義することにより、アクセス制御を管理できます。 例えば、下記のようなこと設定をすることがで、適切なアクセル管理をすることが可能です。 「開発者A」に「Cloud FunctionsとPub Sub」の「閲覧と編集」を行える 「Cloud Functionsの関数A」は「Cloud Strage」の「作成」のみを行える Cloud IAMの概念 公式ドキュメンに正しく詳細な説明があるので、こちらも参照いただければです。 ここでは自分が理解したもの
Control Towerを廃止して東京リージョンで再有効化してみた – 廃止編 | DevelopersIO
Control Towerを廃止して再有効化してみました。今回は廃止編です。まだ事例の少ない作業だと思うので、ドキュメントをよくチェックし、期間に余裕を持ち、サポートに頼れるようにして望みましょう。 こんにちは、臼田です。 みなさん、AWSのアカウント管理してますか?(挨拶 AWS Control Towerはマルチアカウント管理に役に立つサービスです。最近東京リージョンをホームリージョンとして利用することができるようになったので、注目している方も多いかと思います。 今回はもともと東京リージョンをホームリージョンとして使っていなかった環境を、東京リージョンに切り替えるという作業の記録です。ちょっと長くなりすぎたのでまず廃止についてまとめます。 背景と概要 廃止廃止と書いていますが、Control Towerは有効化はするものの、ぱっと無効化できるものではありません。最近まではAWSサポート
はじめに ECSには4つのIAM Roleが出てきます。それぞれAWS Management Consoleや公式ドキュメントには説明がありますが、実際の設定・挙動と突き合わせてどうなっているか分かりにくいため、整理しました。 なお、本稿では情報過多を避けるため、一旦、Service IAM role (Service-Linked Role) の説明は省いています。 3つのIAM Role ECSで稼働するコンテナの動作には、主に以下の3つのIAM Roleが関わってきます。それぞれの役割、利用されるタイミングを説明します。 Container Instance IAM Role Task Execution Role Task Role TL;DR ※ Launch Typeによる挙動の違い 参照。 解説 Container Instance IAM Role Fargateを利用しな
はじめに 現在、API Gateway + Lambda + RDSを使ってWebアプリケーションを作っています。LambdaとRDSのIAM接続というのを見つけて、Goで試してみたので備忘録です。 IAM認証で接続するメリット・デメリット メリット コールドスタート問題の解決 アプリケーションでLambdaとRDSを接続することが避けられていた理由は、とにかく接続に時間がかかるためです。Webアプリを使っていて、DB接続に10秒も20秒も待ってられないですよね。(通称VPC Lambdaの10秒の壁?) LambdaがVPC内で通信を行うにはENI生成を行う必要があり、コールドスタートとなってしまいます。しかし、IAM認証で接続することで、LambdaをVPC内に設置する必要がなくなるので、問題とされていた10秒の壁が解決できるのです! 【朗報】 Lambda関数のVPC環境でのコールド
削除する Google Service TGカルチャー アプリケーション開発 コンサルティング セミナー テックブログ デザイン デジタルプロダクト開発 開発実績 ニュース 2025年の崖(1) 5G(1) AI(39) AI Hub(1) AI Platform(1) AlloyDB(12) AlloyDB for PostgreSQL(6) AlphaZero(1) Analytics HUB(1) Android(11) Android アプリ(1) Anthos(6) API(12) API エコノミー(1) APP(2) App Engine(2) App Maker(2) AppServer(1) AppSheet(3) arduino(1) Authentication(1) AutoML(4) AWS(12) AWS (Amazon Web Services)(1) AWS
イラストで理解するIAMポリシー - Qiita
はじめに 今回は分かったふりをしながら使っていたIAMポリシーについて勉強したので記事にしてみました。 ポリシーってなんのためにあるの いきなりですが、 「誰が」「どのリソースの」「何に対して」「どんな操作を」「許可 or 拒否する」 ポリシーの考え方はこれだけです そして、作ったポリシーを「何か」に割り当てるだけ、です。 その「何か」には アイデンティティ リソース があります。 アイデンティティ アイデンティティというのはこんな感じです。 IAMユーザーやIAMロールに割り当てます。 このポリシーをアイデンティティベースのポリシーと言います。 リソース リソースはAWSの各リソースですね。 LambdaやS3に割り当てます。 このポリシーをリソースベースのポリシーと言います。 この二つのポリシーには少し違いがありますが、ポリシーに対する考え方的な部分ははじめに書いた通り 「誰が」「どの
こんにちは、NRIデジタルの安藤です。 最近はクラウドのセキュリティに関する設計やアドバイザリーの仕事が増えており、セキュリティの引き出しを広げる必要性を感じる毎日です。 本記事では、AWS re:Invent 2020で発表されたセキュリティ関連セッションを題材に、AWSにおける権限管理の重要性や、次世代の権限管理による最小権限の原則の追求ついてお伝えできればと思います。 明示的な引用箇所以外は、セッションを視聴しての筆者の経験や見解を交えた解説コラムとなっており、抄録(レポート)とは異なりますのでご了承ください。 クラウドの活用を検討中の方とお話ししていると、「クラウドの自由度の高さやアジリティのメリットを享受しつつセキュリティ担当を納得させる説明がしたい」「オンプレミスとの考え方の違いが知りたい」との声をいただくことがあります。 NISTによれば、クラウドの基本的な特徴の一つに、「幅
My team has a pipeline which runs under an execution IAM role. We want to deploy code to AWS through CloudFormation or the CDK. In the past, we would upload some artifacts to S3 buckets before creating/updating our CloudFormation stack, using the execution IAM role. We recently switched to the CDK, and are trying to get as much automated with using CDK Deploy as possible, but are running into a lo
Terraform workspace を駆使しつつ assume-role + MFA 対応する - ABEJA Tech Blog
ABEJA で Research Engineer をやっている中川です.普段は論文読んだり,機械学習モデルを実装したり,インフラを構築したりしています.ABEJA ではインフラを構成する AWS に対するアクセス制御を容易にするため,以下の概念図のように権限だけを管理するマスターアカウントとサービスのインフラを構成するサービスアカウントに分けて AWS を運用しています.また,インフラは Terraform を用いて管理しています. 今回,さらなるセキュリティ強化のためマスターアカウントに MFA を必須にしました.それに付随して Terraform を変更しようとしたところ,なかなかにハマったのでその解決策を紹介します. Terraform で実現したい要件 まず,Terraform で何を実現したかったのかを整理します. 上記のアカウント方針に従い,マスターアカウントで Terraf
[GitHub Actions]aws-actions/configure-aws-credentialsを使ってOIDCプロバイダを介したSwitchRoleをする | DevelopersIO
[GitHub Actions]aws-actions/configure-aws-credentialsを使ってOIDCプロバイダを介したSwitchRoleをする 2021/11/16 この記事の内容は古くなっています。新しい内容を反映した次の記事をご参考ください。 https://dev.classmethod.jp/articles/github-actions-oidc-configure-aws-credentials/ 吉川@広島です。 GitHub ActionsでAWSの永続的なクレデンシャルを渡すことなくIAM Roleが利用できるようになったようです | DevelopersIO aws-actions/configure-aws-credentialsがOIDCプロバイダを介したSwitchRoleに対応していたので実装を辿ってみた | DevelopersIO ア
![[GitHub Actions]aws-actions/configure-aws-credentialsを使ってOIDCプロバイダを介したSwitchRoleをする | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/d1762eaf81b2855f2648b259156f5cb9c7592542/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F07%2Fgithub-eyecatch.png)
概要 AWSのIAMで、スイッチロールを利用して顧客のAWSアカウントを利用しました。その際の設定手順について備忘も兼ねて記載します。 前提 自分の会社を「会社A」、顧客の会社を「会社B」として記載してます。 踏み台アカウント(ジャンプアカウント)を利用して、スイッチロールします。一つの入り口からのみ複数環境(ステージング・本番・検証など)にスイッチできる、セキュアな方式です。 踏み台アカウントについて、顧客BからID/Passは連携済とします(MFA認証のキーも)。より強いセキュリティ権限を付与したい場合は別途検討されてください。 AWSリソース図 実行手順 ①ロールを作成する(会社B) ②スイッチロールを設定する(会社B) ③スイッチロールで切り替えを行う(会社A) ①ロールを作成する(会社B) IAM画面→ロールの作成→クロスアカウントアクセスを選択 スイッチロールを許可したいアカウ
ハンズオン(簡易版): IAM入門(ユーザー)¶ 作成者: 波田野 裕一 公開日: 2020-06-22 更新日: 2023-12-26 目的¶ IAMユーザー/グループの要素の作成・更新・削除を行う。 前提¶ 作業権限条件¶ 本作業は、以下の権限を有する「IAMユーザー」もしくは「IAMロール/インスタンスプロファイルが付与された環境(Cloud9などを含むEC2環境)で行います。 作業権限条件: 必要なIAMポリシー IAMFullAccess 必要なIAMポリシーを利用する環境(「IAMユーザー」「IAMグループ」もしくは「IAMロール/インスタンスプロファイル」)にアタッチした後に、手順を実施します。 作業環境条件¶
非Organizations環境のAWSアカウントにAzure ADのユーザーからSSOしてみた | DevelopersIO
はじめに こんにちは。大阪オフィスの林です。 非Organizations環境のAWSアカウントに対して、Azure ADユーザーからのSSOを検証する機会がありましたので、手順をまとめておきたいと思います。Organizations環境であれば、AWS SSOなどの選択肢も出てくるかと思いますが、今回の検証は非Organizations環境のためAWS SSOは採用できません。本記事が、非Organizations環境でAzure ADユーザーを使ったAWSマネージメントコンソールへのSSOをご検討されている方の参考になれば幸いです。 構成の概要 今回検証する構成の概要は下記のとおりです。 Azure側 Azure ADに紐づけて作成する「エンタープライズアプリケーション」で、AWSマネージメントコンソールにSSOするためのアプリケーションを作成します。 作成したSSO用のエンタープライ
【備忘録】CodeBuildで`aws ecr get-login`コマンド実行時にエラーが発生する - Qiita
問題点 CodeBuildでaws ecr get-loginコマンド実行時にエラーが発生する ビルド結果 buildspec.yml(抜粋) version: 0.2 phases: pre_build: commands: - # 省略 - $(aws ecr get-login --no-include-email --region ${AWS_DEFAULT_REGION}) - # 省略 [Container] 2018/08/23 06:59:56 Running command $(aws ecr get-login --no-include-email --region ${AWS_DEFAULT_REGION}) An error occurred (AccessDeniedException) when calling the GetAuthorizationToken
こんにちは。 ご機嫌いかがでしょうか。 "No human labor is no human error" が大好きな吉井 亮です。 AWS 上の EC2 に対してリモートでメンテナンスする際に 監査の要件でサーバー上の操作ログを取得しければならないシステムは数多いと思います。 今回はセッションマネージャーを使って サーバーメンテナンス操作ログを徹底的に記録してみます。 前提 以下のような前提を置きました。 リモートからのメンテナンスは必ず踏み台サーバーを経由する 踏み台サーバーへはセッションマネージャー経由でログインする SSH ポートは開放しない 踏み台サーバーへのアクセス許可は IAM で管理 踏み台サーバーは Amazon Linux 2 ログインはメール通知 ログイン後の操作ログは S3 へ保管 準備 リモートメンテナンスを行うクライアント PC に AWS CLI と Ses
Keycloakとは Keycloakはオープンソースのアイデンティティ・アクセス管理(IAM)ソフトウェアです。シングルサインオンやAPIアクセスの認証・認可制御を実現するソフトウェアです。ちょうど6年前である2017年のAdvent Calendarで初めてKeycloakを紹介したときは、この分野のOSSとしてはOpenAMが第一人者的な存在でした。その後、Keycloakは着実に進化し、2023年4月にCNCF(Cloud Native Computing Foundation)のIncubatingプロジェクトとして承認され、ますます注目度が上がっています。今やKeycloakがこの分野の代表的なOSSになったと言えるでしょう。近年ではKeycloak Alternativeを狙う他のOSS1が登場したりと、逆に追いかけられる存在にまでなりました。 Keycloakの提供機能 こ
内容 これまで GCP を手動構築していた範囲を、Terraform で IaC 化したので、その内容を記載する これまで手動(Webコンソール, gcloud, etc.)でやっていた内容 (Terraform コード化対象) 構築内容 前述の「これまでやっていた内容 (Terraform コード化対象)」のリンク先内容を実施する 内容は下記で、記載済み内容については説明を省略し、追加するものは補足を記載している箇所がある 組織の作成と共有 VPC 構築 ホストプロジェクト作成 サービスプロジェクト作成 共有 VPC Subnet の設定 [追加] 組織のポリシー追加 [追加] 権限の追加 HA VPN 自宅ラボ向けに HA VPN を構築する 自宅ラボ向けに設定Config例を出力する (EdgeRouer向け) VPC Service Controls サービス境界の作成 限定公開
AWSでMFAを利用しつつセッショントークンをいい感じで取ってくるツール "sesstok" を書いた - その手の平は尻もつかめるさ
github.com 書いたと言っても書いたのは3ヶ月近く前でした.リリース告知をしていないことに気づき,本記事にしている次第です。 何をやるツールかというと,以下の記事に書かれていることをいい感じにやるツールでして, aws.amazon.com 1. Userの accessKeyID, secretAccessKey および mfaSerial (MFA device ARN) を使って、STSのセッショントークンを取ってくる (これらの情報は初回実行時に設定可能で,rcファイルに保存される) 2. 取ってきたセッショントークンをAWSのcredfentialsファイルに適用する (適用せずにトークンだけ取ってくることもできる) というような動きをします.自動でcredentialsファイルを変更するというのがキーポイントですね.AWSのcredentialsファイルは通常のiniフ
目次 概要 EC2 利用制限の内容 Developer のIAMポリシー設計 始めにまとめ DenyUntagRole DenyRunInstancesCondition DenyEC2OperationsCondition DenyEC2DeleteTagsCondition DenyEC2CreateTagsCondition 動作確認 前提 インスタンスの起動 インスタンスの起動/停止/再起動/終了 タグの編集・削除対策 まとめ 参考 概要 管理者(Administrator) が開発者(Developer)の IAMロールを管理 所属するプロジェクト Project を示すタグを付与する 開発者(Developer) は 自身のロールに付与された Project タグの値に基づいて、 EC2利用が制限される 上記を実現させるための IAMポリシー例を紹介します。 EC2 利用制限の
iamlive はクライアント側での AWS API 呼び出しを監視して、 IAM ポリシーを作成してくれるツール https://github.com/iann0036/iamlive の README から引用 セットアップ cd /tmp curl --location https://github.com/iann0036/iamlive/releases/download/v0.10/iamlive-v0.10-darwin-amd64.tar.gz --remote-name tar xzvf iamlive-v0.10-darwin-amd64.tar.gz ./iamlive --set-ini # iamlive を起動しているのとは別のターミナルから AWS CLI で `aws sts get-caller-identity` などを実行し、 IAM ポリシーが表示さ
フィードバックを送信 IAM を安全に使用する コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 このページでは、IAM を使用する際に留意いただく必要があるセキュリティに関するベスト プラクティスをご紹介します。 このページは IAM に精通しているユーザーを対象としています。IAM を使い始めたばかりの方は、こちらの説明をお読みいただいても IAM の使い方は書かれていないため、IAM クイックスタートをまずお読みください。 最小限の権限 基本ロールには、すべての Google Cloud サービスにかかわる多くの権限が含まれます。本番環境では、他に選択肢がない限り、基本ロールを付与しないでください。代わりに、ニーズに合わせて最も制限された事前定義ロールまたはカスタムロールを付与します。 基本ロールを置き換える必要がある場合は、ロールの推奨事項を使用して
EC2 インスタンスに適切な権限の IAM ロールを割り当てたにも関わらず、権限エラーが発生したときの対処方法 | DevelopersIO
困っていた内容 EC2 インスタンスに IAM ロールを割り当てました。 IAM ロールに付与されている IAM ポリシーでは許可設定をしているにも関わらず、AWS CLI コマンドを実行した際に権限エラーが発生します。 考えられる原因を教えてください。 前提となる知識 AWS CLI コマンド実行時に使われる認証情報には以下の優先順位があります。 1. コマンドラインオプション 2. 環境変数 3. CLI 認証情報ファイル 4. CLI 設定ファイル 5. コンテナ認証情報 6. インスタンスプロファイル認証情報 EC2 インスタンスに割り当てる IAM ロールの優先順位は、インスタンスプロファイル認証情報にあたるため、6 番目となります。インスタンスプロファイル認証情報よりも優先順位の高い認証情報が使用されているかどうかを、チェックする必要があります。 どう対応すればいいの? 前提
インスタンスプロファイル作成とAWS Systems Managerの設定をAWS CLIを使ってやってみようとしたら、IAM ロールとポリシーとAssumeRoleでハマったのでやってみた順番で整理してみた | DevelopersIO
みなさんどうも、新卒エンジニアのたいがーです? 何が起こったのかと言いますと、タイトル通りです。AWS CLIでインスタンスプロファイルとAWS Systems Manager(以下、SSM)の設定をしようとして、とても詰まりました。 私が"どういうところにハマったか、どう解決したか"、実際の流れに沿って書いていきたいと思います。 そもそも何があったのか 始めは、AWS CLIを使ってCloud Formationのテンプレートからスタックを作成しようとしていました。 今回のテンプレートでは、スタック実行前にインスタンスプロファイルを作成する必要があったため、IAMロールを新たに作成しなければなりません。全てAWS CLIを使って済ませたかった私は、コマンドリファレンスの中からIAMロールを作成するコマンドを見つけ、実行しようとします。 しかし、このコマンドでは、assume role p
How to create SAML providers with AWS CloudFormation | Amazon Web Services
AWS Security Blog How to create SAML providers with AWS CloudFormation May 10, 2023:Read more updated information about creating SAML providers with AWS CloudFormation here. August 10, 2022: This blog post has been updated to reflect the new name of AWS Single Sign-On (SSO) – AWS IAM Identity Center. Read more about the name change here. June 24, 2020: We updated the first 3 paragraphs of this pos
概要 AWS MFA 設定中に中断した結果「エンティティは既に存在しています」というエラーが発生したときの解決方法をご紹介します。 「エンティティは既に存在しています」エラーの解決手順 list-virtual-mfa-devices で問題の SerialNumber を特定する list-virtual-mfa-devices — AWS CLI Command Reference { "VirtualMFADevices": [ { "SerialNumber": "arn:aws:iam::012345678990:mfa/sample-username" }, { "SerialNumber": "arn:aws:iam::012345678990:mfa/root-account-mfa-device", "User": { "UserId": "012345678990",
DeNA TechCon 2021では、各セッションごとにTwitterハッシュタグを用意しています。 ぜひ、セッションの感想などを下記のハッシュタグ付きでツイートしてみてください! #denatechcon #techcon_19 このセッションに関するツイートを見る 佐藤 健太 2016年にDeNAに入社。認証認可基盤周辺サービスの開発・運用に従事。大規模流入に対する負荷対策、クラウド間システム移管、アプリケーション実行基盤移管など、様々なクラウド上の運用課題の解決に日々取り組んでいる。ほか、社内Goコミュニティの運営や、エンジニアサマーインターンの課題制作なども行っている。Japan Perl Association代表理事。
【R&D DevOps通信】データ基盤におけるGoogleグループ・IAMによるアクセス制御 - Sansan Tech Blog
研究開発部 Architectグループにてデータエンジニアとしてデータ基盤の開発・運用を担当しているジャン(a.k.a jc)です。 データ基盤の構築はETL処理の実装やパイプラインの監視だけでなく、セキュリティ、データアクセス制御管理もデータエンジニアリングライフサイクルの一環として、重要な存在になっています*1。データ基盤の第四弾となる今回は、BigQuery上に構築したデータ基盤におけるGoogleグループ・IAMによるアクセス制御を中心に紹介したいと思います。 また、過去のデータ基盤関連の記事も併せてお読みいただければと思います。 【R&D DevOps通信】データ基盤におけるGitHub Actionsを使ったTerraformとCloud ComposerのCI/CD - Sansan Tech Blog 【R&D DevOps通信】Cloud Composerを用いたデータ基
フィードバックを送信 IAM Conditions の概要 コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 このページでは、Identity and Access Management(IAM)の Conditions の機能について説明します。IAM Conditions を使用すると、Google Cloud リソースに条件付きの属性ベースのアクセス制御を定義して適用できます。 IAM Conditions では、指定された条件を満たす場合にのみプリンシパルにアクセス権を付与するように設定できます。たとえば、本番環境に関する問題を解決するために、ユーザーに一時的なアクセス権を付与できます。また、会社のオフィスからリクエストを行う従業員にのみアクセス権を付与することもできます。 条件は、リソースの許可ポリシーのロール バインディングで指定します。条件が存
AWS Identity and Access Management (IAM) Access Analyzer を使った意図しないリソースアクセスの特定 | Amazon Web Services
Amazon Web Services ブログ AWS Identity and Access Management (IAM) Access Analyzer を使った意図しないリソースアクセスの特定 本日の発表をここでシェアしたいと思います。この発表は、AWS 上のビルダーの方のためのセキュリティ強化のみに留まりません。また、設定なしに利用料金不要でオンにすることが出来ます。AWS は、AWS Identity and Access Management (IAM) Access Analyzer と呼ばれる今までにない機能をリリースします。 IAM Acess Analyzer は数学的なアルゴリズムを使って AWS 上のリソースにアタッチされている アクセス制御ポリシーを分析し、他のアカウントもしくは、誰もがアクセスできるリソースが無いか見つけ出します。IAM Access Ana
CloudFormationでIAMアクセスキーの発行とSecrets Managerへの格納をしてみた | DevelopersIO
こんにちは、CX事業本部 IoT事業部の若槻です。 今回は、CloudFormationでIAMアクセスキーの発行とSecrets Managerへの格納をしてみました。 なぜCloudFormationとSecrets Managerなのか? (主観ですが)AWSのIaC機能は下記の2つです。 AWS CLoudFormation AWS CDK また、AWSのセキュアなパラメータ管理機能は主に下記の2つです。 AWS Systems Manager Parameter Store(SecureStringを使用) AWS Secrets Manager このうち、IAMアクセスキーの発行とそのクレデンシャルの格納をIaCで完結させられる方法は、調べてみたところ「CloudFormationとSecrets Managerの組み合わせのみ」だったため、今回その方法についてご紹介します。ま
ガートナージャパン株式会社 (本社:東京都港区、以下Gartner) は、2024年のサイバーセキュリティのトップ・トレンドを発表しました。本トップ・トレンドの推進要因には、ジェネレーティブAI (生成AI)、セキュリティ意識の低い従業員の行動、サードパーティのリスク、継続的な脅威エクスポージャ、取締役会でのコミュニケーション・ギャップ、セキュリティに対するアイデンティティ・ファーストなアプローチの6つが挙げられます (グローバルでは2024年2月22日に発表しています)。 シニア ディレクター アナリストのリチャード・アディスコット (Richard Addiscott) は次のように述べています。「生成AIは、対処すべき新たな課題としてセキュリティ・リーダーを悩ませている一方で、生成AIを活用することで、オペレーション・レベルでセキュリティを強化する機会となります。生成AIは考慮すべき
Azure AD と AWS 間における SAML 2.0 を用いた認証連携にはいくつかの方法があり、混乱することがありましたので、私自身の備忘録も兼ねて Azure AD と AWS Single Sign-On を連携させる方法と Azure AD と AWS アカウントを直接連携させる方法 2 種類の合計 3 つの方法の違いをまとめました。 まとめ Azure AD と AWS の主な認証連携方法である次の 3 パターンの構成イメージと比較表を記載します。各方式には本ブログ限りの名称を付けています。 1. AWS SSO 連携方式 Azure AD と AWS Single Sign-On (以下、AWS SSO) を連携させ、AWS SSO で各 AWS アカウントを管理する方式です。AWS 側では AWS SSO を利用するために AWS Organizations を利用してい
Workload Identity Federation | IAM Documentation | Google Cloud
Send feedback Workload Identity Federation Stay organized with collections Save and categorize content based on your preferences. This document provides an overview of Workload Identity Federation. Using Workload Identity Federation, you can provide on-premises or multicloud workloads with access to Google Cloud resources by using federated identities instead of a service account key. You can use
AWS 認定ソリューションアーキテクト – プロフェッショナル資格試験に向けた知識の整理 IAMポリシーサンプル - Qiita
概要 AWS 認定ソリューションアーキテクト – プロフェッショナル資格試験に向けた小ネタ集。 今回は様々なところで出題されるIAMポリシーで制限可能などの問題や設問に対し、具体的にIAMポリシーをどう書いたらいいかわからず調べてみたいくつかのIAMポリシーのサンプルです。 [2020年10月] 2回目の受験でついにプロフェッショナル試験に合格しました! 合格体験記/勉強法を以下で投稿しているので良かったら読んでください。 試験受ける予定がある方の少しでも役に立てればと思います(^^) AWS初心者がAWS 認定ソリューションアーキテクト – プロフェッショナル資格試験に合格した時の勉強法 EC2 インスタンスや EBS ボリュームの作成において、指定可能なタグを制限する方法 https://aws.amazon.com/jp/premiumsupport/knowledge-center
Assume AWS IAM Roles with MFA Using the AWS SDK for Go | Amazon Web Services
AWS Developer Tools Blog Assume AWS IAM Roles with MFA Using the AWS SDK for Go AWS SDK for Go v1.7.0 added the feature allowing your code to assume AWS Identity and Access Management (IAM) roles with Multi Factor Authentication (MFA). This feature allows your applications to easily support users assuming IAM roles with MFA token codes with minimal setup and configuration. IAM roles enable you to
IAM ポリシー作成時に「すべてのリソース を選択する必要があります」という警告が出た場合の対処方法 | DevelopersIO
困っていた内容 IAM ポリシーの作成時に「ポリシーのアクションはリソースレベルのアクセス許可をサポートしておらず、 すべてのリソース を選択する必要があります」というエラーメッセージが表示されています。解決方法を教えてください。 前提となる知識 IAM アクションには、リソースレベルのアクセス許可がサポートされているものと、されていないものがあります。 リソースレベルのアクセス許可がサポートされている場合 Resource 句に当該の IAM アクションが影響するリソースの範囲を指定することができます。 また、Resource 句にアスタリスク(*)を指定することで、すべてのリソースの範囲を指定することもできます。 一部のリソースを指定する場合の IAM ポリシー例 { "Version": "2012-10-17", "Statement": [ { "Sid": "IAMPolicy
Amplified exposure: How AWS flaws made Amplify IAM roles vulnerable to takeover | Datadog Security Labs
research Amplified exposure: How AWS flaws made Amplify IAM roles vulnerable to takeover April 15, 2024 aws vulnerability disclosure Key Points We identified two variants of a vulnerability in AWS Amplify that exposed identity and access management (IAM) roles associated with Amplify projects, allowing them to become assumable by anyone in the world. If the authentication component was removed fro
【そんなときどうする?】別のアカウントにセキュアにアクセスしたい! いまさらきけないSTSとは? - サーバーワークスエンジニアブログ
こんにちは。CS課の坂本です。 タイトルは違いますが、前回の続きです。前回の処理は、2つのアカウントにまたがって実行されていました。 1. 開発アカウントのLambdaから処理を実行 2. 本番アカウントのCloudWatchのデータを取得 3. 取得したデータを開発アカウントのDynamoDBに入れる という流れでした。 このように別のアカウントにアクセスする場合、ユーザーの「アクセスキー、シークレットアクセスキー」をもう一方のアカウントに知らせて、そのキーを使ってアクセスすることもできますが、ユーザーとキーの管理をしっかりおこなわないといけません。しかし、「AWS STS」を使うとユーザーとキーの管理がいらなくなり、よりセキュアな運用ができます。 AWS STSとは? 開発アカウント(アカウントA)の設定 本番アカウント(アカウントB)の設定 LambdaからSTSのサンプルコードを実
SMTPサーバーを冗長構成したい こんにちは、のんピ です。 皆さんはSMTPサーバーを冗長構成にしたいと思ったことはありますか? 私はあります。 メールという複数システムが使用するであろう機能が単一障害点(SPOF)になっているのはとても怖いです。 AWS上でEC2インスタンスの冗長構成を実装する際、HTTP/HTTPS以外のプロトコルを使用するのであれば、NLBを使うことが多いと思います。意外にもDevelopersIOでは NLB + SMTP(Postfix) の組み合わせの記事がなかったので、今回チャレンジしてみたいと思います。 通常メールを送信する際には、tcp/25を使用します。 しかし、以下記事にある通り、AWSではtcp/25を使用して外部にメールを送信する際には、申請が必要になります。 初期状態の EC2 インスタンスでは Eメールを送信する際に利用する SMTP ポー
Azure AD と AWS IAM 間で SAML を使った ID Federation をやってみた - Qiita
はじめに AWS マネージメントコンソールに、Identity Provider を使った SSO ログインがやりたいときがあります。AWS Organizations が使える環境だったら、AWS SSO を使えば比較的楽に実現できます。しかし、Organizations が使えない環境でも、AWS IAM で Identity Provider の設定をすることで、SSO が実現できます。 今回は、AWS IAM と Azure AD 間で、SAML を使ったフェデレーションを行っていきます。 わかったこと 今回の検証を通じて、わかったことを最初に書きます。 この記事の構成では、Azure AD 側でプロビジョニングの設定を加えても、AWS IAM User などには自動的に追加されない https://docs.microsoft.com/ja-jp/azure/active-dir
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【ECS】ECSに関するIAM Roleを整理する【AWS】 - Qiita
【Go】Lambda + RDSをIAM認証で接続する - Qiita
【クラウドセキュリティ対策比較】GCP、AWS、Azureを様々な観点から比べてみた | 株式会社トップゲート
AWSの次世代の権限管理を知り、最小権限の原則を追求する | TECH | NRI digital
What IAM permissions are needed to use CDK Deploy?
【AWS】IAMでスイッチロールを利用して複数アカウントにログインする方法 - Qiita
ハンズオン(簡易版): IAM入門(ユーザー) — ハンズオン(簡易版): IAM入門(ユーザー)
SSM セッションマネージャーでサーバー上の操作ログを取得 | DevelopersIO
Keycloakとは(2023年12月版) - Qiita
Terraform で GCP の組織設定・共有 VPC・VPN 作成 - Qiita
EC2インスタンスの作成や起動/停止をタグベースのIAMポリシーで制御する例 | DevelopersIO
クライアントサイドモニタリングで IAM ポリシーを作成する iamlive
IAM を安全に使用する | IAM のドキュメント | Google Cloud
AWS MFA 設定で「エンティティは既に存在しています」エラーの解決方法 - Qiita
DeNA TechCon 2021 - 技術の力で事業の未来をリードする -
IAM Conditions の概要 | IAM のドキュメント | Google Cloud
Gartner、2024年のサイバーセキュリティのトップ・トレンドを発表
Azure ADとAWSアカウントの認証連携方法まとめ | DevelopersIO
NLB配下のPostfixでGmailのSMTP認証をしてメールを送信してみた | DevelopersIO