クラウドの運用者に焦点を当てた、技術者向けの新しいテックイベント「Cloud Operator Days Tokyo 」。ここで株式会社カサレアルの新津氏が「これやったの誰?」をテーマに登壇。自動化したオペレーションに対して生じた疑問と学びについて紹介します。 自己紹介と今回のテーマ 新津佐内氏(以下、新津):みなさん、こんにちは。株式会社カサレアルの新津佐内と言います。本日は「これやったの誰?」というタイトルのお話をします。 「これやったの誰?」についてですが、DevOpsと合わせて自動化を進めていく中で、自動化したオペレーションに対しても生じたこの疑問に、実業務の中であらためて向き合ってみました。上記事例の詳細と現時点での我々の答えを紹介します。 まず本日お話しする内容ですが、スライドに書かれているような基盤の運用担当者のユースケースに関わるお話になります。どのようなユースケースかとい
今回の課題 以下の前回の記事の機能を実装する際に、権限まわりでエラーが発生してしまったので解決した方法を記録する。 また、一応は解決できたが、解決できた理由がイマイチ理解できていなかったため、色々調査することにした。 発生した問題を解決する 前提 使用している権限 Lambdaにはpractice-Lambda-RDStoS3-role-idais11pというロールで権限が渡されている。 S3にアクセスや操作をできるようにするための権限(s3:GetObjectやs3:DeleteObjectなど)を持ったポリシーをアタッチしている。 こちらのロールの信頼されたエンティティは以下となっている。(Lambda実行時にAssumeRoleによって、ロールが所持しているポリシーの権限をLambdaが使える) { "Version": "2012-10-17", "Statement": [ {
このページでは ここには何が表示されますか? パスロール権限とは? Passrole 権限のデモンストレーション 役割の作成 IAM ユーザーの IAM ポリシーを追加する ロールをインスタンスに関連付ける セットアップのテスト IAM サービスは、クラウド リソースへのアクセスを制御する手段として、多くのクラウド サービス プロバイダーによって提供されています。誰がこれらのリソースにアクセスするために認証および承認されるかを決定します。 AWS IAM ID は、ユーザー、グループ、およびロールで構成されます。 このガイドでは、特に IAM ロールに焦点を当てます。この IAM ID は、IAM ポリシーをアタッチできるという意味で IAM ユーザーと同じです。これらのポリシーは、この ID のアクセス許可レベルの範囲を決定します。単一のユーザーに関連付けられ、長期的な資格情報を持つ I
こんにちは、PS課のミネです。 IAMユーザーにリソース作成を許可したくない場合、CloudFormation用のIAMロールを作っておき、そのIAMロールをPassRoleする権限だけIAMユーザーには与えておけば、CloudFormation経由でだけリソースを作ることが可能です。 PassRoleするサービスをCloudFormationに絞る 以下のようにiam:PassedToServiceでPassRoleするサービスを絞ることが可能ですが、CloudFormationでスタックを流そうとするとエラーになります。 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals
今回は備忘録程度のちょっとした記事です。タイトルの通りIAMロール関連で耳にするPassRoleについて軽く触れます。 ・どうやってIAMロール作るんだ」のざっくりとした流れ ・実際にアタッチするポリシーの例 ・これらを経て作成したIAMロールの用途 を順に紹介します。 作り方 PassRoleは IAMロールを作成する ↓ IAMポリシーを作成する ↓ カスタムを作成する ↓ IAMロール作成完了 という流れで作りアタッチします ポリシーの記述例 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEqualsIfExists": { "iam:PassedToService": "cl
AWS IAMにおける,AssumeRole・PassRoleの利用についての備忘録的な記事になります. AWS IAM AssumeRole PassRole 今回やりたいこと AssumeRole 作業用のIAMユーザーを作成 IAMロールを作成 AssumeRoleの実施 PassRole PassRole可能なIAMロールを作成 PassRoleを実施 まとめ (※)S3読み取り権限を持つインスタンスプロファイルの作成 AWS IAM IAMは,各種リソースへのアクセスを安全にコントロールするために使用されるサービスです. AssumeRole AssumeRole は,AWSのリソースが,IAMロールを引き受けることを表します. PassRole PassRole は、 AWSのリソースに IAMロールを渡す(パスする)ことを表します. 今回やりたいこと 本記事では,下図の内容を
今年に入ってから、AWS Control TowerでAWSのマルチアカウントを管理する方式に変更しました。 管理方法にもんだいなく、従来のGoogle WorkspaceをIDプロバイダーとして利用する方法に比べてユーザーとロールの管理が圧倒的に楽になりました。 AWS Control TowerによりAWSPowerUserAccessのアクセス権限セットが自動的に作成されますが、IAMの参照権限が付与されていないため、一部の操作ができない状態になりました。 以前のように、AWSのIAMポリシーPowerUserAccessでIAM情報の参照ができないの設定で解決できると思いましたが、AWS SSOのアクセス権限セットでは自身で作成したポリシーが参照できませんでした。 そこで、ポリシーをアタッチするのではなく、AWS SSOにカスタムアクセス権限ポリシーを直接指定する方法に切り替えまし
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く