【Go】Lambda + RDSをIAM認証で接続する - Qiita
はじめに 現在、API Gateway + Lambda + RDSを使ってWebアプリケーションを作っています。LambdaとRDSのIAM接続というのを見つけて、Goで試してみたので備忘録です。 IAM認証で接続するメリット・デメリット メリット コールドスタート問題の解決 アプリケーションでLambdaとRDSを接続することが避けられていた理由は、とにかく接続に時間がかかるためです。Webアプリを使っていて、DB接続に10秒も20秒も待ってられないですよね。(通称VPC Lambdaの10秒の壁?) LambdaがVPC内で通信を行うにはENI生成を行う必要があり、コールドスタートとなってしまいます。しかし、IAM認証で接続することで、LambdaをVPC内に設置する必要がなくなるので、問題とされていた10秒の壁が解決できるのです! 【朗報】 Lambda関数のVPC環境でのコールド
IAM でのセキュリティのベストプラクティス - AWS Identity and Access Management
AWS Identity and Access Management ベストプラクティスは 2022 年 7 月 14 日に更新されました。 AWS のリソースを保護するには、AWS Identity and Access Management (IAM) を使用する際の以下のベストプラクティスに従ってください。 人間のユーザーが一時的な認証情報を使用して AWS にアクセスするには、ID プロバイダーとのフェデレーションの使用が必要です 人間のユーザーとは、別名人間 ID と呼ばれ、人、管理者、デベロッパー、オペレーター、およびアプリケーションのコンシューマーを指します。人間のユーザーは AWS の環境とアプリケーションにアクセスするための ID を持っている必要があります。組織のメンバーである人間のユーザーは、ワークフォースアイデンティティとも呼ばれます。人間のユーザーには、あなたと共
IAMユーザーのMFAをAWS CLIで無効化する | DevelopersIO
AWSでは、特権 のある IAM ユーザーに対して多要素認証(MFA)を有効にして AWS リソースを保護することが推奨されています。 MFA を有効にすることで、 ユーザー名とパスワード (ユーザーが既知の第 1 要素) と、 AWS MFA デバイスからの認証コード (ユーザーが所有している第 2 要素) の入力を求められます。 MFA 運用をしていると、認証デバイスの紛失や故障により、多要素認証できないシチュエーションに陥る事があります。 このようなケースでは、何らかの方法で MFA を突破する必要があります。 今回紹介するのは、AWS IAM リソースを更新可能なアクセスキーが手元にある前提で、AWS CLI から IAM ユーザーの MFA を無効化する方法です。 ルートアカウントに対して完全にお手上げの場合は、次のブログに従い、MFAをリセットしてください。 MFAデバイス紛失
AWS CLIがAssumeRoleによる自動クレデンシャル取得とMFAに対応しました! | DevelopersIO
よく訓練されたアップル信者、都元です。本日リリースされたaws-cli 1.6.0では、大きく2つの機能が追加になっています。一つはWaiters、こちらはAWS CLIのWaitersによる待ち受け処理を実装するを御覧ください。本エントリーでは、AssumeRoleとMFAについて。 AWS CLIにおける永続キーの管理 AWS CLIで数多くのAWSアカウント(APIアクセスCredentials)を扱う場合、~/.aws/credentialsファイルに、複数のプロファイルを作成し、それぞれにアクセスキー・シークレットアクセスキーを記述します。#以降はコメントとして扱われるので、私は下記のように、AWSアカウントIDも記述しておいたりしています。 ~/.aws/credentials [foo] # 111122223333 aws_access_key_id = AKIAXXXXX
IAM JSON ポリシー要素のリファレンス - AWS Identity and Access Management
JSON ポリシードキュメントは要素で構成されます。要素は、ポリシーで使用する一般的な順番で記載されています。要素の順番は重要ではありません (たとえば、Resource 要素を Action 要素の前にもってくることなどが可能です)。ポリシーで、あらゆる Condition 要素も特定する必要はありません。JSON ポリシードキュメントの全体構造と目的については「JSON ポリシー概要」をご覧ください。 一部の JSON ポリシーの要素は相互排他的です。つまり、両方を使用するポリシーを作成することはできません。たとえば、Action と NotAction を同じポリシーステートメントで使用することはできません。相互排他的な他のペアには Principal/NotPrincipal や Resource/NotResource があります。 ポリシーに取り入れる詳細は各サービスによって異
IAMロール徹底理解 〜 AssumeRoleの正体 | DevelopersIO
さて、皆様はIAMにどのようなイメージをお持ちでしょうか。プロジェクトに関わる複数人で1つのAWSアカウントを扱う時、各メンバーに配布するアカウントを作れる機能。そして、その気になればアカウントをグループ分けし、権限を厳密に管理できる機能。といったところかと思います。 上記のユースケースで出てきた主なエンティティ(要素)はUserとGroupですね。IAMのManagement Consoleで見てみると、IAMはこれらの他にRoleやIdentity Providerというエンティティによって構成されているようだ、ということがわかります。今日はRoleにフォーカスを当てて、その実態を詳しく理解します。 IAM Role IAM Roleを使うと、先に挙げたIAMのユースケースの他に、下記のようなことが出来るようになります。 IAM roles for EC2 instancesを使ってみ
awscliのs3 syncコマンドを使ってAmazon S3にデータをバックアップ - Qiita
AWSのサービスをコンソールから操作するための、awscliというツールがあります。 このツールのコマンドの一つ、aws s3 syncを使うと、rsyncのようにファイルをS3にバックアップできます。 バックアップしたファイルはaws s3 syncで復元することも可能です。 この記事はバックアップ先となるS3のBucketを作るところから、aws s3 syncを使ってバックアップするまでの手順を説明します。 プライベートBucket作る Amazon Management ConsoleのS3管理ページから、Create Bucketを選ぶ。 好きな名前を入力してCreate Bucketは、デフォルトでは非公開になってて、Bucketを作ったユーザのみがアクセスできるようになってる。 IAMにバックアップ用ユーザ作る Amazon Management ConsoleのIAM管理ペ
IAM と AWS STSクォータ - AWS Identity and Access Management
IAM の使用状況とクォータに関するアカウントレベルの情報を取得するには、GetAccountSummary API オペレーション、または get-account-summary AWS CLI コマンドを使用します。 ポリシードキュメントには、次の Unicode 文字のみを含めることができます。水平タブ (U+0009)、ラインフィード (U+000A)、キャリッジリターン (U+000D)、および U+0020~U+00FF の範囲内の文字。 ユーザー、グループ、ロール、ポリシー、インスタンスプロファイル、サーバー証明書、およびパスの名前は、英数字で指定する必要があります。これには、プラス記号 (+)、等号 (=)、カンマ (,)、ピリオド (.)、アットマーク (@)、アンダースコア (_)、ハイフン (-) も含まれます。パス名の前後にはスラッシュ (/) を指定する必要があり
amazon S3 のアクセス制御をIAMポリシーで行うメモ - teketeke_55の日記
IAMのポリシー作成機能を使用してS3をアクセス制御する S3だけフルアクセスできる { "Statement": [ { "Effect": "Allow", "Action": "s3:*", "Resource": "*" } ] } 機能を絞る場合 { "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": "*" } ] } S3の特定のバケットのみフルアクセス(バケットとその中身のリストは表示される) { "Statement": [ { "Action": [ "s3:ListAllMyBuckets" #ここがないとmanagement consoleからバケット全体が見えなくなってしまう。 ], "Effect": "Allow", "Resource":
AWSアカウント作ったらこれだけはやっとけ!IAMユーザーとAuthyを使ったMFAで2段階認証 - Qiita
AWSアカウントを安全に運用したいなら最低限これだけはやっとけというTIPSです。 0.AWSのアカウントの種類 AWSアカウントを作ったときには、AWSのrootアカウントしか存在していません。 このままだと「メールアドレス」「パスワード」で「AWSリソースの操作が何でも」できてしまいます。 そこで管理コンソールへのログインはMFA(Multi-Factor Authentication)を利用したうえで、root以外にIAM Userというアカウントを作成し、限定した権限で利用することが強く推奨されています。 rootアカウント:AWSアカウント作成時に作成される何でもできるユーザー IAMユーザー:権限を限定して設定できるユーザー 1.Authyのセットアップ 2段階認証を導入するためにハードウェア型のMFAデバイスか、ソフトウェア型のVirtual MFAが使用可能です。今回はVi
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
