AWSが「IAM Roles Anywhere」発表。一時的にAWSへのアクセス権をAWSの外側にあるワークロードに付与
AWSが「IAM Roles Anywhere」発表。一時的にAWSへのアクセス権をAWSの外側にあるワークロードに付与 Amazon Web Services(AWS)は、AWSの外側にあるワークロードに対して一時的にAWSリソースへのアクセス権を付与できる「IAM Roles Anywhere」を発表しました。 : Need to give workloads outside of AWS temporary access to AWS resources? Announcing IAM Roles Anywhere, allowing you to provide temporary AWS credentials to workloads outside AWS using the same IAM roles & policies you configured for your
AWSのマルチアカウント管理ことはじめ ログインの一元化の設計 - プログラマでありたい
日本のAWSのAPN Ambassadorが集まって作り上げるJapan APN Ambassador Advent Calendar 2020の初日です。佐々木の方からは、最近の関心事項であるマルチアカウント管理の中から、認証(ログイン)の一元化の設計について考えてみましょう。 マルチアカウント管理における認証(ログイン)の一元化の必要性 AWSを本格的に使い始めるとすぐに直面するのが、利用するAWSアカウントの増大です。AWSのお勧めのプラクティスの一つとして、用途ごとにAWSアカウントを使い分けてリスクを下げるというのがあります。本番環境と開発環境が同居しているより、分離した上で使えるユーザーを役割ごとに限定した方がリスクを下げることができますよね。一方で、プロジェクトごと・環境ごとにAWSアカウントを分離していくとすぐに10や20のアカウントになってしまいます。その時に第一の課題と
IAMロール徹底理解 〜 AssumeRoleの正体 | DevelopersIO
さて、皆様はIAMにどのようなイメージをお持ちでしょうか。プロジェクトに関わる複数人で1つのAWSアカウントを扱う時、各メンバーに配布するアカウントを作れる機能。そして、その気になればアカウントをグループ分けし、権限を厳密に管理できる機能。といったところかと思います。 上記のユースケースで出てきた主なエンティティ(要素)はUserとGroupですね。IAMのManagement Consoleで見てみると、IAMはこれらの他にRoleやIdentity Providerというエンティティによって構成されているようだ、ということがわかります。今日はRoleにフォーカスを当てて、その実態を詳しく理解します。 IAM Role IAM Roleを使うと、先に挙げたIAMのユースケースの他に、下記のようなことが出来るようになります。 IAM roles for EC2 instancesを使ってみ
超簡単!今すぐ使える「クロスアカウントアクセス」 | DevelopersIO
こんにちは!ももんが大好きの小山です。 きょうは、「便利なんだろうなあ」と思いつつ試したことがなかったクロスアカウントアクセスを設定してみました。本当に簡単にできたので、まだ試したことがないという方はぜひやってみてください! クロスアカウントアクセスとは あなたは、今まで所有していたアカウントA (123423453456) に加えてアカウントB (654354324321) のリソースを管理することになりました。そこであなたはアカウントBに新しいIAMユーザーを作成しましたが、これによって管理すべきログイン情報が増えてしまいました。しばらくすると、こんな不安が生まれます。「今は構わないけど、もっとアカウントが増えたらどうなるんだろうか...」 そこでクロスアカウントアクセスの出番です! クロスアカウントアクセスを使うと、「アカウントAのプリンシパル」から「アカウントBのリソース」を操作で
AWS CLIでインスタンスプロファイルからのAssumeRoleが簡単になりました | DevelopersIO
AWS のクロスアカウント・オペレーションを楽にする地味なアップデートが AWS CLI にきました。 tl;dr [dst-role] role_arn = arn:aws:iam::123456789012:role/some-role credential_source=Ec2InstanceMetadata というようにクレデンシャル設定($HOME/.aws/credentials)の credential_source に Ec2InstanceMetadata を指定するだけで、インスタンスプロファイルから対象アカウントの IAM Role を assume 出来るようになりました。 ユースケース 特定のサーバーから複数のAWSアカウントのリソースを操作する事を考えます。 操作先の各 AWS アカウントに IAM クレデンシャルを発行すると、アカウントが増えた時のクレデンシャ
#技術書典 に初出展。AWSの薄い本 IAMのマニアックな話を書きました - プログラマでありたい
少し遅くなりましたが、2019年9月22日に開催された技術書典7の参加記です。 サマリー 『AWSの薄い本 IAMのマニアックな話』という本を、1部1,500円で500部用意しました。また、既刊の商業誌を各5冊づつ用意して、1割引で販売していました。また最終的なサークルチェックの被チェック数は、395でした。 当日頒布数は451冊で、売上にして67万6千5百円です。またBOOTHでの電子書籍の販売も22日の正午過ぎに開始して、24日の朝6時の段階で114冊、17万1千円売れています。これに対して経費の方は、印刷代他で20万円弱なので大幅に黒字です。準備不足のまま突入しましたが、まずは大成功でした。 当日配布した本については下記エントリーで紹介しているので、ご興味あれば見てください。 #技術書典 に出展する『AWSの薄い本 IAMのマニアックな話』はこんな本 反省点 大成功と言っても、当日出
IAMで特定セキュリティグループの設定の追加削除が出来るようにする設定 - Qiita
IPがコロコロ変わる人が居て、毎回IP追加のお願いに対応するのが面倒なので、もうIP変わる度に自分でsshの接続元設定を追加削除してくれやー。 でも特定セキュリティグループの設定以外は何もかも出来なくしたIAMユーザを使わせたい、というときに設定するポリシー。 SecurityGroupAccessとか適当な名前を付けて設定する。 { "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1393841669000", "Effect": "Allow", "Action": [ "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Sid": "Stmt1393841669001", "Effect": "Allow", "Action": [ "ec2:AuthorizeSecu
IAMをコード管理するMiamを使ってみた | DevelopersIO
Miamとは? Miamとは、AWSアカウントのIAM情報をコード管理出来るツールです。 使い勝手はRoute53とほぼ同様なので、AWS環境をコード管理していると重宝出来ると思います。 GitHub Maim 使い方 Miamをインストール % gem build miam.gemspec % gem install miam-0.2.4.beta8.gem % gem list miam *** LOCAL GEMS *** miam (0.2.4.beta8) ※本記事執筆時、gem install miamでインストールを行った所少し古いバージョンがインストールされ、 そのバージョンで作業を実施すると、パスワードポリシーのエラーが表示されました。 そのため、今回は0.2.4 beta8を使用しております。 Miamオプション Usage: miam [options] -p, --
TerraformをMFA & Assume Roleな環境でも実行 - aws-vaultでやってみた - SMARTCAMP Engineer Blog
Terraform 0.12がbetaになりワクワクしていたら、それより前にTerraformのAWS Providerの2.0.0がリリースされていたことに気づいて焦る笹原です。 いきなりですが、AWSを使う際に、多要素認証(MFA)をかけるのは必須ですよね! また、IAM UserとしてログインするAWSアカウントから、Assume Roleして実際に作業するAWSアカウントに入ることも多くなっていると思います。 そういった環境だと、Assume RoleをするのにMFAを必須にすることもあると思います。 今回はそんなMFAをした上でAssume Roleする必要があるAWSアカウントでもTerraformを実行するために、aws-vaultを使った話をしようと思います! 背景 aws-vaultとは aws-vaultとTerraform aws-vaultの設定 Terraform
[新機能]IAMの委譲権限を制限可能なPermissions Boundaryが登場したので試してみた | DevelopersIO
新機能としてIAMの委譲権限を制限可能なPermissions Boundaryが登場したので試してみました。 にしざわです。ブログというか新機能について触るのも久々な感じですが、大好きなサービスの1つであるIAMサービスに、"Permissions Boundary"という新たな機能が登場したので、試してみたいと思います。ほぼ下記のドキュメントのシナリオ通りなのですが、よりシンプルに説明できるように少し設定を変えながら試した結果をご紹介します。 AWS Developer Forums: Delegate Permission Management to Employees by Using IAM Permissions Boundaries Permissions Boundaries for IAM Identities - AWS Identity and Access Mana
『新卒研修環境の構築をTerraformで自動化してみた』
アドテクスタジオのDynalystというチームで働いている黒崎 (@kuro_m88) です。 たまに社内で自作ドローンを飛ばしたりしています。 早いもので入社2年目になりました。つい先月まで新卒だったはずなのですが…(・・;) 今年も新卒の技術者が約60名入社し、新入社員全体の研修が終わり現在はエンジニアの技術研修が行われています。 今回はその環境構築で行ったことについて紹介しようと思います。 エンジニアの新卒研修の概要 今年の研修のゴールは「アーキテクチャをゼロから考え、実装できるようになる」というもので、研修課題は2つあります。 1つ目は現在まさに取り組んでもらっているのですが、2週間でミニブログシステムを3~4名のチームで制作してもらいます。 チームによってスキルセットが違うので、ネイティブアプリに特化するチームもいれば、バックエンドやインフラでいかにスケールしやすい構成にするか、
アクセス許可の管理の概要 - AWS 請求
AWS Identity and Access Management (IAM) を使用すると、アカウント内または組織内の誰が AWS Billing コンソールの特定のページにアクセスできるかを制御できます。例えば、請求書や、料金、アカウントアクティビティ、予算、支払い方法、クレジットに関する詳細情報へのアクセスを制御できます。IAM は AWS アカウント の機能です。IAM にサインアップするために何かする必要はありません。IAM の使用に対して料金が請求されることもありません。 請求の情報およびツールへのアクセス許可 AWS アカウント を作成する場合は、このアカウントのすべての AWS のサービス とリソースに対して完全なアクセス権を持つ 1 つのサインインアイデンティティから始めます。この ID は AWS アカウント ルートユーザーと呼ばれ、アカウントの作成に使用した E メ
S3の からにこもる ぼうぎょりょくが 100あがった - ZOZO TECH BLOG
こんにちは。インフラエンジニアの光野です。 AWS re:Invent 2017で次々と新発表があり、ワクワクがとまりません。また最近はACMがDNS検証で証明書を発行できるようになったり、SpotFleetがELB Auto Attachできるようになったり、個人的に嬉しいアップデートが続いています。来年もますますAWSのファンになりそうです。 さて、そんなキラキラ(?)した話題は一旦おいて、本記事では泥臭くAmazon S3の権限管理について考えたいと思います。 S3と権限管理 ご存知の通り、S3は99.999999999%の耐久性と実質無限の容量を持つオブジェクトストレージです。弊社では主にファッションアイテムの画像とコーデ画像の保存先として利用しています。 保存は俺に任せろと言わんばかりのS3ですが、一方でオブジェクトの権限管理は利用者に委ねられています。 「誰が・どのオブジェクト
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
