SnowflakeでFunctional Role+Access Roleのロール設計を実現するTerraformのModule構成を考えてみた | DevelopersIO
SnowflakeでFunctional Role+Access Roleのロール設計を実現するTerraformのModule構成を考えてみた さがらです。 2024年1月にSnowflakeのTerraform Providerに関する2024年のロードマップが公開されています。 このロードマップについてわかりやすくまとめて頂いているのが下記の記事です。内容としては、GRANTの再設計、GAしている全機能のサポート、既存Issueの解決、などに取り組んでいくとのことで、破壊的な変更を含む一方で良い方向に進んでいることが感じ取れます。 そしてこのロードマップのうちの「GRANTの再設計」ですが、「v0.88.0でGRANTの再設計は完了」「以前の形式のGRANT関係のリソースは2024年6月26日に削除」というDiscussionが投稿されていました。着実に開発が進んでいますね。 そこで
AWS IAM PolicyのForAllValuesを勘違いしてた件 - LayerX エンジニアブログ
LayerX Fintech事業部(※)で、ガバナンス・コンプラエンジニアリングをしている 鈴木 (@ken5scal )です。 ※三井物産デジタル・アセットマネジメントに出向しています。 今回は、AWS IAMポリシーの条件における「ForAllValues」の仕様を誤って理解していたことから、安全でないアクセス制御を実装していたという内容です。もし同様の勘違いをされている方がいたら参考になれば幸いです。 ユースケース AWS IAMユーザーを、ロールの trust policy がユーザーのタグで制御するケースで考えます。 具体的には、「Group A あるいは Group B」に所属し、且つ「Admin」権限のあるユーザーのみが行使できる役割「AdminABRole」があるとしましょう。 この場合、Group と Admin のタグが存在し、下記のようなパターン(※)が考えられます。
拒否ポリシーでBigQueryのテーブル削除を無効にする
はじめに こんにちは、クラウドエース データ ML ディビジョン所属の疋田(ひきた)です。 珍しい苗字でなかなか覚えづらいと思いますので、是非「ヒッキー」と呼んでいただければ嬉しいです。 クラウドエースの IT エンジニアリングを担うシステム開発部の中で、特にデータ基盤構築・分析基盤構築からデータ分析までを含む一貫したデータ課題の解決を専門とするのがデータ ML ディビジョンです。 データML ディビジョンでは活動の一環として、毎週 Google Cloud (旧 Google Cloud Platform、以下「GCP」) の新規リリースを調査・発表し、データ領域のプロダクトのキャッチアップをしています。その中でも重要と考えるリリースを本ページ含め記事として公開しています。 今回ご紹介するリリースは、2023年8月7日にサポートするようになった、拒否ポリシーを介してのアクセス拒否機能です
[AWS CDK] ALBとCognitoを使ってOktaをIdPとするSAML認証をしてみた | DevelopersIO
サクッとSAML認証を実装したい こんにちは、のんピ(@non____97)です。 皆さんサクッとSAML認証を実装したいなと思ったことはありますか? 私はあります。 自分でSAML認証のService Provider(SP)側の処理を実装するのは大変です。そのような場合はALBとCognitoを使うと簡単に行えます。 ということで実際にやってみました。今回はIdPとしてOktaを使用します。 「SAML認証ってなんやねん」や「OktaのSAMLアプリってどうやって作成すればいいんだ」、「CognitoでSAML認証ってどうやって行えばいいんだ」という方は以下ドキュメントをご覧ください。 初心者向けSAMLガイド SAMLアプリ統合を作成する | Okta ユーザープールへの SAML ID プロバイダーの追加 - Amazon Cognito また、せっかくなので以下アップデートで可能
![[AWS CDK] ALBとCognitoを使ってOktaをIdPとするSAML認証をしてみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/01997881325332bcbeca491a7a712a5024e39095/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2023%2F08%2Famazon-cognito.png)
情報処理安全確保支援士試験に合格したので色々まとめてみた - Qiita
過去の関連記事 情報処理安全確保支援士試験 勉強の備忘録 情報処理安全確保支援士試験のセキュアプログラミングの暗記事項 情報処理安全確保支援士試験頻出のCVSSの評価基準は紛らわしいので備忘録メモ 情報処理安全確保支援士試験とは? 情報処理技術者試験の試験区分のうちレベル4に分類されている高度試験のうちの1つです。2016年までは情報セキュリティスペシャリスト試験という名称でした。2017年から試験合格後、情報処理安全確保支援士としての登録を行わなければ、情報処理安全確保支援士と名乗ってはならないという法律が施行されました。名称が変更されたことで、資格の名称から資格の内容がいまいちピンと来なくなりました。「ダサい」という意見も有る様です。よって「登録セキスペ」なる通称も使って良いということになりました。それなら最初から名称を変更しない方が良かったのではないかと思うのは筆者だけでしょうか。。
OktaとAWSサービスのシングルサインオン連携をするため、Okta Starter Developer Editionを登録してみた | DevelopersIO
OktaとAWSサービスのシングルサインオン連携をするため、Okta Starter Developer Editionを登録してみた はじめに AWSサービスのうち、以下のサービスでは、ユーザー認証のシングルサインオン (SAML 2.0 ベースのフェデレーション認証)に対応しています。 AWS IAM Identity Center Amazon WorkSpaces Amazon AppStream 2.0 AWS Client VPN OktaとAWSのシングルサインオンを試したいと思った時、Okta Starter Developer Editionが無料で利用できることを知りました。 Okta Starter Developer Editionとは、Oktaの認証、認可、ユーザー管理の機能をアプリに組み込む開発者向けに無料で提供されています。 一部制限がありますが、Oktaの機
KubernetesのSecretを1Passwordで管理する
1Password Connect Kubernetes Operator GitHub: https://github.com/1Password/onepassword-operator 1Password上に保存されているアイテムをKubernetes上のSecretリソースに同期してくれるオペレーターです。Secretリソースはその特性上GitHubに直接あげることが難しく、IaCを実現するために様々なアプローチが取られていますが1Password Connect Kubernetes Operatorもその1つです。感覚としてはexternal-secretsなどに近く、外部のCredential Storeの情報を取得しKubernetes上にSecretリソースを作成してくれるものです。 1Password公式のOrganization下で開発されています。比較的最近開発が始
IAMのWeb Identity Federationの理解にPlaygroundを試したら捗った | DevelopersIO
IAMのWeb Identity Federationが便利そうだけどどういう仕組みかがよくわからないってなりませんか。 用語がたくさんあったり若干入り組んでいるので私は苦しみました。苦しみながら ドキュメント を読んでいたらWeb Identity Federation Playgroundが理解に役立つと書いてありました。 なので実際に試してみました。 Web Identity Federationとは AWSリソースにアクセスするにはアクセスキーが必要になりますよね。 AWS CLIとかでアクセスキーを使用するのであればIAM ユーザーを作成して設定すれば問題ないですが、モバイルアプリやWebアプリに対して直接アクセスキーを埋め込むことは推奨できる行為ではありません。 また独自のIDをAWS側で管理したりカスタムサインインコードを書くのも非常に手間です。 これらの問題をさけつつAWS
セキュリティ・キャンプ協議会の個人会員になってみた - 3DESU
今年度のセキュリティ・キャンプ協議会の個人会員募集が開始されました。 昨年、個人会員だったので、概要や感想などを書きたいと思います。 www.security-camp.or.jp 個人会員概要 10万円でセキュリティ・キャンプ協議会の個人スポンサーになれる。 セキュリティ・キャンプ全国大会や地方大会の見学(聴講)ができる。 詳しくは以下会員プログラムの「個人メンバー」欄を参考 https://www.security-camp.or.jp/member/data/member_program.pdf メリット 23歳以上でも社会人でもセキュリティ・キャンプの講義が聞ける。 最先端の技術や研究、現場で活躍するトップクラスのエンジニアの話が聞ける。 去年は仮想通貨やIoT分野など、最新分野の講義がある。 学生向けのため、内容が分かりやすい。 魅力的かつ多種多様な分野の講義がある 全国大会:
OktaログをMicrosoft Sentinelに取り込んでみた - APC 技術ブログ
はじめに こんにちは、エーピーコミュニケーションズ iTOC事業部 BzD部 0-WANの坂口です。 今回は、OktaのログをMicrosoft Sentinelに格納する方法をご紹介します。 想定アーキテクチャ 想定するアーキテクチャは、下図のとおりです。 Azure Functions 定期的にOktaに接続してログを収集します。 Log Analytics workspace 収集したOktaログを格納します。 Microsoft Sentinel Log Analytics workspaceに格納されたログを参照・分析します。 ログ格納の手順 Oktaの監査ログとイベントログを収集する手順です。下記データコネクタを利用します。 learn.microsoft.com 手順1. Okta API Tokenの作成 手順2. Okta Single Sing-Onコンテンツのインスト
Amazon CodeGuru Securityを用いて、TerraformのDevSecOpsを実現する | NHN テコラス Tech Blog | AWS、機械学習、IoTなどの技術ブログ
Amazon CodeGuru Securityを用いて、TerraformのDevSecOpsを実現する はじめに こんにちは、Shunです。 皆さん、Terraformのデプロイ時にセキュリティチェックは行っていますか? 多くの人は「terraform fmt」や「terraform validate」で基本的な構文チェックを行った後、セキュリティの設定値の確認は目視で行っているのではないでしょうか。 今回は、CodeGuru Securityを使用してTerraformのコードに静的解析を施し、DevSecOpsを実現する方法を紹介します。 想定読者 AWSのセキュリティに興味がある方 DevSecOpsに興味がある方 CodeGuru Securityに興味がある方 本記事で取り扱う内容 CodeGuru Securityの導入方法 CodeGuru Securityの検出結果の確
「情報セキュリティの敗北史」を読んで - シナプス技術者ブログ
皆さんこんにちは。 開発課の丸野です。 最近、アンドリー・スチュワート氏の「情報セキュリティの敗北史 脆弱性はどこから来たのか」を読み、色々と考えることがあったので、読書感想文を書きます。 www.hakuyo-sha.co.jp 最初期の情報セキュリティについて 情報セキュリティはいつ、どのようにして必要になったのか 最初期のセキュリティに対する研究 CIAの三要素の提唱 三つの試み、三つの失敗 タイガーチームと、終わらないペネトレイト・アンド・パッチ 形式的検証と、複雑な現実 オレンジブックの制定と、ムーアの呪縛 最初期のセキュリティから学べること これから考えていくべきこと 複雑さのコントロール 自分自身のFUDと向き合う 最初期の情報セキュリティについて 最初に本書を通して学んだ、最初期の情報セキュリティについて、その挑戦と失敗について簡潔にまとめます。 情報セキュリティはいつ、ど
資格を取る理由とか勉強方法など - fiscsecの日記
どうやって勉強していますか、とかモチベーションはどこから湧くの?と聞かれたことがあるので、資格取得も一段落なので振り返ってみます。 IPAの2016年4月の情報セキュリティマネジメントが初の資格取得で、それまでは取ろうとも思っていませんでした。(というか試験勉強をしたくなかった) 何故資格を取るの ・会社が資格を取れとうるさくなったから。また少しは評価につながるから ・勉強をしたらなんだか時間を有意義に過ごした気分になる ・試験ごとに体系的にまとまっており、身に付けるにあたって効率がよい ・資格取得は目標や成果として設定しやすい ・技術的な経験、強みが浅いので自信が欲しい ・名刺やlinkedinを彩ってドヤりたい ・少しでも転職に有利になればいいな 実際どう? ・情報処理安全確保支援士に合格してから、会社がCISSP、GIACの高額なトレーニング費用を出してくれた ・社内でスペシャリスト
CTF作問感想 - 2022 | XS-Spin Blog
CTF challenges I created 🚩. Contribute to arkark/my-ctf-challenges development by creating an account on GitHub. "> また、作問する上で参考にした問題や影響元になっている問題も謝辞の意味合いを込めて載せました。どれも好きな問題なので興味があればそちらもぜひ。 [web] skipinx 「simplewaf - corCTF 2022」の問題に出会い、自分も同じような問題をつくりたいと思ってました。そこで以下を満たす問題をwarmupに配置することを目指しました: とにかく短いソースコード 初心者でも解くことが可能だが、上級者にとっても自明でない[3] 解法が非常にシンプル 今のところ自明と言っている人は観測しておらず、また、序盤はwarmupなのにあまり解かれず徐々にsol
trivyとGithub Actionsを使用しTerraform設定ファイルのセキュリティスキャンを実行する仕組みを作りました - コネヒト開発者ブログ
この記事はコネヒトアドベントカレンダー21日目の記事です。 コネヒト Advent Calendar 2023って? コネヒトのエンジニアやデザイナーやPdMがお送りするアドベント カレンダーです。 コネヒトは「家族像」というテーマを取りまく様々な課題の解決を 目指す会社で、 ママの一歩を支えるアプリ「ママリ」などを 運営しています。 adventar.org はじめに コネヒトのプラットフォームグループでインフラ関連を担当している@yosshiです。 今年の7月に入社してから早いもので半年が経ちました。時が経つのは本当に早いですね。 今回のブログでは、セキュリティスキャンツールであるtrivyを使って、自動的にIaC (Infrastructure as Code)スキャンを実行する仕組みを構築した話をしたいと思います。 弊社ではインフラ構成をTerraform利用して管理するようにして
CCSP合格したので勉強法など(CISSP保持者向け) - Qiita
1. まずはドメインガイドをざっと概観 一番大事なのが、まずはドメインガイドで試験範囲を確認することです。 かなり詳細に試験範囲が書かれています。 例えば、ドメインガイドには以下のような記載があります。 クラウド環境における一般的な脆弱性 OWASP Top10「The Top Ten Most Critical Web Application Security Risks」 素直に「一般的な脆弱性は、OWSP Top10を押さえておけばよい」、ということがわかります。 ちょっと古いですが、その分ポイントがシンプルにわかるので、このチートシートを中心に一般的な対策を覚えました。(もちろん今では別の対策が一般的なものもあるので注意) 全体的に見て、まったく知らない範囲についてチェックしました。 2. ISC2の公式アプリを1周し、間違った問題、知らない知識をチェック 問題としては自分はこの公
Trivyによるクラウドインフラ設定のセキュリティ検査【インターン参加記】 | PSYENCE:MEDIA
2023年10月23日 (月) から 12月8日 (金) にかけてRECRUIT Internship for Engineers, Data Specialists 2023に参加させていただいた櫛引淳之介です。インターン期間中は『スタディサプリENGLISH』のSREチームに配属され、社内ツール用インフラの構築や、インフラ開発環境のセキュリティに関するタスクに取り組みました。今回は、メインのタスクとして取り組んだインフラのセキュリティ検査ツールの導入について紹介します。 はじめに パブリッククラウドの設定不備は、セキュリティインシデントの原因となります。手作業による確認では見逃しが発生する可能性があるため、設定不備の検知自動化を進める動きがあります。 『スタディサプリENGLISH』ではインフラとしてAWSを使用しており、その設定にはソースコードによってインフラ構成を管理できるIaCツ
IAM 評価論理ファン必見!AWS ドキュメントにリソースベースポリシー評価論理のプリンシパルごとの違いが記載されました | DevelopersIO
IAM の評価論理、完全に理解した。 コンバンハ、IAM 評価論理おじさん(幸)です。 私としたことがしばらく気づいていなかったのですが、2021年10月5日に IAM の AWS ドキュメントで激アツな更新がされていました。 Document history for IAM - AWS Identity and Access Management (機械翻訳)リソースベースのポリシーや同一アカウント内の異なるプリンシパルタイプの影響についての情報を追加しました。 これまで、同一アカウントの IAM 評価論理でリソースベースポリシーによる Allow が最終的にどのような評価をもたらすか、「プリンシパルごとに異なる動作をする場合がある」という記載がされていました。 え……その詳細が分からないと困るのでは……という状態でしたが、ついにプリンシパルごとの挙動の違いが記載されました。 「プリンシ
海外カンファレンス Infosec Jupyterthonの紹介 - Qiita
伝えたいこと 「Infosec Jupyterthon」は今年で4年目のまだ知名度が高くない情報セキュリティ系の海外カンファレンスです。 Infosec Jupyterthonから得られる情報やどのようにして発表に至るか、発表した際の運営側とのやりとりについてお伝えします。 発表にご興味ある方は来年2025にぜひCFNを提出してみてくださいませ。 また来年以降のJupyterthonカンファレンスへのご参加もご検討いただければと思います。 Infosec Jupyterthonとは 公式サイト https://infosecjupyterthon.com/ 情報セキュリティにJupyterNotebookを使うセキュリティリサーチャーやアナリストの集まりで主にMicrosoftのリサーチャーらが主導しています。 Jupyterthonは、Jupyter notebook marathonに
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Boot2Rootをやろう / Let's play Boot2Root