G-gen の堂原です。 当記事では、Terraform を用いて Google Cloud (旧称 GCP) の Identity and Access Management (IAM) を管理する際に、注意すべき点について紹介します。 はじめに google_xxx_iam の使い分け google_project_iam_xxx の使い分けと注意点 google_project_iam_policy google_project_iam_binding google_project_iam_member はじめに 改めて、当記事では Terraform を用いて Google Cloud の IAM を管理する際に注意すべき点として、 具体的には google_project_iam_policy、google_project_iam_binding 及び google_projec
コーヒーと DiveDeep が好きな木谷映見です。 皆さん、IAM を利用する際、「AssumeRole」というアクションを目にしたことはありますか?恐らく多くの方がかなりの回数目にしているのではないでしょうか。 私は特にこの「AssumeRole」というアクションが大好きです。目立たないけれど、いつもたくさんのサービスの裏で活躍している究極の縁の下の力持ち、いいやつですよね。 本日は AssumeRole について DiveDeep していきます。 IAM ロールはかぶると力を得る帽子 AssumeRole とは アイデンティティベースのポリシー リソースベースのポリシー IAM ロールの信頼ポリシー IAM ユーザーが引き受ける(かぶる)場合 例外 AWS リソースが引き受ける(かぶる)場合 IAM ロールを「引き受ける」「かぶる」とは さいごに 参考 ひとりごと IAM ロールはか
【マルチデバイスチーム ブログリレー6日目】 こんにちは、エンジニアリンググループ マルチデバイスチームの大和です。 弊チームではAPIサーバを動かす基盤としてAWSを活用しており、ネイティブアプリから実行されるAPIサーバやDB等についてもAWS上で動作しています。 普段はこのAWS上で動いているAPIサーバの開発・運用を主に行っています。 運用業務のひとつにDBのデータを分析できる状態にすることがあります。 例えば、ユーザの行動の結果をBigQuery上で集計できるといったことが挙げられます。 今回はそれを実現する方法の一部分として、DynamoDB上のデータを日次でS3に出力する方法について解説します。 あらまし 方法 実装および解説 Prepare state CreateSnapshot state CheckExport state WaitToExport state Des
【AWS IAM Identity Center】ユーザー管理でよく使いそうな作成/削除系操作をAWS CLIでやってみる | DevelopersIO
【AWS IAM Identity Center】ユーザー管理でよく使いそうな作成/削除系操作をAWS CLIでやってみる 「ユーザー作成/削除」または「ユーザー棚卸し」といった IAM Identity Center の日々の運用作業は、 マルチアカウント環境がスケールするにつれて増えてくると思います。 だんだんマネジメントコンソールで作業することが辛くなってくるのでは無いでしょうか。 そんな運用の辛さを軽減するために、ぜひAPIは活用していきたいです。 以下アップデートから、 AWS IAM Identity Center (旧 AWS Single-Sign On) の IDストアに対してAPIから参照・更新ができるようになっています。 2022/08/31 - AWS SSO Identity Store - 15 new 4 updated api methods 本ブログではユ
こんばんわ、札幌のヨシエです。 今回は以前に書いたECSで利用するIAMロールのFargate版をまとめてみました。 結果を先に書くとEC2よりも検討するロールは少なくなりました、詳細なところはEC2に書いているので以下のURLを参照いただければと思います。 ECS(EC2)で利用するIAMロールを整理する どういうIAMロールが存在するのか? EC2と同様に列挙してみました。 ロール名 役割 備考
Scaling AWS Lambda permissions with Attribute-Based Access Control (ABAC) | Amazon Web Services
AWS Compute Blog Scaling AWS Lambda permissions with Attribute-Based Access Control (ABAC) This blog post is written by Chris McPeek, Principal Solutions Architect. AWS Lambda now supports attribute-based access control (ABAC), allowing you to control access to Lambda functions within AWS Identity and Access Management (IAM) using tags. With ABAC, you can scale an access control strategy by settin
AWS Single Sign-onがAWS IAM Identity Centerになりました! | DevelopersIO
AWS Single Sign-on (AWS SSO) が AWS IAM Identity Center になりました。マネジメントコンソールで新しい設定画面を見る限り、AWS IAM Identity Center は AWS Single Sign-On の後継サービスの位置づけとなります。ざっくりと変更点を調べてみました。 AWS のブログでも紹介されています。 何が変わったのか 始めにまとめです。 現時点では、技術的な機能は変更されていない sso identitystoreなどの API、名前空間は下位互換性維持のため、変更されていない マネジメントコンソールを確認してみる 新しい設定画面を画面を見てみます。 メニューの構成は、AWS SSO のときからあまり変わっていないようです。関連コンソールとして、AWS IAM サービスへのリンクが追加されているくらいでしょうか。 冒
関西オープンフォーラム内で開催された"jus研究会大阪大会「AWS IAM - 設計上の戦略と戦術」"での発表資料です。 https://k-of.jp/backend/session/1299 運用設計ラボおよびJAWS-UG CLI専門支部での実践を例に、AWS IAM設計上の戦略と戦術について整理してみました。 (現在も、試行錯誤の途中であり、今後内容が改訂される可能性があります。) (運用設計ラボ合同会社 波田野裕一)
【AWS IAM】Condition の条件キーやポリシー変数は可用性を意識しよう!という話 | DevelopersIO
突然ですが問題です あなたはAWS環境の管理者です。 IAMロールに付与したタグベース で、 EC2インスタンス開始/停止を制御しようと試みています。 現状 利用者ロールに割り当てている権限は PowerUserAccess 相当です。 以下のポリシーを追加で付与して制御を実現しました。 { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": ["ec2:StartInstances", "ec2:StopInstances"], "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringNotEquals": { "aws:PrincipalTag/Project": "${aws:ResourceTag/Project}" }}}
技術書典7に出展します - プログラマでありたい
Twitterで呟きましたが、9/22(日)に開催される技術書典に出展します。 techbookfest.org 出展内容 とりあえず出すことを決定してるのは、AWSのリソースに対する認証認可の機能であるIAMに関する本です。おそらく100ページから150ページほどになると思いますが、その中でひたすらIAMに関することを取り扱います。商業誌だと1テーマでこれだけ書くのは厳しいので、技術書典ということで好きに書かせてもらいます。 なぜ出展するのか? 商業誌より儲かりそうだからという邪な考え方もあるますが、自由度の高さが魅力です。あと、Kindle等で直接出版をいつかしてみたいという夢を数年前から持っておりました。が、締切がないと全く進まないので、無理やり締め切りを作るために技術書典さんのイベントを利用させて貰いました。 目次(案) 取り扱うテーマとしては、次のような感じです。既に5章までは書
Motivation AWSの現状を楽に構成図に落とせたらいいよね、というモチベーション。 たまたま、CloudFormationのコードから draw.io で構成図を書く cfn-diagram というツールを見つけたので、aws -> cfn ->draw.io の流れができないか試してみる。
AWSのIAMポリシーには、ジョブ機能あるいは職務機能と呼ばれるAWS管理ポリシーがあります。その中の1つであるネットワーク管理者から垣間見れるAWSの歴史についての小ネタです こんにちは、ゲストブロガーの佐々木拓郎(@dkfj)です。ひょんなことからDevelopers.IOに投稿させて頂けることになりました。普段は、SIerに勤務する傍らAWS本の執筆や技術同人誌を書いています。今日は、小ネタにAWSの歴史を絡めて、職務機能のAWS管理ポリシーを紹介したいと思います。 目次 目次 IAMポリシーでジョブ機能(職務機能のAWS管理ポリシー) 職務機能のユースケースもといAWS管理ポリシーの制限 NetworkAdministratorから読み解くAWSの歴史 明かされる真実 IAMポリシーでジョブ機能(職務機能のAWS管理ポリシー) IAMポリシーの選択時にフィルターのポリシータイプに出
AWS JSON ポリシーの要素: Principal - AWS Identity and Access Management
リソースベースの JSON ポリシーの Principal 要素を使用して、リソースへのアクセスを許可または拒否するプリンシパルを指定します。 リソースベースポリシー の Principal 要素を使用する必要があります。IAM など、いくつかのサービスが、リソースベースのポリシーをサポートしています。IAM リソースベースのポリシーのタイプは、ロールの信頼ポリシーです。IAM ロールでは、ロールの信頼ポリシー内の Principal 要素を使用して、だれがこのロールを引き受けることができるかを指定します。クロスアカウントアクセスとして、信頼されたアカウントの 12 桁の ID を指定する必要があります。 信頼ゾーン (信頼できる組織またはアカウント) 外にあるアカウントのプリンシパルにロールを引き受けるアクセス権があるかどうかについては、「IAM Access Analyzer とは」を
はじめに S3へのアクセスを制御するために様々な機能がありますが、これらはIAMのアクセス制御と混同して考えられることが多く、両方の機能の関連について、質問を非常に多く受けています。 以前に S3のアクセス制御はまずシンプルに捉えて対応すべき という記事を書きましたが、この記事に書いたように、S3バケットポリシーとIAMポリシーには以下のような違いがあります。 S3バケットポリシーは、S3側で、エンティティから行われるアクセスの制御 IAMポリシーの場合、エンティティ側で、S3に対して行うアクセスの制御 このように、両者では設定箇所および制御する操作の矢印の方向が異なります。 基本はこの2つでS3バケットやオブジェクトに対するアクセス制御を行いますが、この2つに加えて、全く異なるアクセス制御の要素が加わることがあります。 その代表例と言える 「Presigned URL」 を今回は取り上げ
最低限のガードレールを考慮したシンプルな IAM 設計を CloudFormation でデプロイする | DevelopersIO
IAM 設計において、かんたんなガードレールや誤操作防止を考慮し、IAM リソースを1つずつ CloudFormation で構築する機会があったのでご紹介します。 ちゃだいん(@chazuke4649)です。 IAM 設計において、かんたんなガードレールや誤操作防止を考慮し、IAM リソースを1つずつ CloudFormation で構築する機会があったのでご紹介します。 前回ブログの発展版となりますので、よければ以下前回ブログもご覧ください。 「ガードレール」という概念については、以下記事を眺めてもらえれば掴めてくるかと思います。 AWS Security Roadshow Tokyo 2019午前セッションレポート | Developers.IO [レポート] アクセス管理の信頼性 (Access Control Confidence) #SEC316 #reinvent | Dev
「AWS IAMだけでなんとかする、 最低限のガードレール」というタイトルで #AKIBAAWS で登壇しました | DevelopersIO
ちゃだいん(@chazuke4649)です。 先日 【8/17(火)リモート開催】AKIBA.AWS ONLINE #06 – AWS IAM 編- にて、AWS IAMについて登壇しました。その際のスライド資料や動画を共有します。 スライド資料 動画 ※アップロードが完了次第更新します 補足情報 基本的に今回の発表は以下ブログを元ネタとし、一部抜粋して紹介しています。合わせてこちらのブログもどうぞ。
こんにちは、森田です。 研修中に、各部署でスイッチロールを付与してもらっていますが、そもそもスイッチロールとは何者なのかを理解していなかったので、実際に色々試しながら理解してみます。 スイッチロールとは IAMの機能の1つで名前の通り、アカウント切り替え用のロール(役割)を提供します。 例えば、下図の場合です。 会社などに属している場合、部署やサービスごとでアカウントを分けることがあります。 この時、スイッチロールを使用せず、コンソールにログインする場合、アカウント ID、ユーザ名、パスワードがそれぞれで必要となります。 上図の場合アカウントが3つなので、何とかなりそうですが、 例えば、より多くのアカウントを切り替える場合はその分管理する情報も増えてしまうため、とても大変になってしまいます。 そこでスイッチロールでは、アカウントを切り替えるために任意のアカウントに対して、一時的な権限を発行
躓きまくったので備忘録。 AWS はこっち。 概要 GitHub Actions では OpenID Connect (OIDC) がサポートされています。 OIDC を使用することによりサービスアカウントキーなどを用意することなく GCP 認証を行うことができます。 詳細については下記ページをご参照ください。 この記事では GitHub Actions で OIDC を使用して GCP 認証を行うまでの手順をまとめます。 リポジトリ この記事内で使用しているサンプルコードは下記リポジトリで管理しています。 手順 1. IAM Service Account Credentials API を有効にする OIDC で認証情報を作成するときには IAM Service Account Credentials API を利用するため、有効にしておく必要があります。 Terraform で有効に
AWS CLIからCloudFormation でユーザとロールを作成して、流れるようにスイッチロールの確認をしてみた | DevelopersIO
AWS CLIからCloudFormation でユーザとロールを作成して、流れるようにスイッチロールの確認をしてみた 最近は、ABACばっかりやってるAWS 事業本部 梶原@福岡オフィスです。 ABAC(属性ベースのアクセスコントロール )を実施する際、ポリシーは同一にして、スケールすることができるのですが、ユーザやロールの確認作業は必要になってきます。 とはいえ、様々な属性値のユーザの確認作業を手作業でやるのは結構大変です。 ということで検証作業を楽にするため、ユーザー作成、ロール作成部分をTemplate化しました。必要に応じて修正(タグ値を追加など)して、ご自由にお使いください また流れで、ロールの検証を行いたいため、スイッチロールを楽にするために認証情報を取得しやすくしています。 credentialsの設定や、configの設定って微妙にはまりがちなのでなるべく簡単に定型作業で
X-Tech JAWS & JAWS-UGアーキテクチャ専門支部 コラボ勉強会#02 https://jawsug-arch.connpass.com/event/135191/
IAM Access Analyzer を利用して、アクセスアクティビティに基づいて IAM ポリシーを生成し、最小限の権限のアクセス許可を簡単に実装する | Amazon Web Services
Amazon Web Services ブログ IAM Access Analyzer を利用して、アクセスアクティビティに基づいて IAM ポリシーを生成し、最小限の権限のアクセス許可を簡単に実装する 2019 年に AWS Identity and Access Management (IAM) Access Analyzer がリリースされ、既存のアクセス許可の設定状況を分析することで、意図しないパブリックおよびクロスアカウントアクセスを削除できるようになりました。2021 年 3 月、IAM Access Analyzer は、ポリシーの作成中にセキュリティで機能的なアクセス許可を設定するのに役立つポリシー検証機能を追加しました。そして、IAM Access Analyzer はさらに一歩進み、ポリシーを生成します。IAM Access Analyzer を使用して、AWS Clo
サービスアカウントで BigQuery にアクセスするときに、どのロールでどんな操作が可能なのか確認してみた。 | DevelopersIO
サービスアカウントで BigQuery にアクセスするときに、どのロールでどんな操作が可能なのか確認してみた。 こんにちは、みかみです。 やりたいこと BigQuery の事前定義ロールにはどんな種類があるか知りたい 各ロールでどんな操作ができるのか知りたい BigQuery Python クライアントライブラリを使用する場合に、各ロールで実行可能な処理を確認したい 目次 GCP の権限管理 BigQuery の事前定義ロールを付与したサービスアカウントを作成 Python クライアントライブラリ経由で BigQuery を操作 プロジェクト関連操作 データセット関連操作 テーブル関連操作 テーブルデータ関連操作 ルーティン関連操作 モデル関連操作 ジョブ関連操作 許可されていない操作を実行した場合の挙動 ロールごとに実行可能な操作一覧 まとめ(所感) 参考 GCP の権限管理 GCE や
AWS でパスワードなどの秘密情報をコードに埋め込まずに利用する方法 | クラウド・AWSのIT技術者向けブログ SKYARCH BROADCASTING
某所で API キーを含む秘密情報をコードに含めて一般公開した為に不正アクセスの原因になった可能性があると話題になっています。 AWS でもサービス利用は基本的には全て REST API を通じて行われため、コードに対して何らかの形でAPIキーとシークレットを渡す必要があります。その為やはり類似の事故が発生する可能性は常にあり、定期的な注意喚起が行われています。 AWS では責任共有モデル1 が採用されており、当たり前のことですがデータの保全処置やパスワードの管理はユーザの責任となります。 そもそもコード中にAPIキーなどの秘密情報を埋め込まなくても安全に利用する仕組みが提供されています。 今回はそのうちのいくつかをご紹介したいと思います。 IAM ユーザ AWS リソースへのアクセスを制御する最も基本的な機能です。IAM ユーザという単位で ID、パスワードを発行し、マネジメントコンソー
【初心者向け】Session Manager でインスタンスが表示されない時のトラブルシュート | DevelopersIO
ちゃだいん(@chazuke4649)です。 Session Manager の初期設定って、よくつまりませんか? 私はよくつまります。 今日は先日久しぶりにさわったところ、やはりつまったので、次つまった時のためにメモを残しておこうと思います。そして、Well-Architected Flameworkにならい、質問形式で未来の自分へチェックすべきポイントを投げかけてみます。 参考URL 1. EC2インスタンス / エージェントが原因 いくつかのカテゴリに分けてみました。最初は、EC2インスタンス周りや、その中に起動している SSM エージェントに関してです。 IAMロールが不適切ではありませんか? 基本的には、対象のEC2インスタンスにアタッチされているIAMロールに、IAMポリシーのマネージドポリシーであるAmazonSSMManagedInstanceCoreがアタッチされていれば
こんにちは、上野です。 Infrastructure as Code (IaC) 、みなさん楽しんでおりますでしょうか。前から気になっていたcdk-nagを試してみたので、その紹介となります。 cdk-nagとは AWS Cloud Development Kit (AWS CDK) で作成する各Constructが、与えられたセキュリティ・コンプライアンスルール群に準拠しているかどうか検証してくれるツールです。CloudFormationテンプレートのセキュリティチェックツールである、cfn-nagに影響を受け作成されています。現時点では以下のルール群が提供されています。 AWS Solutions HIPAA Security NIST 800-53 rev 4 NIST 800-53 rev 5 PCI DSS 3.2.1 GitHubリポジトリで公開されており、AWS公式ブログでも
(初心者向け) AWSのアカウントを守るために最低限やっておきたいことまとめ ( IAMメイン ) - Qiita
はじめに これまで業務でAWSを触る機会もあったのですが、1からアカウントを運用するなどは経験がなく基本的な部分が抜けているなと感じたので、自身の知識の確認も含めて、AWSアカウントを安全に利用するためのセキュリティの基礎中の基礎をまとめてみました。 対象読者 AWSアカウントを開設してばかりの方 AWS IAMの設定内容に自信がない方 IAM ベストプラクティスで推奨されている内容をさくっと確認したい方 AWSにおけるセキュリティの考え方 AWSはさまざまな便利なサービスをクラウドサービスとして提供してくれていますが、クラウドサービスだからといってセキュリティのあらゆる部分をAWSが担保してくれるわけではありません。 セキュリティに関してAWSがどの範囲は責任を持ってくれるのか、また利用者側がどの範囲のセキュリティを検討しなくてはいけないのかは「責任共有モデル」という形で明示されています
なぜ書いたか やりたいこと tl;dr 特定サービス(の全リソース)に対する権限を付与したい 特定サービスの特定リソースに対しての権限を付与したい まとめ おまけ google_service_account_iam_member がややこしい なぜ *_iam_member を使うのか 参考 なぜ書いたか Terraform Google Provider のIAM周りのリソースはたくさんある。 google_project_iam_policy google_project_iam_binding google_project_iam_member google_service_account_iam_policy google_service_account_iam_binding google_service_account_iam_member google_cloud_run_
概要 AWS IAM Identity Center 昔はAWS SSOと呼ばれていたました これを使うことで、複数AWSアカウントのIAMを統一的に管理することができます 複数アカウントのIAM管理手法はいくつかあります スイッチロールによる管理との比較、メリットについては 株式会社PLAN-Bさんがまとめてくれています 下記記事がとても分かりやすいと思います IAM Identity Centerは既存のIAMユーザーと競合しないので、段階的に一部のユーザーだけ試してみるといった運用も可能です 同じユーザー名でも問題ありません 今回は以下のようにaccountA、accountBに存在するyamasitaアカウントをIAM Identity Centerのyamasitaに移行するまでの設定をやってみます 以下のようにログインのURLが変わりますが、ログイン後の使用感は変わりません 実
IAM で MFA デバイスを複数登録が可能となった影響で MFA 強制の IAM ポリシーに修正が必要です - サーバーワークスエンジニアブログ
カスタマーサクセス部 佐竹です。 本日は、以下のアップデートに関する運用上の注意点のお知らせです。IAM ポリシーで、IAM User に MFA デバイスの設定を強制されている場合に、本アップデートによる影響がありましたので周知のために記載しております。 aws.amazon.com はじめに アップデートの影響 IAM ポリシーへの影響 修正が必要な個所 ${aws:username} 発生するエラー 修正後の IAM ポリシー json 注意点やその他のご連絡事項 影響を受けないお客様 まだ全ての AWS アカウントが複数の MFA デバイス登録に対応していない 2台目の MFA デバイス登録からエラーが発生する場合 1台目の MFA デバイス登録からエラーが発生する場合 MFA デバイス名は AWS アカウント内で一意でなければならない 修正後はアスタリスク (*) で問題はないの
AWSとAzureのID管理の違い【AWS技術者のためのAzure入門 第1回】 | エディフィストの実務に活かせるIT研修 | エディフィストの実務に活かせるIT研修
「AWS はわかるのだけど、Azure がよくわからない」といった方に、AWS(Amazon Web Services)と Microsoft Azure を比較しながら、考え方や概念の違いを解説します。 マルチクラウド化の流れが進む中、エンジニアの側も一つのクラウドシステムに執着するのではなく、複数のクラウドシステムを使いこなす必要がでてきています。しかしながら、同じ機能を実装するケースでも、クラウド間で手順や考え方が異なることから戸惑う方も多いのではないでしょうか。 本連載では、技術者のマルチクラウド化で最も多いと思われる、AWS に慣れ親しんだ方が Azure を覚えようとするケースで、躓きがちなポイントにフォーカスして解説します。 連載1回目では、AWS と Azure の ID 管理の違いについて見ていきます。 ※ Amazon Web Services、『Powered by
今すぐやめようssh! AWS Session Managerを検証・導入してみた - asoview! Tech Blog
この記事は アソビュー! Advent Calendar 2019 - Qiita 17日目の記事です。 アソビューにてバックエンドおよびSREを担当している寺岡(@toda_kk)と申します。よろしくお願いします! 最近はリングフィットアドベンチャーをやり始め、スクワットをする度に「いいぞ!」「すごいぞ!」と褒められることで自己肯定感を高めています。 はじめに さて、SREの業務というと、どの企業でも多岐にわたるかと思います。インフラアーキテクチャの設計および構築、モニタリング環境の整備、開発フローや運用業務の効率化……などなど、ビジネス上あまり目立たないけれど実は大事な役割を担っていたりします*1。 そんな中で、今回は開発や運用の効率化のためにAWSのSession Managerという機能を検証・導入した話を取り上げたいと思います。 Session Managerとは? AWS Sy
イラストで理解するIAMロール
はじめに 先日、AWSのアクセス制御についてのプレゼンを行いました。 その際、ポリシーが増える場合、どのように対応すれば良いですか?という質問を頂きました。 そこで、ポリシーを管理するためのIAMロールの説明がうまくできませんでした。 ポリシーやロールは普段から触ることも多いですが、そのメリットをちゃん理解できていなかったことを自覚しました。 そこで、AWSのIAMロール周りのことを聞かれて「ドキッ」とする、そんな私のような方は是非読んでみて下さい。 概要 この記事ではIAMロールの利点に焦点を当てているので、あまり細かい仕組みの説明はしておりませんので、あしからず。 ポリシー ポリシーってなに? そもそも、ポリシーってなんでしょう? ポリシーがあって何がいいんでしょう? では、まずポリシーがない状況を考えましょう。 ポリシー(権限)が無いと、誰でも、いつでも、なんでも、操作できるという状
Amazon Web Services ブログ SaaSテナント分離をAWS IAMとABACで実装する方法 この記事は、How to implement SaaS tenant isolation with ABAC and AWS IAMを訳したものです。 マルチテナントアプリケーションにおいては各テナントのリソースが他のテナントからアクセスできないように設計を行う必要があります。AWS Identity and Access Management (IAM) は多くの場合、この目的を達成するための重要な要素となりえます。一方で、IAMを用いることによる課題の一つとして、テナント分離を実現するのに必要な IAM ポリシーの数と複雑さが急速に拡大することにより分離モデルの規模と管理性に影響を与えることが挙げられます。IAM の 属性ベースのアクセスコントロール (ABAC) の仕組みはこ
IAMのベストプラクティス!rootユーザのアクセスキーはできるだけ削除していきましょう | DevelopersIO
みなさん!rootユーザのアクセスキー、使ってませんか? AWSのユーザのアクセスキー/シークレットキー(以下、アクセスキー)が漏洩すると、その所持する権限に応じて様々な被害が生じます。 参考: 【実録】アクセスキー流出、攻撃者のとった行動とその対策 | Developers.IO 中でもrootユーザは何でもできる最強の権限を持つため 万一そのアクセスキーが悪意ある者の手に渡ってしまうと、 AWSアカウントのrootメールアドレス変更 root含む全ユーザのログインパスワード変更 大事なシステムが稼働しているAWSアカウント解約 マイニングなど、リソースの不正利用によるクラウド破産 S3に保存した機密情報流出 などなど、とっても恐ろしいことが起こってしまいます。(※下2つはroot権限でなくとも起こりえます) 弊社にも、まれにrootユーザのアクセスキー漏洩事故、およびそれに伴うAWSア
IAMインスタンスプロファイルって?
概要 AWSリソースにIAMポリシー権限を渡すときはIAMポリシーがアタッチされているIAMロールを作成し、そのIAMロールをAWSリソースに付与することで付与されたAWSリソースは他のリソースへの操作権限が与えられます。 ですがEC2を作成する画面にIAMロールをアタッチする箇所がなく、IAMインスタンスプロファイルを設定する箇所が存在します。 AWS CLIでもパラメータにIamInstanceProfileという項目があり、Arnにもinstance-profileと記載されています。 aws ec2 describe-instances --query "Reservations[].Instances[].IamInstanceProfile.Arn" [ "arn:aws:iam::XXXXXXXXXXXX:instance-profile/Yuta20210911" ] この
はじめに こんにちは。大阪オフィスの林です。 タイトルの通りなのですが本エントリは、AWS環境で各種リソースやサービスに対する管理者権限を与えつつも、IAMユーザーの作成や変更に関する操作を禁じたいというピンポイントのユースケースにお答えする内容となっています。 デフォルトのポリシーでIAMReadOnlyAccessもありますが、ロールやポリシーの操作にも制限が掛かってしまうので、IAMユーザーの作成、変更に対する操作だけを禁止したいというユースケースに本エントリを参考にして頂ければと思います。 やってみた ポリシー作成 IAMのダッシュボード左メニューから「ポリシー」-「ポリシーの作成」を選択します。 「JSON」タブから下記のJOSNをコピペして次のステップに進みます。 { "Version": "2012-10-17", "Statement": [ { "Effect": "Al
Optimize your Google Cloud environment with new AI-based recommenders | Google Cloud Blog
Optimize your Google Cloud environment with new AI-based recommenders You want your Google Cloud environment to be as unique as your organization, configured for optimal security, cost and efficiency. We are excited to offer new recommenders for Google Cloud Platform (GCP) in beta, which automatically suggest ways to make your cloud deployment more secure and cost-effective, with maximum performan
コーヒーが好きな木谷映見です。 今日はスイッチロールの概念と設定方法についてまとめていきます。 スイッチロールとは? ざっくりとしたイメージ 真面目なイメージ スイッチロールのイメージ 「帽子をかぶって力を得る」 IAM ポリシーの種類 アイデンティティベースのポリシー リソースベースのポリシー IAM ロールの信頼ポリシー sts:AssumeRole とは IAM ロールに付与されるポリシー スイッチロールをする際の権限まとめ スイッチロールの手順 スイッチ元アカウントA での準備① スイッチ先アカウントB での準備 スイッチ元アカウントA での準備② スイッチ元アカウントAからスイッチ先アカウントへスイッチロールする スイッチロールのユースケース 参考 具体的な設定方法を知りたい方は「スイッチロールの手順」をご参照ください。 スイッチロールとは? ざっくりとしたイメージ 「人んちの帽
SREチームの橋本です。SRE連載の11月号になります。 AWSの多くのリソースはIAMでアクセスを一元管理されていますが、Lambdaではユーザーが実行したり他のAWSサービスから実行されたりする都合上、様々なポリシーが絡んでいます。 特に「Lambdaを呼び出す許可」についてはID(アイデンティティ)ベースのポリシーとリソースベースのポリシーで内容が被るため、どちらで設定するか混乱しているケースも見られます。 本記事ではこうしたポリシー事情をterraformの例と共に整理し、権限設定のベストプラクティスも検討します。 そもそもIAMのポリシーについて ドキュメントによればAWSのポリシーは実に6種類ものタイプがありますが、「使用頻度の高いものから」とあるように最初のIDベースが非常に多くのサービスで共通して使われており、次いで2番目のリソースベースが一部サービスで必要になるでしょう。
AWS Fargate サービスを Terraform で構築、 コマンドラインからデプロイ - Qiita
動機 【AWS】 Fargate CLI + Terraform で Docker コンテナを動かす簡単なチュートリアル というのを書いたんですが、下記の問題点を感じました。 Fargate CLI のインストールが若干手間。 Fargate CLI を使うと、 Terraform だけで完結しないため、一部ハードコーディングが必要になる。 Fargate CLI は冪等性が無い。 SSL 証明書や Route53 周りは Terraform で設定したいが、 Fargate CLI で設定した値の取得には結局 aws-cli を叩く必要がある。 Fargate CLI でも設定可能だが、事前に Route53 で設定とかしないとうまく動いてくれなかった記憶があり、結局あんま信頼できなかった よって、最近は Fargate CLI は使わずに、 インフラ構築は Terraform に全て任
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TerraformでGoogle CloudのIAMを管理する際の注意点 - G-gen Tech Blog
AssumeRole について DiveDeep する - サーバーワークスエンジニアブログ
StepFunctionsでDynamoDBからS3にexportする - エムスリーテックブログ
ECS(Fargate)で利用するIAMロールを整理する | DevelopersIO
AWS IAM 〜 設計上の戦略と戦術 / 20191109-kof-iam
aws -> cfn ->draw.io を試す
職務機能のAWS 管理ポリシーから昔を振り返る | DevelopersIO
Amazon S3 Presigned URLのアクセス制御を深堀りする - Qiita
スイッチロールをやってみた | DevelopersIO
GitHub Actions で OIDC を使用して GCP 認証を行う
TerraformによるAWSマルチアカウント管理 in eureka, Inc.
cdk-nagを使用したAWS CDKのセキュリティチェック ~基本編~ - NRIネットコムBlog
Terraform で GCP のサービスアカウントを管理する - Eng (なりたい)
AWS IAM Identity CenterでIAMアカウントを統一する
SaaSテナント分離をAWS IAMとABACで実装する方法 | Amazon Web Services
管理者権限を与えつつIAMユーザーまわりの操作だけ禁止するIAMポリシー | DevelopersIO
帽子をかぶって、スイッチロールをマスターしよう - サーバーワークスエンジニアブログ
AWS Lambda のアクセス許可を紐解く - KAYAC engineers' blog