IAMのセキュアな利用 ココを押さえておけばOK
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
こんにちは。ポインコと暮らしている高橋です。 兄がインスタをやっているのですが、今年中にフォロワー300が目標だそうです。 ということで、今回はIAMポリシーのタグ制御についての小ネタです。 リソースタグを使用したAWSリソースへのアクセス制御 ↑このAWSドキュメントにもありますが、リソースタグを使用してAWSリソースへのアクセス制御が可能です。以前、当社ブログでもご紹介しました。 http://blog.serverworks.co.jp/tech/2018/05/07/post-64216/ リソースっていうのは具体的に? と言うと、これは以下のドキュメントに記載されていました。 IAM と連携する AWS のサービス 「ポリシーの条件でリソースタグを使用して、サービス内のリソースへのアクセスを制御できます。これを行うには、aws:ResourceTag グローバル条件キー、または
Identify Unintended Resource Access with AWS Identity and Access Management (IAM) Access Analyzer | Amazon Web Services
AWS News Blog Identify Unintended Resource Access with AWS Identity and Access Management (IAM) Access Analyzer Today I get to share my favorite kind of announcement. It’s the sort of thing that will improve security for just about everyone that builds on AWS, it can be turned on with almost no configuration, and it costs nothing to use. We’re launching a new, first-of-its-kind capability called A
IAMユーザーにAssumeRoleの権限が無くてもスイッチロールできる(ように見える)のはなぜですか? | DevelopersIO
困っていた内容 スイッチロールの信頼関係設定における AssumeRole権限について質問します。 自アカウントのIAMユーザーに、自アカウントのIAMロールにスイッチできるよう設定を行っています。 ロールの信頼関係を次のようにアカウント( root = アカウント自体 の意味になります)で指定した場合、ユーザーに「sts:AssumeRole」のアクセス権限が必要だと認識しています。 arn:aws:iam::XXXXXXXXXXXX:root 一方で、ロールの信頼関係を次のようにユーザー名で指定すると、ユーザーに「sts:AssumeRole」のアクセス権限が無くてもスイッチロールできてしまいます。 arn:aws:iam::XXXXXXXXXXXX:user/username このような振る舞いの違いが起きるのはどうしてでしょうか? ユーザー名で指定する方法でスイッチロールする場合、
【IAM警察だ!】Dome9のIAM Reportで複数アカウントのIAM設定を掌握する | DevelopersIO
中山(順)です 本日はDome9のIAM Report機能をご紹介します。 IAMを管理する者の悩み AWSを利用する組織においてIAMの管理は少数の信頼できるメンバーで行うことが多いと思います。 この「少数のメンバーで管理」という部分は組織の大きさにはあまり関係ない=大きな組織では少数のメンバーで多数のIAM Entity(IAM User/Roleなど)およびAWSアカウントを管理しているのではないかなーと思っています(多くのAWS利用組織においてはマルチアカウント戦略を採用しているのではないかと思います)。 この仮説が正しいのであれば、大きい組織ほどIAMの管理をどうやって管理するかということに興味を持っているのではないかと思います。 具体的には、IAMを長く・大規模に運用している組織ほど以下のような課題が発生しているのではないでしょうか? どれだけのIAM Entityがあるのかよ
Amazon GuardDuty に関する IAM ポリシーのアクションを用途別にまとめてみた | DevelopersIO
Amazon GuardDuty の IAM ポリシーを検討しやすいように、機能または作業別に独自のカテゴリに整理する機会がありました。そのときの内容を自身の備忘録も兼ねてブログ化しました。 Amazon GuardDuty のアクション一覧 操作したい機能、または、作業ごとに独自のカテゴリに分けて掲載します。 アクション一覧は次のユーザーガイドのページに掲載されており、API へのリンクも掲載されていることから、併用して確認することをおすすめします。 Amazon GuardDuty のアクション、リソース、および条件キー - サービス認可リファレンス GuardDuty 全体(Detector)関連 アクセスレベル アクション 概要 補足
Amazon EKS Pod Identity simplifies IAM permissions for applications on Amazon EKS clusters | Amazon Web Services
AWS News Blog Amazon EKS Pod Identity simplifies IAM permissions for applications on Amazon EKS clusters Starting today, you can use Amazon EKS Pod Identity to simplify your applications that access AWS services. This enhancement provides you with a seamless and easy to configure experience that lets you define required IAM permissions for your applications in Amazon Elastic Kubernetes Service (Am
Gluu とは? GluuはGluu, Inc(社員35+人)によって開発されているオープンソースの認証・認可管理(IAM)プロダクトです。 SSO ウェブサイトやAPIのアクセスコントロール 多要素認証 などに活用できます。 以下のような認証・認可・IDフェデレーション系のプロトコルをサポートしています。 OAuth 2.0 OpenID Connect User Managed Access 2.0 (UMA) SAML 2.0 System for Cross-domain Identity Management (SCIM) FIDO Universal 2nd Factor (U2F) FIDO 2.0 / WebAuthn Lightweight Directory Access Protocol (LDAP) Remote Authentication Dial-In Use
AWS Single Sign-On (AWS SSO) is now AWS IAM Identity Center
AWS Single Sign-On (AWS SSO) is now AWS IAM Identity Center. It is where you create, or connect, your workforce users once and centrally manage their access to multiple AWS accounts and applications. You can create user identities directly in IAM Identity Center, or you can connect your existing identity source, including Microsoft Active Directory and standards-based identity providers, such as O
弊社コンサルティング部による『AWS再入門ブログリレー 2022』の31日目のエントリ『AWS IAM』です。 コンバンハ、千葉(幸)です。 当エントリは弊社コンサルティング部による『AWS 再入門ブログリレー 2022』の31日目のエントリです。 このブログリレーの企画は、普段 AWS サービスについて最新のネタ・深い/細かいテーマを主に書き連ねてきたメンバーの手によって、 今一度初心に返って、基本的な部分を見つめ直してみよう、解説してみようというコンセプトが含まれています。 AWS をこれから学ぼう!という方にとっては文字通りの入門記事として、またすでに AWS を活用されている方にとっても AWS サービスの再発見や 2022 年のサービスアップデートのキャッチアップの場となればと考えておりますので、ぜひ最後までお付合い頂ければ幸いです。 では、さっそくいってみましょう。今日のテーマ
【AWS】IAMのスイッチロールの設定方法|コラム|クラウドソリューション|サービス|法人のお客さま|NTT東日本
1.そもそもIAMとは? AWS上のリソースへのアクセスを制御するものです。 IAMがあることで、役割に応じた権限を個別に付与できるようになるんです。 詳細は以下のコラムで書かれていますので、そちらをご参照ください。 AWS IAMによる権限設定のメリットと設定方法 2.スイッチロールとは? ロールの機能のひとつで、他アカウントからのログインを許可するロールのこと。 付与するポリシーによってさまざまな権限を与えることができます。 (管理者権限であったり、EC2限定の閲覧権限であったり) 3.スイッチロールのない世界 複数アカウントを管理している場合、アカウント間を移動する際にログイン・ログアウトを繰り返していると非常に手間がかかりますよね? 上図より開発アカウントからテストアカウントに移動する場合の作業。 ①開発アカウントからログアウト ②テストアカウント用のアカウントID、ユーザ名、パス
Techniques for writing least privilege IAM policies | Amazon Web Services
AWS Security Blog Techniques for writing least privilege IAM policies December 4, 2020: We’ve updated this post to use s3:CreateBucket to simplify the intro example, replaced figure 8 removing the IfExists reference, and clarified qualifier information in the example. In this post, I’m going to share two techniques I’ve used to write least privilege AWS Identity and Access Management (IAM) policie
開発用環境のプロジェクトで開発したぞー、さて次はステージング用のプロジェクトでテストだ!でもその前に、開発環境のIAM権限をコピーしないとね・・・という場面において、GCP Web Console から IAM の画面を開いて、目視で確認しながら手作業で権限内容をコピーしてませんか? 実はIAM権限は丸ごとエクスポート、インポートできてしまうのです!本記事では、この丸ごとエクスポート、インポートの方法をご紹介します。これを読めば面倒で間違いやすい手作業から今日で卒業です! ※IAMってなに?という方はまずこちらをご参照下さい。 1. 手作業で行うのは事故の元! システム周りの設定において手作業ほど間違いやすくアテにならない作業はありません。どんなに注意していても、設定する項目が多くなると、ズレ・選択間違い・疲労感などの理由によりミスを起こしてしまいます。項目数が多いIAM権限のコピーにおい
AWS IAM のコントロールプレーンとデータプレーンに思いを馳せてみました #devio2022 | DevelopersIO
IAM コントロールプレーンで障害が起こった時、IAM データプレーンで障害が起こった時、それぞれでどんな影響が生じるかを想像してみると楽しいです。(起こらないのがいちばん) コンバンハ、千葉(幸)です。 弊社主催のオンラインイベントDevelopersIO 2022 で どこで動いてるの?AWS IAM のコントロールプレーンとデータプレーンに思いを馳せるというタイトルで発表を行いました。 「AWS IAM はよく使うけどその裏側の仕組みは考えたことない……」そんな方にちょっとだけ世界が豊かになる情報をお伝えする。がテーマのセッションです。AWS IAM のコントロールプレーン、そしてデータプレーンについて理解を深めることを目的としています。 発表に用いた資料、そのサマリ、動画をまとめてご紹介します。 登壇資料 内容のサマリ 全体のイメージ 発表の内容を一枚絵にまとめたものが以下です。
terraform で gcpのIAMを管理してみたときのメモ terraform with gcp GCP/AWS 用語対応表 AWSからterraformを触った人が多数派と思うので、用語の意味違いが結構な落とし穴です。なので整理しときます。 AWS GCP memo User Google アカウント GCPより広い世界 Group Google Group 同上 Role ServiceAccount 厳密には異なるがだいたい Policy Role つらい、嫌がらせか? PolicyAttachment IAM_member terraform上 該当なし? Policy terraform上? まずUserとGroupについて、GCPのIAMは認証機能は持たず、基本的に認可だけやります。認証は、GCPに閉じた世界ではなく、Gooleアカウント/Groupで行っています。Gmai
そのBoundary Policy適用しても大丈夫ですか? IAM Policy SimulatorでBoundary Policyのシミュレーションが可能になりました | DevelopersIO
先日のアップデートで IAM ポリシーシミュレーター で Permissions Boundary のシミュレーションが可能になりまし。 AWS IAM Policy Simulator で、アクセス許可境界ポリシーのシミュレーションが可能に なにが嬉しいのか Permissions Boundary は、IAM ユーザや IAM ロールに対して、通常の Permissions Policy に加えて、追加オプションとして設定することが可能です。Permissions Policy にて権限が与えられていても、Permissions Boundary で付与されていない権限を行使することはできなくなります。 アクセス権限管理について「ガードレール」というキーワードをよく耳にするかと思いますが、簡単に言うならば「ここまでなら自由にしていいけど、ここからは出たらアカン」という境界を作るというこ
Cloud Billing IAM とは Cloud Billing IAMとは、Google Cloud Platform(GCP) の請求情報となる請求先アカウントに対する役割を制御します。 請求先アカウントにはクレジットカード情報等お支払い情報が設定されています。お支払い情報は、GCP の使用を始める際に設定する必要になります。 Cloud Billing IAMは、Cloud IAM の設定画面ではなく、お支払いの画面で設定します。(一部はCloud IAM で設定します。) コンシューマーが無料の@gmail.comからGCPを利用する場合は、特に意識することなく自分(ユーザー)がプロジェクトオーナーであり、請求先アカウント管理者となります。 G Suite や Google Cloud Identity を使って複数ユーザーを管理する場合、組織のアカウントの請求先アカウントを1
IAM makes it easier for you to manage permissions for AWS services accessing your resources | Amazon Web Services
AWS Security Blog IAM makes it easier for you to manage permissions for AWS services accessing your resources November 24, 2023: This post has been updated to show the differences between accessing data by way of an AWS service over public endpoints and over AWS PrivateLink (data access pattern 2). July 7, 2023: This post had been updated to use Amazon S3 Replication as an example in Data access p
【AWS IAM】AWS IAM Roles Anywhereを、自己署名のプライベートCA局で試してみる - Qiita
【AWS IAM】AWS IAM Roles Anywhereを、自己署名のプライベートCA局で試してみるAWSIAM はじめに 先日、AWS IAM Roles Anywhereなるサービスが発表されました。 下記、公式blog記事に丁寧に書いてあるので詳細は割愛しますが、X.509証明書を用いてAWS Temporary Security Credentials (i.e. AccessKeyId/SecretAccessKey/SessionTokenの組み合わせ)を取得し、これを用いてAWS S3/DynamoDB等のAWSサービスを利用できる仕組みとなります。 Extend AWS IAM roles to workloads outside of AWS with IAM Roles Anywhere | AWS Security Blog https://aws.amazon
[アップデート] Organizations環境のリソースアクセス制御がめっちゃ楽になる!IAMグローバル条件キーが追加されました(aws:SourceOrgID, aws:SourceOrgPaths) | DevelopersIO
[アップデート] Organizations環境のリソースアクセス制御がめっちゃ楽になる!IAMグローバル条件キーが追加されました(aws:SourceOrgID, aws:SourceOrgPaths) 以下アップデートを紹介します。 New organization-wide IAM condition keys to restrict AWS service-to-service requests AWS Organizations 環境において、 リソースベースポリシーの管理を簡素にする 新しい IAMグローバル条件キーが登場しました。 以下2つです。 aws:SourceOrgID (公式ドキュメントリンク) aws:SourceOrgPaths (公式ドキュメントリンク) 何が嬉しいか AWS Organizations 組織内における、 リソースベースポリシーの管理がめっちゃ
![[アップデート] Organizations環境のリソースアクセス制御がめっちゃ楽になる!IAMグローバル条件キーが追加されました(aws:SourceOrgID, aws:SourceOrgPaths) | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/0ead787fb8c991ad89bee3b2dd3ad86ba2979e63/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F08%2Faws-organizations.png)
IAM権限エラー「AccessDeniedException」や「.. not authorized to perform」に遭遇時、必要な権限を付与するためのエラーの見方を解説 | DevelopersIO
IAM権限エラー「AccessDeniedException」や「.. not authorized to perform」に遭遇時、必要な権限を付与するためのエラーの見方を解説 はじめに AWSを触っていると、CLIやコンソール上で、以下のような権限エラーに遭遇することが多々あると思います。 An error occurred (AccessDeniedException) when calling the GetAuthorizationToken operation: User: arn:aws:sts::<アカウントID>:assumed-role/cm-hirai.yuji/botocore-session-xxxxxxxxx is not authorized to perform: ecr:GetAuthorizationToken on resource: * becaus
AWSを活用する複数社が集まり、事例を共有する祭典「AWSマルチアカウント事例祭り」。ZOZOTOWNやWEARで有名なZOZOテクノロジーズから光野氏が、「マルチアカウントでのIAMユーザー把握と可視化 IAMユーザー棚卸しへの取り組み」をテーマに話しました。 組織全体のAWS運用がトークテーマ 光野達朗氏(以下、光野):「マルチアカウントでのIAMユーザー把握と可視化 IAMユーザー棚卸しへの取り組み」と題して、ZOZOテクノロジーズの光野が事例を共有します。よろしくお願いします。 まず始めに私の自己紹介をします。ZOZOテクノロジーズCTO室ならびに技術本部 SRE部 テックリードを務める光野です。ふだんは弊社AWS Organizationsの管理者を務めています。 弊社が手掛けるプロダクトについても簡単に触れます。1つ目はZOZOTOWNです。日本最大級のファッション通販サイトで
はじめに ECSには4つのIAM Roleが出てきます。それぞれAWS Management Consoleや公式ドキュメントには説明がありますが、実際の設定・挙動と突き合わせてどうなっているか分かりにくいため、整理しました。 なお、本稿では情報過多を避けるため、一旦、Service IAM role (Service-Linked Role) の説明は省いています。 3つのIAM Role ECSで稼働するコンテナの動作には、主に以下の3つのIAM Roleが関わってきます。それぞれの役割、利用されるタイミングを説明します。 Container Instance IAM Role Task Execution Role Task Role TL;DR ※ Launch Typeによる挙動の違い 参照。 解説 Container Instance IAM Role Fargateを利用しな
AWSTemplateFormatVersion: "2010-09-09" Resources: SampleQueue: Type: AWS::SQS::Queue とあるIAMユーザーのプロファイルを指定してcreate-stackを実行。 このIAMユーザーはcloudformation:*のみを許可されているものとする。 $ aws cloudformation create-stack --stack-name sample --template-body file://./sample.cf.yml --profile sample-user { "StackId": "arn:aws:cloudformation:ap-northeast-1:xxxxxx:stack/sample/b579cc80-aaf1-11ea-bafc-0a62df4444de" } マネコンから
こんにちは。AWS事業本部のKyoです。 何をやっているのかよくわからないバケットポリシーってモヤっとしますよね。 不要ならば削除してしまいたいと思いつつ、アクセス制御に関わる部分なので触る際にはちょっと慎重になってしまうものだと思います。 最近CloudFrontのオリジンとなっていたS3バケットから奇妙なバケットポリシーを見つけました。 一見、よくあるOrigin Access Identity(以下、OAI)のアクセス許可を行ったバケットポリシーかと思いきやハイライトしてあるPrincipalの部分が見慣れてない形になっています。 復習をしておくと、OAIとは特別なCloudFrontのユーザーで、これを利用することでS3 バケットから直接ではなく、CloudFront 経由でのみファイルにアクセスできるようになります。 オリジンアクセスアイデンティティを使用して Amazon S3
え、IAM ユーザーを作らなくてもマネジメントコンソールにログインできるの!? – シングルサインオン実践編 | Amazon Web Services
ユーザーは、ブラウザで ID プロバイダーが提供するポータルサイトにログインします。 ログイン試行がされると、ID プロバイダーはお客様の ID 認証基盤であるアイデンティティストアに対してユーザー認証を行います。 認証が成功した場合は、その応答として SAML アサーションを受け取ります。 ユーザーのブラウザは、AWS のサインインエンドポイントに対してリダイレクトし、受け取った SAML アサーションを送信します。 SAML アサーションを受け取ったエンドポイントは AssumeRoleWithSAML API を呼び出して一時的なセキュリティ認証情報を AWS Security Token Service(STS)にリクエストしてから、それらの認証情報を使用して AWS マネジメントコンソールのサインイン URL を作成し、ブラウザに送信します。 ブラウザは、AWS マネジメントコン
目次 1. はじめに 2. IAMとは 3. IAMの基本 a) IAMユーザー(グループ)とは b) IAMポリシーとは c) IAMロールとは 4. IAMのベストプラクティス a) 権限は最小限にする b) 多要素認証をできるだけ行う c) CloudTrailでモニタリングをする d) アクセスキーは極力使わない 5. まとめ 1. はじめに AWS IAMについて詳しく記載していきます。IAMはAWSのセキュリティを考えるうえで基本的なサービスとなっていますので、AWSを安全に利用するためには正しく理解することが重要です。 2. IAMとは IAM(Identity and Access Management:アイアム)とは、AWSのサービスで「認証」と「認可」の設定を行うことができるサービスです。「認証」「認可」を正しく設定することで、AWSの利用者や、AWSのサービスがアクセ
AWS IAM Identity Center のアクセス許可セットで IP アドレス制限を設定する | DevelopersIO
AWS IAM Identity Center のアクセス許可セットのインラインポリシーを利用して、IP アドレス制限を設定する方法を紹介します。 外部 ID プロバイダーと認証連携している場合は、外部 ID プロバイダーの機能で IP アドレス制限を実施できる場合があります。本ブログでは、cと認証連携していない場合や、外部 ID プロバイダー側で IP アドレス制限を設定できない場合などを想定して AWS IAM Identity Center で IP アドレス制限を実現してみます。 なお、外部 ID プロバイダーで IP アドレス制限を実施することで AWS アクセスポータルにアクセスする前にブロックできます。例えば、Azure AD では条件付きアクセス機能で AWS アクセスポータルへのアクセスを IP アドレスで制限できます。下記ブログでは AWS IAM Identity C
Java ベースの Kubernetes オペレーターを使用した Amazon EKS での Kubernetes RBAC と IAM の統合 | Amazon Web Services
Amazon Web Services ブログ Java ベースの Kubernetes オペレーターを使用した Amazon EKS での Kubernetes RBAC と IAM の統合 はじめに Kubernetes ネイティブアプリケーションは、Kubernetes クラスターにデプロイされ、Kubernetes API と kubectl などのクライアント側ツールの両方を使用して管理されるアプリケーションです。Kubernetes オペレーターは、etcd データベースクラスターや Prometheus モニタリング/アラートシステムなど、重要な Kubernetes アプリケーションをデプロイするための抽象概念です。このようなアプリケーションに必要なドメイン固有の知識を持つカスタムリソースとコントローラを使用して Kubernetes 機能を拡張するメカニズムを提供します。
Amazon EKS で Kubernetes サービスアカウントに IAM アクセス許可を割り当てることができるようになりました。これにより、複数の同じ場所に配置されたサービスでクラスターを実行するときに、きめ細かなポッドレベルのアクセス制御が可能になります。 これまでは、AWS で Kubernetes クラスターを実行する場合、IAM ロールはクラスターにある EC2 ノードにのみ関連付けることができ、ノードで実行されたすべてのポッドは同じ IAM ロールを継承していました。そのため、同じノードセットで異なるアクセスコントロール要件を持つポッドを実行することが容易ではありませんでした。 そこで、Amazon EKS で、Kubernetes クラスターで実行されている個別のポッドが使用できるサービスアカウントに一意の IAM ロールを割り当てる方法がサポートされました。これにより、実
こんにちは!AWS事業本部のおつまみです。 みなさん、定期的なIAMユーザー・ロールの棚卸しはしていますか? AWSでは、IAMユーザー、IAMロール等に付与するIAMポリシーについては最小特権アクセス許可を適用するというベストプラクティスがあります。 そのため、出来る限りこのベストプラクティスに沿うように設計する必要があります。 ここでは、上記ベストプラクティスに近づけるための強力な権限を与えているIAMユーザー・ロールを棚卸する方法をご紹介します。 普段使っていないIAMリソースや新規作成したIAMリソースを定期的に棚卸する方法を知りたい方はこちらのブログもご参考ください。 強力な権限について IAMポリシーの中にはAWSが作成及び管理するマネージドポリシーと呼ばれるIAMポリシーがあります。 マネージドポリシーの中でも、以下の2つは強力な権限を持っています。 Administrato
マルチアカウント環境におけるAWS IAM Access Analyzerの構成、通知方法、運用について考えてみた | DevelopersIO
それぞれのメリット・デメリットをまとめると以下のようになります。 EventBridgeルールを2つ利用する方法 メリット:運用がラク。 デメリット:IAMロールの検知結果が全リージョンで表示される。 アーカイブルールを利用する方法 メリット:EventBridgeルールが1つで済む。Security Hub上は、IAMロールの検知結果が1リージョンのみとなる。 デメリット:新リージョン対応時に管理アカウントでの再スクリプト実行が必要。 次章の「運用方法」では、EventBridgeルールを2つ利用する方法を採用した前提で解説します。 運用方法 「1. 管理アカウントのみアナライザーを作成」の運用において、以下の2点を考えます。 通知後の対応 新規アカウント発行時 通知後の対応 通知方法は「通知先がメンバーアカウントごとに異なる場合」を想定しています。 アナライザー検知時の対応の流れは以下
はじめに 現在、API Gateway + Lambda + RDSを使ってWebアプリケーションを作っています。LambdaとRDSのIAM接続というのを見つけて、Goで試してみたので備忘録です。 IAM認証で接続するメリット・デメリット メリット コールドスタート問題の解決 アプリケーションでLambdaとRDSを接続することが避けられていた理由は、とにかく接続に時間がかかるためです。Webアプリを使っていて、DB接続に10秒も20秒も待ってられないですよね。(通称VPC Lambdaの10秒の壁?) LambdaがVPC内で通信を行うにはENI生成を行う必要があり、コールドスタートとなってしまいます。しかし、IAM認証で接続することで、LambdaをVPC内に設置する必要がなくなるので、問題とされていた10秒の壁が解決できるのです! 【朗報】 Lambda関数のVPC環境でのコールド
EC2インスタンスプロファイルがSSM機能をDENYしていてもSSM Default Host Management ConfigurationのIAMロールにフォールバックします | DevelopersIO
EC2インスタンスプロファイルがSSM機能をDENYしていてもSSM Default Host Management ConfigurationのIAMロールにフォールバックします 2023年の2月にSSM Default Host Management Configuration(SSM DHMC)という機能がリリースされ、これまでEC2のインスタンスプロファイルでのみ設定可能だったSSM権限をSSMでもデフォルトとして設定可能になりました。 本機能発表時のしばたのブログ解説にもあるように、SSMのデフォルトロールは、EC2インスタンスプロファイルのフォールバックとして機能します。 このフォールバックは インスタンスプロファイルが設定されていない インスタンスプロファイルでSSM系の権限がALLOWされていない といったケースだけでなく インスタンスプロファイルでSSM系の機能がDENY
イラストで理解するIAMポリシー - Qiita
我が社では最近GCPを使っています。 初めはWEB画面でポチポチ設定していたのですが、規模が大きくなってきたのでTerraformを導入することにしました。 とりあえず、直近で必要なサービスアカウントをTerraformで作ることにします。 resource "google_service_account" "logagg" { account_id = "logagg-fluentd" display_name = "logagg-fluentd" description = "fluentd が Cloud Pub/Sub にデータを挿入するためのアカウント" } resource "google_project_iam_policy" "pubsub-publisher" { project = "my-project" role = "roles/pubsub.publisher"
2022年6月6日のリリースノートでBigQueryデータセットへのタグ付けおよびIAMポリシーによるリソースアクセスをできるようになりました(プレビュー)。 何がうれしいのか BigQueryのデータセットへのIAMによるアクセス制御は従来でも可能でしたが、設定箇所がリソース(データセット)のオプション画面なので(個人的に)分かりづらいです。また、一覧性に乏しく、どのユーザー(またはグループ)がどのデータセットに権限が付与されているのかがIAMコンソール画面では分からず、データセットの権限設定まで見に行かないと分かりませんでした[1]。タグ+IAM Conditionsによるアクセス制御によって、IAM上で設定が完結できるうえに、IPアドレスや特定の時刻のみアクセスを許可することもできます。 タグとは ここでタグについて復習です。 「あれ?リソースにつけるやつだよね?前からデータセットに
AWS Organizationsの登場などにより、AWSを使ったシステムでは複数のAWS アカウントをつかったマルチアカウント運用が増えています。 マルチアカウント運用ではIAMロールによるユーザの集中管理などが重要となってきます。 この記事ではこの集中管理の時の思わぬ注意点をご紹介します。 AWSにおけるマルチアカウントのベストプラクティス AWSのマルチアカウント運用を行う場合複数のパターンが考えられます。 各アカウントにIAMユーザを作成して個別にログインする。 IAM管理用の踏み台アカウントを作成し、各アカウントにはIAMロールを作成しスイッチロールを利用する。 AWS SSO を利用し、SSOログインを行う。 OneLoginのようなサードパーティーの認証プロバイダを利用する。 各アカウントを利用する方式は、メンバー変更があった際に、全てのAWSアカウントでユーザの追加、削除を
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【IAMポリシー】タグで制御できるリソース & アクションとは - サーバーワークスエンジニアブログ
【AWS CLI】IAM関連の情報取得編 - サーバーワークスエンジニアブログ
AWS RDS の IAM 認証と RDS Proxy
オープンソースのIAM管理プロダクト「Gluu」とは? | DevelopersIO
AWS再入門ブログリレー2022 AWS IAM編 | DevelopersIO
別プロジェクトにIAM権限のコピーをするときに手作業でやっていませんよね? | apps-gcp.com
terraform で gcp iam管理に入門してみる - 続 カッコの付け方
Google Cloud Platform Cloud Billing IAM を軽く説明 - Qiita
ユーザーも利用状況も一括把握 認証情報レポートでAWSのIAMユーザー棚卸し
【ECS】ECSに関するIAM Roleを整理する【AWS】 - Qiita
CloudFormationを扱う際のIAMの考え方 - Qiita
奇妙なバケットポリシーからチラ見するIAMの裏側 | DevelopersIO
【AWS IAMとは?】初心者にもわかりやすく解説|WafCharm|WAF自動運用サービス
Amazon EKS が Kubernetes サービスアカウントに IAM アクセス許可を割り当てるサポートを追加
強力な権限を与えているIAMユーザー・ロールをAWS CLIで棚卸してみた | DevelopersIO
【Go】Lambda + RDSをIAM認証で接続する - Qiita
Terraform x GCP で、IAM権限を全削除してしまった - Qiita
BigQueryのデータセットにタグ付けをしてIAMでアクセス制御する
PowerUserAccessだと全てのIAMロールにスイッチ出来てしまう問題の対処方法 - Qiita