CTO室の@ken5scal (鈴木)です。 2021/04/08にAWS IAM Access Analyzerの新機能として、CloudTrailのログをもとにIAM Roleのポリシーを生成するリリースが発表されました。 ところで、やはりというべきか、さすがというべきか、すでにクラスメソッドさんからブログがリリースされています。 dev.classmethod.jp しかしながら、statementの単位でウンウン唸ったり、下手なポリシーをつけて撃ち抜いた足の数など数え切れない一介のIAMマンとしては、歓喜をもってこのリリースを迎えざるを得ません。その昂りは、ブログネタ被りの羞恥心など容易に吹き飛ばすほどのものです。というわけで、早速、今回のリリースについて書いていこうとおもいます。 IAM運用のつらみ Identity is new perimeterといわれ、早10年弱。セキュリ
AWS Verified Access が GA となったので IAM Identity Center を信頼プロバイダーとしてグループポリシーを設定して使ってみた | DevelopersIO
AWS Verified Access が GA となったので IAM Identity Center を信頼プロバイダーとしてグループポリシーを設定して使ってみた いわさです。 re:Invent 2022 で AWS Verified Access がパブリックプレビューで登場していました。 VPC 内のプライベートなアプリケーションに信頼された IdP を使って、構成されたポリシーをクリアしている場合など一定条件を満たしているとパブリックなエンドポイントを経由したプライベートネットワーク上の Web アプリケーションへ接続させることが出来るサービスです。 そんな AWS Verified Access が本日 GA となりました。 プレビュー時点からいくつか機能が追加されているのですが、そもそも DevelopersIO に実際に使った記事がないことに気が付きました。 そこで、本日は
AWS入門ブログリレー2024〜AWS IAM Access Analyzer編〜 | DevelopersIO
コンバンハ、千葉(幸)です。 当エントリは弊社AWS事業本部による『AWS 入門ブログリレー 2024』の33日目のエントリです。 このブログリレーの企画は、普段 AWS サービスについて最新のネタ・深い/細かいテーマを主に書き連ねてきたメンバーの手によって、 今一度初心に返って、基本的な部分を見つめ直してみよう、解説してみようというコンセプトが含まれています。 AWS をこれから学ぼう!という方にとっては文字通りの入門記事として、またすでに AWS を活用されている方にとっても AWS サービスの再発見や 2024 年のサービスアップデートのキャッチアップの場となればと考えておりますので、ぜひ最後までお付合いいただければ幸いです。 では、さっそくいってみましょう。今回のテーマは『AWS Identity and Access Management (IAM) Access Analyze
Extend AWS IAM roles to workloads outside of AWS with IAM Roles Anywhere | Amazon Web Services
AWS Security Blog Extend AWS IAM roles to workloads outside of AWS with IAM Roles Anywhere AWS Identity and Access Management (IAM) has now made it easier for you to use IAM roles for your workloads that are running outside of AWS, with the release of IAM Roles Anywhere. This feature extends the capabilities of IAM roles to workloads outside of AWS. You can use IAM Roles Anywhere to provide a secu
30分から1時間のような短時間でAWS環境をレビューさせていただくことがあります。IAMユーザーのレビューについて、私がまず確認する内容をシェアします。 最後のアクティビティから、使われていないIAMユーザーを洗い出す IAMコンソールからユーザーを開くと、IAMユーザーの一覧が表示されます。最後のアクティビティに注目し、使われていない可能性のあるIAMユーザーの候補を洗い出しします。 IAMユーザーを選択し、認証情報タブを開きます。サインイン認証情報、アクセスキー、AWS CodeCommitの認証情報、Amazon Keyspacesの認証情報があります。サインイン認証情報とは、AWSコンソールへのログイン情報です。アクセスキーはAWS CLIやSDKのようなプログラムでAWSを操作する際に利用します。 コンソールに最後にログインした日付を確認する ユーザーの一覧画面に戻り、「コンソー
IAM Roles Anywhereのハンズオンを通して、OpenSSLとか証明書とかについて勉強できたのでメモ - Qiita
IAM Roles Anywhereのハンズオンを通して、OpenSSLとか証明書とかについて勉強できたのでメモAWSOpenSSLcloud9認証局 AWSエバンジェリストシリーズの特別編でIAM Roles Anywhereのハンズオンに参加したときに、OpenSSLやら証明書やら使用したので非常に勉強になりました。 ハンズオンの後に色々調べてみたので、個人的なメモとして残しておきます。 IAM Roles Anywhereとは 本筋とは外れるので詳細は調べていただくとして、IAM Roles Anywhereについてザクっと説明しておきます オンプレ機器からAWSのサービスを使う時に、IAMロールによるアクセス制御ができるサービス IAM Roles Anywhereは主に、以下の2つのコンポーネントから成り立つ 信頼アンカー:オンプレとAWSの間の信頼関係 認証局の証明書を登録する
[アップデート] IAMユーザー/IAMロールの実際の操作履歴からIAMポリシーが生成可能になりました ! | DevelopersIO
IAMユーザー/IAMロールの実際の操作履歴からIAMポリシーが生成可能になりました。理想(最小権限の原則)と、現実(実運用)のギャップを埋めるのにかなり役立ちそうです。 ご参考 IAM Access Analyzer makes it easier to implement least privilege permissions by generating IAM policies based on access activity IAM Access Analyzer makes it easier to implement least privilege permissions by generating IAM policies based on access activity Generate policies based on access activity - Things
[アップデート] IAM ポリシーと SCP でベストプラクティスに則れ! IAM Access Analyzer が新機能「ポリシーチェック」に対応しました | DevelopersIO
コンバンハ、千葉(幸)です。 IAM Access Analyzer によるポリシーチェックが可能になりました。 これまでアクセスアナライザーによる分析対象としてリソースベースポリシーがサポートされていたのですが、今回の新機能では IAM ポリシーと SCP(サービスコントロールポリシー)に対するチェックができるようになっています。 何が変わったのか 従来のアクセスアナライザーができたのは「リソースベースポリシーが外部からアクセス可能なパーミッションになっていないか」の検証でした。 現時点でサポートされているリソースタイプは以下の通りで、これらに対してアカウント外(もしくはOrganizations外)のプリンシパルからのアクセスが可能となっていないかを、自動的にチェックしてくれます。 S3 バケット IAM ロール KMS キー Lambda 関数とレイヤー SQS キュー Secret
IAM ユーザーが所属している IAM グループとアタッチされている IAM ポリシーの一覧を AWS CLI で取得する | DevelopersIO
IAM ユーザーの現状を棚卸ししたい コンバンハ、千葉(幸)です。 IAM ユーザーはきちんと管理されていますか?最近 100名近く IAM ユーザーが存在する環境をご支援する機会がありました。ユーザーがどんなグループに所属していてそれぞれどんな権限を有しているか、きっちりした設計書が無く。まずはそれを棚卸ししてからあるべき構成を考えていきましょう、というアプローチを取りました。 単に IAM ユーザーの一覧を取得するだけであれば以下のエントリにある内容を踏襲すればいいのですが、今回はそれより詳細な情報が必要です。 ということで、AWS CLI で一覧を取得してみました。(その後にスプレッドシートで頑張りました。) IAM ユーザーに割り当てられるポリシーについておさらい IAM ユーザー、グループ、ポリシーについておさらいしておきましょう。 IAM ユーザー、IAM グループそれぞれに
Authenticate AWS Client VPN users with AWS IAM Identity Center | Amazon Web Services
AWS Security Blog Authenticate AWS Client VPN users with AWS IAM Identity Center September 12, 2022: This blog post has been updated to reflect the new name of AWS Single Sign-On (SSO) – AWS IAM Identity Center. Read more about the name change here. AWS Client VPN is a managed client-based VPN service that enables users to use an OpenVPN-based client to securely access their resources in Amazon We
Principal 要素で IAM ロールを指定するのと IAM ロールを引き受けたセッションを指定するのは何が違うのか? 72 個のパターンで考えてみた | DevelopersIO
コンバンハ、IAM 評価論理おじさん(幸)です。 先日、リソースベースポリシーの Principal 要素で指定するプリンシパルごとの挙動の違いが AWS ドキュメントに記載されました。 ドキュメントの追記内容をざっくり表したのが以下図で、囲っている部分が IAM ロールと IAM ロールを引き受けたセッション(ロールセッション)の差異を表しています。 リソースベースポリシーでロールセッションを直接許可している場合は、Permissions boundary やセッションポリシーの暗黙的な拒否が評価対象にならないということが判明し、とても満足な更新内容でした。 とは言え、ここで示されているのは以下のパターンにおける挙動です。 同一アカウントでのアクセス アイデンティティベースポリシーで許可なし Permissions boundary(アクセス許可の境界)がアタッチされており許可なし セッ
[アップデート] Amazon S3 でバケットの所属アカウントに応じた制御が行える IAM 条件キーが追加されました! | DevelopersIO
コンバンハ、千葉(幸)です。 Amazon S3 で使用できる新たな IAM 条件キーs3:ResourceAccountが追加されました! New IAM condition keys for Amazon S3 limit requests to buckets owned by specific AWS accounts, and to specific TLS versions 特定のアカウントが持つ S3 に対してのみアクションが実行できる、そんな制御を行いやすくなりました。 もう一つ IAM 条件キー増えてませんか? 冒頭のブログでは、s3:TLSVersionについても記載があります。これはクライアントが S3 へのアクセスに使用する TLS の最小バージョンを制御できるものです。 なのですが……現時点で使い方が分からず。 s3:TLSVersionについては以下 S3 のド
![[アップデート] Amazon S3 でバケットの所属アカウントに応じた制御が行える IAM 条件キーが追加されました! | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/55e5ee85a70b0b6893eeca79750f0d06a94b8595/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Famazon-s3.png)
[アップデート]IAMのアクセスアドバイザーでは、140以上のAWSサービスを対象に、アクションレベルで「最終アクセス日時」が確認できるようになりました | DevelopersIO
はじめに AWS IAMのアクセスアドバイザーでアクションレベルでの「最終アクセス日時」が確認できるサービス数は、140以上に増えました。 IAMのアクセスアドバイザーとは、IAMエンティティ(ユーザー、ロール、グループなど)が、AWSサービスごとの最終アクセス日時や、アクセス可能なAWSサービスを確認できる機能です。 従来は、IAMやLambda、S3、EC2などの一部のAWSサービス数のみ、アクションレベルで「最終アクセス日時」が確認できていました。 以前も以下の記事のようにアップデートがありました。 今回のアップデートでは、140以上のAWSサービスを対象に、アクションレベルで「最終アクセス日時」が確認できるようになりました。 これによって、IAMロールに指定された権限が実際に必要かどうかを判断し、不必要な権限を削除することで、IAMのベストプラクティスである「最小権限の原則」の実現
IAM ユーザーの MFA を有効化した後、アクセスキーを使用する既存処理に影響があるか教えてください | DevelopersIO
困っていた内容 IAM ユーザーのセキュリティを強化する施策を実施したいと考えています。MFA の有効化を全 IAM ユーザー必須にすることを検討しています。 アクセスキーを使用する IAM ユーザーで後から MFA を有効化した場合、既存のアクセスキーを使用する処理に影響は出ますか? 既存の処理が停止してしまうのは困りますので、影響の有無を確認したいです。 どう対応すればいいの? アクセスキーを使用する IAM ユーザーで MFA を有効化した場合、既存のアクセスキーを使用する処理に影響は出ません。 ただし、MFA を有効化する際に、合わせて MFA を強制する IAM ポリシーを付与した場合、既存の処理に影響が出ます。 MFA を強制する IAM ポリシーの例は下記の記事を参照してください。 多要素認証(MFA)するまで使えません!なIAMユーザを作成してみた | Developers
こんにちは、上野です。 皆様、IAMユーザーのアクセスキー、どう管理されていますでしょうか? AWSの操作をローカルPCや外部のサービスから利用できる便利な反面、一度外部に漏れるとそれが悪用されてしまうというリスクもあります。クラウド環境におけるインシデントの多くが、このアクセスキー(認証情報)に関するものになっています。 ということで、アクセスキーが作成されたらとりあえず気づけるように。という方法を紹介します。 アクセスキーとは? 復習の意味も込めて。AWSにおけるアクセスキーとは。わかる方は飛ばしてください。 AWSにおいて認証を行う場合、基本的にはIAMユーザーを作成します。(AWS SSOを使うこともあります) IAMユーザー作成時、ID・パスワードの組み合わせ、またはアクセスキーID・シークレットアクセスキーの組み合わせを認証情報として使用できます。(ID・パスワードとアクセスキ
AdministratorAccess権限を持ったIAMユーザーでも閲覧できないS3バケットの消し方 - プログラマでありたい
AWSのS3のマネジメントコンソールを見ていると、アクセスタイプで絞り込むことができることに気が付きます。絞り込みの条件として、「公開」や「オブジェクトは公開可能」など5種類あり、その中の一つに「エラー」というものがあります。今日は、このエラーというバケットが何者なのかというのと、それを無理やり消すための豆知識をお伝えします。 エラーが表示されるS3バケットは何者なのか? まずこのエラーと表示されるS3バケットが何者なのかという話からです。これは、S3のバケット一覧・詳細を表示しようとしているIAMユーザーもしくはIAMロールの権限とバケットポリシーの組み合わせで表示する権限がない場合に発生します。バケットポリシーも考慮するので、たとえ制限のないAdministratorAccessの権限を持っている利用者でも発生する場合があります。 ちょっとイメージが付きにくいと思うので、具体的な例で紹
ゆるふわIAM userのadmin権限を奪ってみた(AWSセキュリティ学習環境構築ツールCloudGoatのご紹介) | DevelopersIO
前提条件 CloudGoatを使用するためには下記の環境が必要です。 公式サイト等を参照しインストールしてください。 Linux or MacOS. Windows is not officially supported. Argument tab-completion requires bash 4.2+ (Linux, or OSX with some difficulty). Python3.6+ is required. Terraform 0.12 installed and in your $PATH. The AWS CLI installed and in your $PATH, and an AWS account with sufficient privileges to create and destroy resources. 初期設定 Quick Startを参照
medibaにおけるIAMユーザ管理の歴史 / instudystyle LT mediba IAM Management History
2019/08/02 インフラ・ネットワークエンジニア勉強会 Vol.1 https://istyle.connpass.com/event/133989/ にて、LT発表した資料。
サンドボックス、開発、テスト環境で IAM ポリシー作成を一元化および自動化する方法 | Amazon Web Services
Amazon Web Services ブログ サンドボックス、開発、テスト環境で IAM ポリシー作成を一元化および自動化する方法 本番環境に対応したアーキテクチャに移行する際、お客様のアプリケーションチームはサンドボックス環境で AWS のサービスを試して、AWS の進化していくイノベーションに対応することができます。アプリケーションチームは、さまざまな AWS のサービスとリソースにタイムリーにアクセスする必要があります。つまり、最低限の権限を与えられることを保証するメカニズムを必要とします。通常、アプリケーションチームは、定期的に Amazon Elastic Block Store のスナップショットバックアップを行う AWS Lambda 関数や、セキュリティチームが管理する一元化された情報セキュリティアカウントにイベントを送信する Amazon CloudWatch Even
IAM Identity Center(AWS SSO)のグループとユーザーをTerraformでDRYに書く
こんにちは、株式会社スマートラウンドSREの@shonansurvivorsです。 Terraform AWS Provider v4.33.0より、IAM Identity Center(AWS SSO)のグループとユーザーが作成できるようになりました! 当社は以前からIAM Identity Centerを利用しており、これまではマネジメントコンソールによる管理だったのですが、今回早速Terraform化しましたので、そこで得られた知見を元にしたサンプルコードを紹介します。 なお、Identity Centerの許可セット(IAMポリシー情報)などは以前からAWS Providerで対応済みですが、それらリソースは本記事のスコープ外となります。ご承知おきください。 環境 Terraform 1.1.7 AWS Provider 4.33.0 工夫したポイント 各ユーザーがどのグループに
はじめに どこの企業でもセキュリティ対策のためのガイドラインやチェックリストなどがあると思うが、例えばこんな要件があるとする。 アカウントやユーザーの発行/変更/削除の記録を管理簿にて管理すること。 AWSではロールやグループを割り当てたIAMユーザーが発行される。 監査やコンプライアンスの観点からIAMユーザー管理の証跡を残すことは重要だ。1 今回はこのIAMユーザーの管理簿作成を自動化してみる。 ざっくり言うと IAM認証情報レポートを毎週一回メールで自動配信するようにした2 CloudWatch/Lambda/SES/S3を組み合わせた 社内監査やコンプライアンスチェックのためにファイルを残すことが可能 具体的には下記のようなメールが送られてくる 対象とする人 堅めの企業でAWSのセキュリティを見ている人 特に社内のコンプライアンスチェックや監査目的でAWSのIAMユーザーのリストを
チェシャ猫 on Twitter: "本日の発表資料です。AWS IAM の意味論を SMT ソルバに解かせることで、デプロイ前にセキュリティ上の問題を検出するエンジン Zelkova の論文について解説します。 #CICD2021 #CICD2021B 君のセキ… https://t.co/RwhQyMY7Rh"
本日の発表資料です。AWS IAM の意味論を SMT ソルバに解かせることで、デプロイ前にセキュリティ上の問題を検出するエンジン Zelkova の論文について解説します。 #CICD2021 #CICD2021B 君のセキ… https://t.co/RwhQyMY7Rh
IAM ユーザーのログイン失敗を検知して複数回失敗すると権限を剥奪する仕組みを作ってみた | DevelopersIO
こんにちは、AWS 事業本部の平木です! AWS における PCIDSS v3.2.1を見た時に要件 8 を参照するとアカウントロックに関する要件があります。 現状、執筆時点では IAM ユーザーで連続してログイン失敗してしまったとしてもアカウントをロックできる仕様はありません。 ただ、AWS 公式のコンプライアンスガイドを見ると以下のように記述されていました。 PCI DSS 審査の適用範囲内であると判断された IAM ユーザーには、8.1.6 および 8.1.7 のアカウントロックに関する要件を満たす追加の仕組みが必要です。お客様がこれを達成するには、AWS CloudTrail、Amazon DynamoDB、AWS Lambda、Amazon CloudWatch を組み合わせて連続したログイン失敗を追跡して、ログイン失敗がしきい値である 6 回連続で発生した場合に制限を強めた I
Getting started with AWS IAM Identity Center delegated administration | Amazon Web Services
AWS Security Blog Getting started with AWS IAM Identity Center delegated administration September 12, 2022: This blog post has been updated to reflect the new name of AWS Single Sign-On (SSO) – AWS IAM Identity Center. Read more about the name change here. Recently, AWS launched the ability to delegate administration of AWS IAM Identity Center (AWS IAM Identity Center) in your AWS Organizations or
[アップデート] EKSでIAMロールを使ったPod単位のアクセス制御が可能になりました! | DevelopersIO
EKS (Elastic Kubernetes Service) のアップデート「IAM Roles for Service Accounts」が発表されました。概要の説明とチュートリアルを行った際の流れをご紹介します。 みなさん、こんにちは! AWS事業本部の青柳@福岡オフィスです。 AWSのマネージドKubernetesサービスである「EKS」(Amazon Elastic Kubernetes Service) に、多くの人が待望していた (かもしれない) 機能がついに追加されました! Amazon EKS Adds Support to Assign IAM Permissions to Kubernetes Service Accounts タイトルを直訳すると「Amazon EKSがIAMアクセス許可をKubernetesサービスアカウントへ割り当てるサポートを追加」です。 今
![[アップデート] EKSでIAMロールを使ったPod単位のアクセス制御が可能になりました! | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/5bef8406c819ae31c520f2ab23f9913d87cef0fc/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F09%2Famazon-elastic-Kubernetes-service.png)
Miyahan on Twitter: "おじさん重い腰を上げてAWS Lambdaを初めて触ってみたんです。え、ZIP上げるとかめんどいと思ってたら同僚がAWS SAMを勧めてくれたので使ってみたら、なにこれビルドからIAMロール・S3・SNS等の作成までワンコマンドで… https://t.co/D8P4OwJaZd"
おじさん重い腰を上げてAWS Lambdaを初めて触ってみたんです。え、ZIP上げるとかめんどいと思ってたら同僚がAWS SAMを勧めてくれたので使ってみたら、なにこれビルドからIAMロール・S3・SNS等の作成までワンコマンドで… https://t.co/D8P4OwJaZd
IAM Roles Anywhere で AWS IAM ロールを AWS 外部のワークロードに拡張する | Amazon Web Services
Amazon Web Services ブログ IAM Roles Anywhere で AWS IAM ロールを AWS 外部のワークロードに拡張する この記事は Extend AWS IAM roles to workloads outside of AWS with IAM Roles Anywhere を訳したものです。 IAM Roles Anywhere のリリースの通り、AWS Identity and Access Management (IAM) を用いて AWS 外部で稼働しているワークロードに IAM ロールを簡単に使用できるようになりました。この機能は、IAM ロールの機能を AWS 外部のワークロードに拡張します。IAM Roles Anywhere を利用することで、オンプレミスのサーバー、コンテナ、またはアプリケーションが一時的な AWS クレデンシャルを取得
IAM Permissions boundary(アクセス権限の境界)で明示的に許可していないアクションでも条件次第で実行できるということを評価論理の流れを眺めて再認識してみた | DevelopersIO
コンバンハ、千葉(幸)です。 突然ですが問題です。 以下の条件があったとします。 同一の AWS アカウントに S3 バケット A と IAM ユーザー A が存在する IAM ユーザー A の Permissions boundary には AWS 管理ポリシーViewOnlyAccessが設定されている ここで、IAM ユーザー A が S3 バケット A に対してPutObjectを実行したいとします。(補足しておくと、ViewOnlyAccessにはPutObjectの Allow は含まれていません。) 以下のうち、アクションの結果について最も適切に説明しているものを選択してください。 IAM ユーザー A の Permissions policy で適切な Allow が設定されていればアクションは成功する S3 バケット A のバケットポリシーで適切な Allow が設定され
EKSのIAM Role for Service Accountsを使用するときにはSTSのリージョナルエンドポイントを使うように設定しようという話 - もうずっといなかぐらし
先日、DynamoDBにアクセスするAPIをLambdaからEKS上への再実装・載せ替えを行いました。その際、IAM Role for Service Account(IRSA)を使用した一時クレデンシャル取得時のレイテンシが大きく高まる事象に遭遇しました。 原因と解決策を調査から解決に至るまでの過程とともにご紹介します。 TL;DR IRSAを使用する際は一時クレデンシャル取得時にSTSにリージョナルエンドポイントを使用させるためAWS_STS_REGIONAL_ENDPOINTS=regionalという環境変数を設定することを検討すること。 経緯 現在転職会議ではECS or Lambdaで実装された既存のサービスを順次EKS上に載せ替えていっています。 先日、私がLambdaで実装されていたAPIをGoで再実装しEKS上に載せ替えました。このAPIはDynamoDBの中身をレスポンス
IAM ポリシーで新規 IAM ユーザーがマネジメントコンソールへアクセスするのを防ぐための対処方法 | DevelopersIO
困っていた内容 IAM ポリシーで IAM ユーザー作成時のプログラムによるアクセス用の IAM ユーザの作成は許可するが、AWS マネジメントコンソールへのアクセス用の IAM ユーザの作成を拒否するという設定は可能でしょうか。可能な場合は方法を教えてください。 IAM コンソールでは以下の設定箇所に該当します。 どう対応すればいいの? プログラムによるアクセスを許可し、AWS マネジメントコンソールへのアクセスを拒否する IAM ポリシーは設定可能です。 IAM コンソールのチェック項目は以下の API に該当します。 プログラムによるアクセス: CreateAccessKey AWS マネジメントコンソールへのアクセス: CreateLoginProfile 新規作成する IAM ユーザーの AWS マネジメントコンソールへのアクセスを判定するアクションはiam:CreateLogi
IAMユーザーやAWSアカウントのルートユーザー に複数の MFA デバイスを割り当てる事ができるようになりました | DevelopersIO
お疲れさまです。とーちです。 IAM に複数の MFA デバイスを割り当てる事ができるようになったというアナウンスを見たので試してみました。 かんたんまとめ AWS アカウントのルートユーザーや IAM ユーザーに最大8つの MFA を割り当てられる ログインするときには割り当てられた中のどれか一つの MFA を使ってログイン さっそく試してみた 適当な IAM ユーザーを用意してどんな動きになるのかを確認してみました。 まずは MFA の設定をします。MFA の設定方法は従来と変わらず、AWS マネージメントコンソールの IAM 画面から登録をしていきます。 2022/11/17 追記: MFA の設定方法について従来と変わらずと記載しておりましたが、正確には従来と異なり MFA の名前をつける必要があります。 またこの名前については、AWS アカウント内で一意※1である必要 があり、例
社外の開発メンバーをAWSアカウントに入れるときのIAM設定を考えている - kmiya_bbmのブログ
サービスを開発する際に、社外の業者さんに開発をお願いしたり、社外パートナーに開発に参加してもらう、ということがよくあります。 開発に使うAWS環境として、うちの会社で作成したAWSアカウントに入ってきてもらうこともあるのですが、このときにAWSアカウントの管理者として社外の開発メンバーにどのような権限を持たせるのが良いか、それをどう実現するのが良いか、いつも悩みます。 このエントリでは現時点での考えと実装方法をまとめておこうと思います。 課題 私が関わる案件で社外の開発メンバーに協力を仰ぐ場合、大抵はPoCから始まるような新規サービスの構築案件となるためAWSのどのサービスを使うか最初からすべて決まっていることは稀です。 最初は ALB + EC2 + RDS で作り始めたシステムにDynamoDBが導入され、AWS IoT coreが導入され、Kinesis Stream が導入され、、
GitHub ActionsにAWSクレデンシャルを直接設定したくないのでIAMロールを利用したい | DevelopersIO
こんにちは!コンサル部のinomaso(@inomasosan)です。 前回と前々回でGitHub ActionsからECSのCI/CDやIAMポリシーの最小権限作成を試してみました。 [初心者向け] GitHub ActionsからECS FargateにCI/CDしてみた GitHub ActionsからECSとECRへのCI/CDを最小権限で実行したい 今回はGitHub ActionsでAWSの一時的なクレデンシャル(アクセスキーID、シークレットアクセスキー)を利用したいので、IAMユーザーの代わりにOIDCプロバイダとIAMロールを設定していきます。 IAMユーザーのクレデンシャルだとダメなの? IAMユーザーで発行したクレデンシャルは永続的に利用可能です。 GitHubではAWSのクレデンシャルをSecretsにより秘匿化できますが、AWS外のサービスに永続的なクレデンシャル
○○ ができない! IAM ポリシーを確かめよう。実例から学ぶ原因と解決策 〜オペ部だより〜 | DevelopersIO
こんにちは、札幌在住 AWS 事業本部 オペレーション部(通称オペ部)の池田です。オペ部ではクラスメソッドメンバーズにご加入いただいているお客様が直面されたお困りごとや疑問など、様々なお問い合わせに対して各種ドキュメントや技術検証結果のご案内をしたり、場合によっては AWS と連携してお客様が直面している問題解決の支援を行なっています。 本記事では、タイトルにある通り実際にいただいた「○○ ができない」といったお問い合わせの中から IAM ポリシーに原因があったいくつかの事例とその解決策をご紹介したいと思います(今回も全ての事例と原因を網羅できているわけではありませんが、調査方法の参考にしていただけると嬉しいです)。 RDS インスタンスが作成できない 事象 AdministratorAccess、PowerUserAccess 以外の IAM ユーザーで RDS インスタンスを新規作成し
サーバーレスアプリケーションから Amazon Aurora への IAM ロールベース認証 | Amazon Web Services
Amazon Web Services ブログ サーバーレスアプリケーションから Amazon Aurora への IAM ロールベース認証 ユーザー名とパスワードをアプリケーションに直接保存することはベストプラクティスではありません。セキュリティで保護されたアプリケーションでは、資格情報をプレーンテキストとして保存しないでください。ソリューションとして、AWS Identity and Access Management (IAM) ポリシーは、Amazon Aurora リソースを管理できるユーザーを決定するアクセス許可を割り当てることができます。たとえば、IAM を使用して、DB クラスター、タグリソース、またはセキュリティグループを作成、記述、変更、削除できるユーザーを決定できます。Amazon Aurora では、データベースユーザーを IAM ユーザーとロールに関連付けるこ
IAM Access Analyzer makes it easier to implement least privilege permissions by generating IAM policies based on access activity | Amazon Web Services
AWS Security Blog IAM Access Analyzer makes it easier to implement least privilege permissions by generating IAM policies based on access activity In 2019, AWS Identity and Access Management (IAM) Access Analyzer was launched to help you remove unintended public and cross account access by analyzing your existing permissions. In March 2021, IAM Access Analyzer added policy validation to help you s
AWS Identity and Access Management introduces IAM Roles Anywhere for workloads outside of AWS
AWS Identity and Access Management (IAM) now enables workloads that run outside of AWS to access AWS resources using IAM Roles Anywhere. IAM Roles Anywhere allows your workloads such as servers, containers, and applications to use X.509 digital certificates to obtain temporary AWS credentials and use the same IAM roles and policies that you have configured for your AWS workloads to access AWS reso
本当はre:Inventかその周辺で発表されたアップデートについて書こうかなと思ったんですが、自分自身の時間の都合と、例によって某ブログに大量に情報があるので今回は見送りましたw zennに何か書こうと思って書くのも今回が初ですね。 さて、今回は個人的に以前から非常に気になってしまう使われ方が多いIAMの使い方について、あらためてネタにしようと思います。 どちらかというとAWSにそれほど詳しくない人向けのつもりです。 しれっと使ってますが、そもそもベストプラクティスって何? という方はとりあえずこちらを ベストプラクティス (best practice)とは あくまでもベストプラクティスなのでいきなり全部を満たすのは難しいかもしれませんが、こういうものがあるんだよ、というのを認知してもらえればと思います。 とりあえず真っ先に気を付けたほうがよいことや注意してほしいことは よく見るまずい(と
Serverless Frameworkで、IAMロールを利用しクロスアカウントにデプロイする | DevelopersIO
Serverless Frameworkで、IAMロールを利用しクロスアカウントにデプロイする方法をご紹介します。 IAMロールを利用しクロスアカウントにデプロイするとは? 以下のスライドでは、JumpアカウントにIAMユーザーを作成し、他のAWSアカウントにはIAMロールを作成しています。 JumpアカウントのIAMユーザーからIAMロールに切り替えることで、他のアカウントを操作します。 Serverless Frameworkでも同様のことを行いました。 クロスアカウント設定 JumpアカウントでIAMユーザーを作成します。 ロールを切り替えるユーザーアクセス権限の付与を参考に、ロールを切り替える為に必要な"sts:AssumeRole"の ポリシーを割り当てます。 以下のポリシーでは、デプロイするAWSアカウントのTestから始まるIAMロールに切り替えできます。 { "Versio
AWS IAM Identity Center を利用して Azure AD のユーザー情報で AWS アカウントへのアクセスを試してみる | DevelopersIO
AWS IAM Identity Center を利用して Azure AD のユーザー情報で AWS アカウントへのアクセスを試してみる Azure AD と AWS IAM Identity Center を連携させて、Azure AD の認証情報で AWS アカウントにアクセスする設定方法をまとめました。 Azure AD ユーザーの認証情報を使って AWS IAM Identity Center 経由で AWS アカウントにアクセスする方法を紹介します。以前にも同様のブログを書きましたが、AWS Single Sign-On 時代だったため、改めて書き直しました。手順に変わりがないか確認したい意図もありましたが、ほぼ同じ手順で設定できました。 構成と全体の流れ 構成図と設定内容を示します。 ユーザー/グループ情報の同期は SCIM による自動同期を採用しています。 設定の流れ SA
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IAM Access AnalyzerのPolicy生成機能を使ってみた - LayerX エンジニアブログ
10分でできる最低限のIAM設定見直し | DevelopersIO
IAMユーザーのアクセスキー作成を簡単に通知して敏感になる - NRIネットコムBlog
AWSのIAMユーザー管理簿を毎週自動でメール配信する - Qiita
AWSを使うにあたりIAMのベストプラクティスをもう一度確認する