Amazon Simple Storage Service (Amazon S3) ユーザーが Amazon Simple Storage Service (Amazon S3) の特定のフォルダにしかアクセスできないように制限したいと考えています。 解決策 ユーザーとバケットが同じ AWS アカウントに属している場合は、IAM ポリシーを使用してユーザーにバケットフォルダへのアクセス権を付与します。IAM ポリシーがアクセスを許可している場合、バケットポリシーを更新する必要はありません。 注: Amazon S3 バケットポリシーが IAM ユーザーによるフォルダへのアクセスを明示的に拒否している場合は、バケットポリシーを更新する必要があります。 IAM ユーザーと S3 バケットが異なる AWS アカウントに属している場合は、IAM ポリシーとバケットポリシーの両方でアクセス権を付与し
API GatewayでAPIにIAM認証をかけて、Node.jsでSigV4署名ヘッダを作成してリクエストしてみる | DevelopersIO
API GatewayでAPIにIAM認証をかけて、Node.jsでSigV4署名ヘッダを作成してリクエストしてみる CX事業本部の佐藤です。 API GatewayでIAM認証を設定して、Node.jsでSigV4署名を実装する機会がありましたので、知見としてまとめます。 API Gatewayの認証方式 まずは、API Gatewayの認証方式をおさらいしてみます。API Gatewayでは、APIに対して以下のような認証方式が存在します。 Cognitoを使った認証 サードパーティの認証基盤(Auth0など)とLambda Authorizerを使った認証 IAM認証 この記事では、この中のIAM認証に焦点を当てていきます。 そもそもSigV4署名とは? 正式名称は、AWS Signature V4 署名で、バージョン1〜4まであります。現在はバージョン4を使うのが推奨です。IAMの
ガバメントクラウドGCAS移行に備えAWS IAM Identity Centerを理解する - サーバーワークスエンジニアブログ
こんにちは、Enterprise Cloud部 ソリューションアーキテクト1課 宮形 です。 仕事柄デジタル庁のホームぺージを見る機会が多いのですが、個人的な所感でレイアウトがシンプルで見やすいうえに先進的・未来的でカッコいいなと思っていました。文字フォントはオープンソース書体であるGoogle Noto Sans なのだそうです。Apache License 2.0 のライセンスルールのもと無償利用・再配布が認められているとのことで、弊社BLOGでも安心して表記することが出来るんですね。 www.digital.go.jp 本BLOGは 令和6年度ガバメントクラウド早期移行団体検証事業 から移行検証となった GCAS についてと、その認証統合に利用する AWS IAM Identity Center について自分の理解を整理したくまとめた内容となります。デジタル庁の資料にもキーワードとし
IAM ユーザーに対して AWS コンソールへ一時的なアクセスを制御する方法について | DevelopersIO
EC2 内の Docker コンテナで IAM ロール認証情報を利用する方法を教えてください | DevelopersIO
EC2 にアタッチした IAM ロールの認証情報を、EC2 内の Docker コンテナから利用する方法をご紹介します。 困っていた内容 EC2 インスタンスに IAM ロールをアタッチし、インスタンスプロファイル認証情報を利用していますが、EC2 内にインストールした Docker 上のコンテナアプリケーションからも IAM ロールの認証情報を利用したい要件があります。実現する方法を教えてください。 どう対応すればいいの? 対象 EC2 インスタンスの HttpPutResponseHopLimit という属性を変更することで、EC2 内の Docker コンテナ上からも IAM ロールの認証情報を取得できるようになります。 まずは対象インスタンスに対して ec2 describe-instances コマンドを実行し、現在の設定を確認します。 初期状態では HttpPutRespons
[アップデート] AWS IAM Identity Center を新規に有効化した時のデフォルト設定が MFA 登録必須になったようなので、既存環境の影響を確認してから環境を作り直してみた | DevelopersIO
いわさです。 先日 AWS IAM Identity Center に関する次のアップデートがアナウンスされました。 AWS IAM Identity Center の新規インスタンスで MFA(多要素認証)がデフォルトで有効になったようです。 IAM Identity Center ではユーザーを管理します。 ユーザーの認証設定の中に、MFA をどういう時に要求するかという設定を行うことが出来ます。 これまでのデフォルトをしっかり把握してませんでしたが、このデフォルト設定が変わるようです。 私の検証用 AWS アカウントでは認証周りがデフォルト設定状態の数ヶ月前に作成した IAM Identity Center 環境がありました。 そこで、既存の環境がどういう設定だったのか、環境を削除して作り直すとどういう設定に変わるのかを調べてみましたので紹介したいと思います。 ちなみに、IAM Id
![[アップデート] AWS IAM Identity Center を新規に有効化した時のデフォルト設定が MFA 登録必須になったようなので、既存環境の影響を確認してから環境を作り直してみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/8917a36c3f93456f07196d695fc6d7312834a1cb/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2023%2F08%2Faws-iamidentity-center.png)
Cloud SQL for MySQL での IAM データベース認証がリリース | Google Cloud 公式ブログ
※この投稿は米国時間 2021 年 7 月 10 日に、Google Cloud blog に投稿されたものの抄訳です。 企業の IT 管理者がデータシステムを設計する際、検討する数々の項目の中でもセキュリティは最も重要です。データの保管場所やユーザーのアクセス方法を定義する際に鍵となるのはセキュリティです。従来、IT 管理者はユーザーに専用のユーザー名とパスワードを個別に発行することで、SQL データベースのようなシステムへのユーザー アクセスを管理してきました。設定はシンプルですが、アクセス制御が分散するため、複雑なパスワードのポリシーやローテーション ポリシーを適用するなど、管理者が各システムのセキュリティを確保するためにかなりの時間を費やすことが避けられません。SOX 法や PCI-DSS の要件に対応する必要がある一部の企業などでは、規則を遵守するために各システムでこうした対策が
こんにちは、SCSK 網中です。 気が付けば、2021年も終わり、2022年も1カ月過ぎてしまいました。 最近はマルチアカウントの権限設計に携わることが多くなってきてまして、自身の振り返りもかねて、AWS Identity and Access Management(IAM)についての記事を投稿します。 AWS IAMって何?といった方や、AWS使い始めたばかりで何をすれば良いか分からない方向きに今回の記事を執筆していますので、是非ご一読いただけますと幸いです。 はじめに 今までブログを書こう書こうと思いつつ、内容がまとまらず、執筆できておらず… 2022年は「アウトプットの強化」との抱負を立て、月1くらいで記事の執筆していく所存です! が、今まで記事を書けなかった人間がすぐに内容の詰まった記事をかけるわけもない為、先ずは自分の得意分野の豆知識的な内容の記事を作成しようと考えた次第です!
How to monitor and query IAM resources at scale – Part 1 | Amazon Web Services
AWS Security Blog How to monitor and query IAM resources at scale – Part 1 March 7, 2023: We’ve fixed a typo in the blog post. In this two-part blog post, we’ll provide recommendations for using AWS Identity and Access Management (IAM) APIs, and we’ll share useful details on how IAM works so that you can use it more effectively. For example, you might be creating new IAM resources such as roles an
I AM me. 公的個人認証アプリ IAM<アイアム>はマイナンバーカードを使った公的個人認証(JPKI)で 本人確認と電子署名がカンタンにできるアプリです 券面事項入力補助APでマイナンバー(個人番号)の取得もラクラクに ※ IAMは自治体が導入し、市民がアプリを利用します。
[アップデート] IAM Access Analyzer によるポリシーの生成でより多くの AWS サービスが「アクションレベルの情報」に対応しました | DevelopersIO
コンバンハ、千葉(幸)です。 IAM Access Analyzer がよりきめ細やかなポリシーの生成に対応しました。 アクションレベルの情報を返してくれる AWS サービスが 16 → 58 に増加しています。 何が変わったのか IAM Access Analyzer によるポリシーの生成は 2021 年 4 月に発表された新機能です。 特定の IAM ユーザーや IAM ロールに対して、CloudTrail に記録された過去のアクティビティを基にポリシーの雛形を生成してくれるものです。最小権限を実現するのに役立ちます。 全体的な動作イメージは以下です。 発表当時のブログは以下です。併せてご参照ください。 サービスレベルとアクションレベルの情報 IAM Access Analyzer によるポリシーの生成では、ポリシーそのものを直接作成してくれるわけではありません。 まずは雛形となるポリ
![[アップデート] IAM Access Analyzer によるポリシーの生成でより多くの AWS サービスが「アクションレベルの情報」に対応しました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/be87d4dc194a448afd90d0a4b97626b36839fd3a/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Faws-iam.png)
terraformでiam roleにpolicyをアタッチする時のmanaged_policy_arnsとは - Qiita
はじめに terraformを使ってAWSのIAMを管理する際、ロールに管理ポリシーをアタッチする際にはaws_iam_role_policy_attachmentを使用していましたが、aws_iam_roleのmanaged_policy_arns引数を利用してもアタッチができるため、両者の違いは何か調べてみました。 aws_iam_role_policy_attachmentを用いたポリシーのアタッチ aws_iam_role_policy_attachmentを用いてロールにポリシーをアタッチする方法は以下の通り。 resource "aws_iam_role" "role" { name = "test-role" assume_role_policy = <<EOF { "Version": "2012-10-17", "Statement": [ { "Action": "st
こんにちは。仕事でAWSの構築し、プライベートでAWSの研究と技術書の執筆をし、Amazonで本を売っているAmazon依存症の佐々木(@dkfj)です。 なんかIAMの話をしてリクエストがあったので、IAMの「あ」というタイトルで、IAMの基本的な部分について話す機会を頂きました。運営の方々、ありがとうございます。 jawsug-bgnr.connpass.com 発表内容 10分のLTなので、後半の細かい話はすっ飛ばして、下記の3点を中心に説明しています。 認証認可とは IAMの動き IAMユーザーとIAMロール speakerdeck.com LT大会について 今回のテーマは、LT大会ということで10分・5分が沢山でした。最近、勉強会自体もあまり参加できずだったのですが、参加するといろいろな刺激があっていいですね。特に初心者支部は、初めての人に積極的に登壇を勧めているようです。登壇に
【R&D DevOps通信】データ基盤におけるGoogleグループ・IAMによるアクセス制御 - Sansan Tech Blog
フィードバックを送信 IAM Conditions の概要 コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 このページでは、Identity and Access Management(IAM)の Conditions の機能について説明します。IAM Conditions を使用すると、Google Cloud リソースに条件付きの属性ベースのアクセス制御を定義して適用できます。 IAM Conditions では、指定された条件を満たす場合にのみプリンシパルにアクセス権を付与するように設定できます。たとえば、本番環境に関する問題を解決するために、ユーザーに一時的なアクセス権を付与できます。また、会社のオフィスからリクエストを行う従業員にのみアクセス権を付与することもできます。 条件は、リソースの許可ポリシーのロール バインディングで指定します。条件が存
AWS Identity and Access Management (IAM) Access Analyzer を使った意図しないリソースアクセスの特定 | Amazon Web Services
Amazon Web Services ブログ AWS Identity and Access Management (IAM) Access Analyzer を使った意図しないリソースアクセスの特定 本日の発表をここでシェアしたいと思います。この発表は、AWS 上のビルダーの方のためのセキュリティ強化のみに留まりません。また、設定なしに利用料金不要でオンにすることが出来ます。AWS は、AWS Identity and Access Management (IAM) Access Analyzer と呼ばれる今までにない機能をリリースします。 IAM Acess Analyzer は数学的なアルゴリズムを使って AWS 上のリソースにアタッチされている アクセス制御ポリシーを分析し、他のアカウントもしくは、誰もがアクセスできるリソースが無いか見つけ出します。IAM Access Ana
CloudFormationでIAMアクセスキーの発行とSecrets Managerへの格納をしてみた | DevelopersIO
こんにちは、CX事業本部 IoT事業部の若槻です。 今回は、CloudFormationでIAMアクセスキーの発行とSecrets Managerへの格納をしてみました。 なぜCloudFormationとSecrets Managerなのか? (主観ですが)AWSのIaC機能は下記の2つです。 AWS CLoudFormation AWS CDK また、AWSのセキュアなパラメータ管理機能は主に下記の2つです。 AWS Systems Manager Parameter Store(SecureStringを使用) AWS Secrets Manager このうち、IAMアクセスキーの発行とそのクレデンシャルの格納をIaCで完結させられる方法は、調べてみたところ「CloudFormationとSecrets Managerの組み合わせのみ」だったため、今回その方法についてご紹介します。ま
aws:PrincipalArn 条件コンテキストキーで IAM グループのプリンシパル ARN を指定できるのか試してみた | DevelopersIO
コンバンハ、千葉(幸)です。 とある事情から IAM の AWS ドキュメントを上から下まで読んでいたのですが、IAM アクセスアナライザーの結果(Finding)のフィルタリングに関する記述で気になる部分を見つけました。 Principal ARN – Use this property to filter on the ARN of the principal (IAM user, role, or group) used in an aws:PrincipalArn condition key. To filter by Principal ARN, type all or part of the ARN of the IAM user, role, or group from an external AWS account reported in a finding. Filter
New for Amazon EFS – IAM Authorization and Access Points | Amazon Web Services
AWS News Blog New for Amazon EFS – IAM Authorization and Access Points When building or migrating applications, we often need to share data across multiple compute nodes. Many applications use file APIs and Amazon Elastic File System (Amazon EFS) makes it easy to use those applications on AWS, providing a scalable, fully managed Network File System (NFS) that you can access from other AWS services
EKS運用のGitLab RunnerジョブにAWSのIAMロールを適用する方法 | DevelopersIO
AWS IAM Identity Center にセッション管理機能が追加されました | DevelopersIO
いわさです。 本日のアップデートで IAM Identity Center にセッション管理機能が追加されたようです。 IAM Identity Center 上で IdP としてユーザー管理を行い、AWS のマルチアカウントを始め様々な外部サービスへのシングルサインオンを実現することが出来ます。 この独自管理するユーザーに対してセッション管理を行うための機能が追加されたという形のようです。 旧 AWS SSO のころからあまり IAM Identity Center に触る機会が少なかったのですが良い機会なのでアップデートの確認を兼ねて触ってみたいと思います。 セッション期間の設定 ひとつめは以下のようにセッション期間を設定することが出来るようになりました。 今までは固定で 8 時間だったようです。 設定メニューの認証タブに「セッション設定」が追加されています。 こちらはユーザーやグルー
【AWS IAM 小ネタ】権限を狭めてスイッチロール(AssumeRole)する | DevelopersIO
何か作業を行う際に、作業用のIAMロールへ スイッチロール(AssumeRole)するケースは多いと思います。 そのときの権限は基本的には 「そのロールにアタッチされたポリシー」です。 ですが、その権限を AssumeRole 時に狭められることを最近(今更)知りました。 「セッションポリシー」というものを使って スイッチロール先での権限を狭められるとのこと。 今回はこのセッションポリシーを適用して スイッチロール(AssumeRole)を試してみました。 まずは普通にAssumeRole まずは aws sts assume-role コマンドを使った いつもどおりのスイッチロールを紹介します。 以下シンプルなコマンドサンプルです。 ### スイッチ先のロールARN role_arn="arn:aws:iam::123456789012:role/example-dev-role" ##
Workload Identity Federation | IAM Documentation | Google Cloud
Send feedback Workload Identity Federation Stay organized with collections Save and categorize content based on your preferences. This document provides an overview of Workload Identity Federation. Using Workload Identity Federation, you can provide on-premises or multicloud workloads with access to Google Cloud resources by using federated identities instead of a service account key. You can use
こんにちは! 丸屋 正志(Maruya Masashi)です。 今日もブロックを掘ったり積み上げたり匠に壊されたりしていますか? 1, Minecraft for AWS シリーズについて Minecraft を用いて、AWS サービスを楽しく学習ができたらと思い、こちらのブログシリーズを始めました。 対象者としては、AWS 未経験or初学者、もしくはクラウドサービスを用いて Minecraft サーバーを立ててみたい人向けになります。 なお、一部 AWS を使用しなくても良い箇所もあるかと思いますが、基本的には "Minecraft for AWS" で全てを解決していきます。(一部外部サービスを使用する場合もあります) 現在、AWS サービスは約223個以上あります、私自身も全てを網羅しているわけではありませんが、 Minecraft を介して触れれる AWS サービスを全て触ってブロ
AWS 認定ソリューションアーキテクト – プロフェッショナル資格試験に向けた知識の整理 IAMポリシーサンプル - Qiita
概要 AWS 認定ソリューションアーキテクト – プロフェッショナル資格試験に向けた小ネタ集。 今回は様々なところで出題されるIAMポリシーで制限可能などの問題や設問に対し、具体的にIAMポリシーをどう書いたらいいかわからず調べてみたいくつかのIAMポリシーのサンプルです。 [2020年10月] 2回目の受験でついにプロフェッショナル試験に合格しました! 合格体験記/勉強法を以下で投稿しているので良かったら読んでください。 試験受ける予定がある方の少しでも役に立てればと思います(^^) AWS初心者がAWS 認定ソリューションアーキテクト – プロフェッショナル資格試験に合格した時の勉強法 EC2 インスタンスや EBS ボリュームの作成において、指定可能なタグを制限する方法 https://aws.amazon.com/jp/premiumsupport/knowledge-center
CloudFormationで作成したEC2から「S3の特定バケットに対してアクセス可能にする」方法の紹介です。 テンプレートファイルに「S3の特定バケットに対してアクセスを許可する」IAMロールを作成しEC2に付与しました。 4 Step テンプレートファイルに以下の4項目を追記します。 IAMロールの記述 IAMポリシーの記述 IAMインスタンスロールの記述 EC2インスタンスにIAMインスタンスロールを付与 1. IAMロールの記述 IAMユーザーと似ていますが異なる点があります。 IAMユーザーは人にアクセス権限を付与 IAMロールはAWSリソースにアクセス権限を付与 今回アクセス権限を付与したいのはEC2ですので、IAMロールを使用します。 S3AccessRole: Type: "AWS::IAM::Role" Properties: AssumeRolePolicyDocum
IAM_XQ - Twitch
いつも予備のバッテリー持ってるタイプの人間 / Backpack Battles
EC2のインスタンスプロファイルとIAMロールの実務上の違い - サーフィンするためにコード書く
毎度おなじみのクラスメソットさんがわかりやすい dev.classmethod.jp インスタンスプロファイルってなに? インスタンスプロファイルは IAM ロールのコンテナであり、 インスタンスの起動時に EC2 インスタンスにロール情報を渡すために使用できます。 参考URL http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html 書いてある通り、IAMRoleを納めるための容器であり、EC2にアタッチする時に必要なコネクターの役割をします。 引用元に書いてある通りなんですが、 インスタンスプロファイルとiamロールが 1対Nになってる EC2に紐づけられるのはIAMロールそのものじゃなくてインスタンスプロファイル サンプルで記載され
Assume AWS IAM Roles with MFA Using the AWS SDK for Go | Amazon Web Services
AWS Developer Tools Blog Assume AWS IAM Roles with MFA Using the AWS SDK for Go AWS SDK for Go v1.7.0 added the feature allowing your code to assume AWS Identity and Access Management (IAM) roles with Multi Factor Authentication (MFA). This feature allows your applications to easily support users assuming IAM roles with MFA token codes with minimal setup and configuration. IAM roles enable you to
最近、IAMをどのように管理するのがベストなのか悩んでいたので「AWS IAMのマニアックな話」を読みました。全部で126ページの薄い本ではありますが、内容はIAMについて分かりやすく丁寧に書かれているし、チュートリアルもあるので手を動かしながら理解を深められる良本だと思いました。 IAMについての説明は公式ドキュメントだったりクラスメソッドさんの記事にもまとまっていますが、どのようにIAMポリシーをデザインして運用していくのかについての知見は中々得られないので勉強になりました。 booth.pm 全部読んでみて この本を通して筆者が言いたいのは、「IAMベストプラクティスをよく読んで理解し、実践すること」だと感じました。そのために、IAMのベストプラクティスについて分かりやすく解説されているのがこの本なのかなと思います。 IAMベストプラクティス https://docs.aws.ama
AWS Control Tower が作成する AWS IAM Identity Center のアクセス許可セット、グループ、ユーザーを削除する | DevelopersIO
AWS Control Tower が作成する AWS IAM Identity Center のアクセス許可セット、グループ、ユーザーを削除する AWS Control Tower のアップデートにより AWS IAM Identity Center を自己管理できるようになりました。これにより、Control Tower 有効化時に作成されるアクセス許可セット、グループ、ユーザーを利用しないという選択ができます。そこで、本ブログでは構築済みの Control Tower 環境で、アクセス許可セット等を自動生成することを禁止する設定に変更し、有効化時に Control Tower が作成したアクセス許可セット、グループ、ユーザーを削除してみたいと思います。 アップデートの内容は次のブログで紹介されています。 試してみた 始めに Control Tower のランディングゾーン設定を変更し
特定の EC2 インスタンスのみを表示させる IAM ポリシーの権限設定は可能ですか? | DevelopersIO
困っていた内容 ある IAM ユーザーに対して特定の EC2 インスタンスのみを AWS コンソールに表示させ、その他は表示させないように設定したいのですが、IAM ポリシーでそのような許可設定は可能でしょうか? どう対応すればいいの? 残念ながら、特定の EC2 インスタンスのみをコンソールに表示/非表示にするような IAM ポリシーは設定できません。 理由として ec2:DescribeInstances 等の表示系アクションの多くは「リソースレベルのアクセス許可」に対応していないためです。 つまり「EC2 インスタンスをすべて表示させる」もしくは「すべて表示させない」のいずれかしか設定できないことになります。 試してみた 文章だけではイメージしにくいと思いますので、実際に試してみました。 タグ「Owner:HOGE」と「Owner:FUGA」が付与されたEC2インスタンスを用意し、下
Tori Hara on Twitter: "うおーーー実際の操作履歴(CloudTrail)から IAM ポリシーを作成できるように!!! いわゆる「最小権限の原則」実践がこれまで以上にやりやすくなる✨✨ / "IAM Access Analyzer makes it… https://t.co/DD8r5Qk665"
うおーーー実際の操作履歴(CloudTrail)から IAM ポリシーを作成できるように!!! いわゆる「最小権限の原則」実践がこれまで以上にやりやすくなる✨✨ / "IAM Access Analyzer makes it… https://t.co/DD8r5Qk665
Savings Plans のリリースにあわせてIAMの権限を修正した話 - サーバーワークスエンジニアブログ
CS課佐竹です。 最近、寒くなりましたね。 はじめに Savings Plansって何? Savings Plansのメリット Savings Plansを見ようと思うとエラーになる 新しいIAMの権限が必要になった Savings Plansのデメリットは? まとめ はじめに ついにリリースがされた Savings Plans について記載したいのですが、まだ検証が終わっていないので今回は小ネタです。ですので「Savings Plansって何?」と思われた方は以下のブログを(英語ですが)まずはご覧くださいませ。 New – Savings Plans for AWS Compute Services https://aws.amazon.com/jp/blogs/aws/new-savings-plans-for-aws-compute-services/ また、以下が製品ページのURL
[SageMaker Studio]IAMを使ってログインする #reinvent | DevelopersIO
![[SageMaker Studio]IAMを使ってログインする #reinvent | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/6ba8beebcc37b25dc7ff579a4dfe66d94571b792/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F12%2Freinvent2019_eyecatch.jpg)
フィードバックを送信 Workload Identity 連携 コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 このドキュメントでは、外部ワークロードのための ID 連携の概要について説明します。ID 連携を使用することで、サービス アカウント キーを使用せずに、Google Cloud リソースへのアクセス権を、オンプレミスまたはマルチクラウドのワークロードに付与できます。 ID 連携は、アマゾン ウェブ サービス(AWS)や、OpenID Connect(OIDC)をサポートする任意の ID プロバイダ(IdP)(Microsoft Azure など)、SAML 2.0 で使用できます。 ID 連携が必要な理由 Google Cloud の外部で実行されているアプリケーションは、サービス アカウント キーを使用して Google Cloud リソースに
AWS SSO 管理者が AWS アカウント利用者に対して、 IAM ロールを作成する際に指定したポリシーを Permissions Boundary に割り当てることを強制することで権限を制限する方法を紹介します。 ユーザーを一元的に管理する AWS SSO の管理者と AWS アカウントの利用者が分かれている場合に、利用者が IAM ロール 作成時に付与できる権限を制限したい場合があります。 本ブログでは、利用者に対して IAM ユーザーの作成を禁止する次のシナリオを想定し、解決策の一つとして Permissions boundary を用いて IAM ロール作成時に付与できる権限を制限する方法を紹介します。 AWS SSO 管理者がユーザーを一元的に管理する AWS SSO 管理者は利用者にユーザーを払い出し、IAM ユーザーの作成権限は与えない AWS SSO 管理者は利用者に対し
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IAM ユーザーに対し Amazon S3 バケットにある特定フォルダーへのアクセス権を付与する
【AWS IAM】グループ、ユーザー、ロール、ポリシーの関係性の理解 - Qiita
【AWS権限管理術①】AWSを始めたら、IAMは押さえるべし
AWSのマルチアカウント管理におけるIAMマネジメントで試行錯誤した話
IAM<アイアム>〜マイナンバーカードによる公的個人認証(JPKI)と個人番号提出をその手に
JAWS-UG 初心者支部でIAMの「あ」の話をしました - プログラマでありたい
〇野比太「〇〇えもん〜、複数のIAMを楽にスイッチしたいよー」 - Qiita
IAM Conditions の概要 | IAM のドキュメント | Google Cloud
【#Minecraft for AWS】IAMユーザーを作成してみた | DevelopersIO
CloudFormationでEC2にIAMロールを付与する - Qiita
「AWS IAMのマニアックな話」を読んでIAMについて勉強した - あきろぐ
Workload Identity 連携 | IAM のドキュメント | Google Cloud
AWS SSO管理者がユーザーの作成するIAMロールの権限を制限する方法 | DevelopersIO