IAMインスタンスプロファイルって?
概要 AWSリソースにIAMポリシー権限を渡すときはIAMポリシーがアタッチされているIAMロールを作成し、そのIAMロールをAWSリソースに付与することで付与されたAWSリソースは他のリソースへの操作権限が与えられます。 ですがEC2を作成する画面にIAMロールをアタッチする箇所がなく、IAMインスタンスプロファイルを設定する箇所が存在します。 AWS CLIでもパラメータにIamInstanceProfileという項目があり、Arnにもinstance-profileと記載されています。 aws ec2 describe-instances --query "Reservations[].Instances[].IamInstanceProfile.Arn" [ "arn:aws:iam::XXXXXXXXXXXX:instance-profile/Yuta20210911" ] この
Cloud9は、ブラウザのみでコードを記述できるクラウドベースのIDE(統合開発環境)です。 Cloud9ではデフォルトで、AWS Managed Temporary Credentials(以降、AMTCと呼ぶ)が有効になっています。 これが有効になっていることで、AWSマネジメントコンソールへログインしたユーザーと同等の権限をもつ一時クレデンシャルキーが自動で発行され、すぐにCloud9上のシェルでAWS CLIを利用できます。 AMTCについて詳しく知りたい方は弊社ブログをご覧ください。 AWS Cloud9環境で利用できる一時クレデンシャル『AWS Managed Temporary Credentials』について調べてみた | Developers.IO このブログの中でも触れられているのですが、AMTCを利用する場合、IAM等に対する一部のアクションが制限されています。 Cl
IAM Access Analyzerと既存の機能を比較してどう使っていくか考察してみた #reinvent | DevelopersIO
こんにちは、臼田です。 みなさん、セキュリティ運用してますか?(挨拶 re:Invent 2019でリリースされた新機能のIAM Access Analyzerは簡単に無料で便利に公開設定を確認できる機能です。ただ、既存の機能でも決して出来なかったわけではないです。みなさんご存知AWS ConfigとConfig Rulesを利用すればね。 というわけでその違いからどうやって使っていくかという考察をしていきたいと思います。 そもそもIAM Access Analyzerどんな感じ? IAM Access Analyzerについてはまず下記を見ていただくといいと思います。 [速報] AWS Identity and Access Management Access Analyzerがリリースされました! #reinvent しかしリリースの内容だけだと正直良くわからん、と思ったので私の個人的
ECS コンテナインスタンス IAMロール コンテナを動作させるホストインスタンスに適用されるIAMロールとなります。 ECSでコンテナを配置するホストインスタンスがEC2を利用している時にECSクラスターへ参加を行う際に必要となるIAMロールで、もしecs.configのような設定ファイルを配置する際にはS3へのアクセス権限をこちらのIAMロールに付与することで対応が可能かと思います。 このIAMロールに適用されるIAMポリシーとしてAmazonEC2ContainerServiceforEC2Roleは最低限必要になります。 ポリシーより、ECSでホストインスタンス情報を取得するために使用される権限がポリシーとして付与されております。 ecs:CreateCluster ecs:DeregisterContainerInstance ecs:DiscoverPollEndpoint e
Amazon Web Services ブログ 詳解: IAM Roles for Service Accounts この記事は Diving into IAM Roles for Service Accounts (記事公開日: 2022 年 2 月 28 日) を翻訳したものです。 AWS 上で Kubernetes ソリューションを設計するときにアーキテクトが直面するよくある課題は、コンテナ化したワークロードに対して、AWS サービスやリソースへのアクセス許可をどのように付与するのかという課題です。AWS Identity and Access Management (IAM) は、最小権限の原則を保証するために、誰がどの AWS サービスやリソースにアクセスできるかを指定できるきめ細かいアクセス制御を提供します。しかしながら、ワークロードが Kubernetes で実行されている場
AWS または Azure との Workload Identity 連携を構成する | IAM のドキュメント | Google Cloud
フィードバックを送信 AWS または Azure との Workload Identity 連携を構成する コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 このガイドでは、Workload Identity 連携を使用して、Google Cloud で AWS または Azure のワークロードの認証をサービス アカウント キーなしで実行できるようにする方法を説明します。 Workload Identity 連携を使用することで、AWS EC2 と Azure で実行されるワークロードは、環境固有の認証情報を有効期間の短い Google Cloud Security Token Service トークンと交換できます。 環境固有の認証情報は次のとおりです。 AWS EC2 インスタンスは、インスタンス プロファイルを使用して一時的な認証情報をリクエストでき
[アップデート] IAMロールによるアクション実行者を特定・制御できる、”ソースID属性”(Source identity attribute)が使えるようになりました! | DevelopersIO
![[アップデート] IAMロールによるアクション実行者を特定・制御できる、”ソースID属性”(Source identity attribute)が使えるようになりました! | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/be87d4dc194a448afd90d0a4b97626b36839fd3a/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Faws-iam.png)
[アップデート] “ついに” IAM ユーザーのデフォルトパスワードポリシーが強化されました | DevelopersIO
ちゃだいん(@chazuke4649)です。 先日のアップデートで、"ついに"IAM ユーザーのデフォルトパスワードポリシーが強化されました。 AWS Identity and Access Management (IAM) now introduces new policy defaults for passwords of IAM users. This policy improves the default security for all AWS customers by ensuring customers set stronger passwords for IAM users in their AWS accounts. AWS Identity and Access Management introduces new policy defaults for IAM user
S3 へのアクセスを TLS 1.2 に限定! 新しく追加された IAM 条件キー s3:TlsVersion を使ってみた | DevelopersIO
S3 へのアクセスを TLS 1.2 に限定! 新しく追加された IAM 条件キー s3:TlsVersion を使ってみた コンバンハ、千葉(幸)です。 2020年12月のアップデートで、以下の Amazon S3 の IAM 条件キーが追加されました。 s3:ResourceAccount s3:TLSVersion 前者は使い方がパッと分かったのですが、後者はいまいち分からず……。 手探りで確認した結果、大まかに使い方が分かりましたので、ご紹介します。 まとめ "s3:TlsVersion": "1.x"の書式で使用する 以下クライアントによる S3 アクセスは基本的に TLS 1.2 で行われる AWS マネジメントコンソール AWS CLI AWS サービス AWS 製エージェント 条件キーの想定される主な用途は S3 アクセスを TLS 1.2 に限定すること 「 TLS 1.
IAMFinder: Open Source Tool to Identify Information Leaked from AWS IAM Reconnaissance
IAMFinder: Open Source Tool to Identify Information Leaked from AWS IAM Reconnaissance This post is also available in: 日本語 (Japanese) Executive Summary In a recent blog, “Information Leakage in AWS Resource-Based Policy APIs,” Unit 42 researchers disclosed a class of Amazon Web Services (AWS) APIs that can be abused to find existing users and Identity and Access Management (IAM) roles in arbitrary
AWS IAM の知っておくべき話と知らなくてもいい話 でチョークトークスタイルで登壇しました #devio2023 | DevelopersIO
【小ネタ】GitHub Actions用のIAMロールをAWSマネジメントコンソールから作成する際の注意点 | DevelopersIO
GitHub Actionsで利用するIAMロールの信頼関係には、Conditionとして "token.actions.githubusercontent.com:sub" で組織とリポジトリとジョブ環境名を指定する必要があります。 コンサル部のとばち(@toda_kk)です。 先月、GitHub ActionsがOpenID Connect(OIDC)に対応したことが発表されました。 実はそれ以前から対応は進んでおり、公式なアナウンスはないものの、ちらほらと「試してみた」系の記事が上がっていました。 具体的には、AWS IAMのIDプロバイダーを利用することで、GitHub ActionsにAWSユーザーにアクセスキーなど永続的なクレデンシャルを渡すことなく、IAMロールをベースとした権限管理によってAWSリソースの操作ができるようになる、という内容です。 2021年現在、GitHub
ecspressoでデプロイ等(register/run/deploy/rollback)を行う際のIAMポリシー例
AWS Lambda 関数に適切に AWS IAM のポリシーを設定しよう!- 変化を求めるデベロッパーを応援するウェブマガジン | AWS
builders.flash 読者の皆さん!こんにちは! AWS のシニアテクニカルトレーナー 野邊(のべ)です。 今回は AWS Lambda 関数に設定するポリシーについて初学者の方向けに解説していきます! なお、AWS Lambda の初学者の方は、この記事をご覧になる前に builders.flash の 「AWS Lambda 関数の実行の仕組みを知ろう!」 の記事を読んで頂くことをお薦めします! また、今回の記事のタイトルの中で「AWS Lambda 関数」という言葉を使ってますが、記事の本文では用語として次のように使っていきますので、あらかじめ確認しておいて下さい! AWS Lambda サーバーを意識せずにコードを実行できる AWS のサーバーレスコンピューティングサービス Lambda 関数 AWS Lambda によって管理、実行されるアプリケーションのコードとその設定
IAM Roles AnywhereをAWS Private CAと連携させ、AWS外から一時クレデンシャルを取得してみた | DevelopersIO
IAM Roles AnywhereをAWS Private CAと連携させ、AWS外から一時クレデンシャルを取得してみた AWS IAM Roles AnywhereはAWS外のワークロードに対して一時的なAWSクレデンシャルを払い出すサービスです。 公開鍵基盤(PKI)の上に成り立っており、AWS IAM Roles Anywhereのトラストアンカーに登録した認証局(CA)が発行したX.509 証明書を元に、IAMロールを引き受ける一時的なクレデンシャルが払い出されます。 認証局がプラガブルなため、弊社ブログでも過去に様々なパターンが試されています。 Hashicorp Vault ADCS(Active Directory 証明書サービス) OpenSSL 一番シームレスに連携できるAWS Private Certificate Authority(以下AWS Private CA
スイッチロール先の本番・開発アカウントにてIAMロール、ポリシー、パーミッションバウンダリーを作ってみた | DevelopersIO
スイッチロール先の本番・開発アカウントにてIAMロール、ポリシー、パーミッションバウンダリーを作ってみた AWS IAM の機能の中でも割とマイナーなPermissions Boundary(パーミッションバウンダリー)。今回はこれを活用してみました。 ちゃだいん(@chazuke4649)です。 今日はスイッチロールを前提とした本番・開発アカウント用のIAMロール・ポリシー・パーミッションバウンダリーを考えてみたのでご紹介します。 今回ブログの発展版もありますので、よければ以下続編ブログもご覧ください。 どういうこと? 構成図 解説 AWS環境の中に複数の環境を持つ場合、複数のアカウントに分けて運用することで一定のメリットを享受することができます。詳しくはこちらをご覧ください。今回は上図の様に、中央管理用のAWSアカウントにIAMユーザーを一元管理し、実際に構築・開発・運用する環境はAW
AWSのアカウント作成とIAMの基本を体験できる無料ハンズオン(日本語)を受講しました | DevelopersIO
AWS認定トレーニング講師の平野@おんせん県おおいたです。 みんな、温泉入ってますかー? (挨拶 こんな方にオススメ これからAWSを勉強してみようと思っている方にオススメです。 このハンズオンでは、最初の一歩として、AWSのアカウント作成を行います。 自分のアカウントを持つことで、他のオンラインビデオや勉強会に参加して、様々なハンズオンにチャレンジできます。 ハンズオンの概要 準備するもの メールアドレス 電話番号(携帯電話推奨) クレジットカード or デビッドカード (利用した分のみ課金&新規登録向け無料利用枠もあります) 利用するサービス AWS Identity and Access Management (IAM) : 認証認可(ユーザー管理、アクセス管理)を行うサービスです 概要 まず、AWSアカウントを登録します。 次に、IAMユーザーを作成します(通常はAWSアカウントを
re:Invent 2019 IAM Access Analyzerについて調べてみた #reinvent | DevelopersIO
MFA 強制ポリシーを適用した IAM ユーザーで初回ログイン時のパスワード変更(リセット)ができない時の対処法 | DevelopersIO
コンバンハ、千葉(幸)です。 今回想定しているのは以下のようなケースです。 IAM グループに MFA 強制ポリシーをアタッチしている 新規の IAM ユーザーを IAM グループに所属させる形で作成する IAM ユーザーには初回サインイン時のパスワードリセットを求める設定とする 当該ユーザーがパスワードリセットを試みた際にエラーが発生する 回避策をご紹介します。 先にまとめ 初回ログイン時のパスワード変更はiam:ChangePasswordというアクションを呼び出している 公式ドキュメントのポリシーを参考にする際は必要に応じてカスタマイズが必要 最低限iam:ChangePasswordを禁止対象から除外することで対応する iam:ChangePasswordを明示的に Allow する必要があるかどうかはアカウントのポリシーに依存する MFA 強制ポリシーとは 公式にそういった名称の
S3の特定のバケットおよびキーのファイルの更新のみ可能なIAMユーザー(コンソールアクセスのみ)を作成してみた | DevelopersIO
こんにちは、CX事業本部の若槻です。 今回は、S3の特定のバケットおよびキー(プレフィックスおよびファイル名)のファイルの更新のみ可能なIAMユーザー(コンソールアクセスのみ)を作成してみました。 概要 本記事では次の手順を紹介します。 管理者による操作 IAMユーザーの作成 ユーザーによる操作 AWSコンソールからサインインしてS3にアクセスし、特定のバケット、プレフィックス(フォルダ)にある特定のファイルの更新を行う 管理者による操作 IAMユーザーの作成 my-bucketというS3バケット内のfolder1というフォルダ配下のdata.csvという名前のファイルの更新のみ可能なIAMユーザーを作成します。 まず、IAMユーザーにアタッチするポリシーをを定義したファイルを作成します。 % touch policy.json { "Version": "2012-10-17", "St
既存 AWS IAM Identity Center ユーザーを Terraformにインポートする【import ブロックで超簡単】 | DevelopersIO
既存 AWS IAM Identity Center ユーザーを Terraformにインポートする【import ブロックで超簡単】 どうも、ちゃだいん(@chazuke4649)です。 Terraform v1.5にて新たに import ブロックと既存リソースのHCL生成が追加され、config-driven import (手動ではなく設定ファイルが起点となるインポート) が可能となりました。 背景 今まで既存のAWSリソースをTerraformにインポートする方法といえば、 terraform import コマンドによる地道な作業 Terraformer ツール頼み でどちらも厳しい状況でした。 そんな中、v1.5では救世主とも呼べる新たな選択肢が誕生しました。 今回は試しに、マネコン あるいは CLI で作成していた既存の AWS IAM Identity Center ユー
IAM Identity Centerを使って複数アカウント管理する。(その1:IAM Identity Centerでのログイン) - Qiita
IAM Identity Centerを使って複数アカウント管理する。(その1:IAM Identity Centerでのログイン)AWSSSOaws-ssoIAM_Identity_Center はじめに 仕事で初めてIAM Identity Centerを使う機会があり、使ってみたらマルチアカウントの管理が想像以上にやりやすかったので、紹介しようと思います。 【次】IAM Identity Centerを使って複数アカウント管理する。(その2:CLIでのアクセスと管理の委任) IAM Identity Centerとは AWS Single Sign-onの後継サービスとなり、AWS Organizationsで複数アカウントを運用している環境で各ユーザを集約管理し、各アカウントへのログインを簡単に行えるようにするためのサービスです。 前提として、AWS Organizationsを使
AWS を使うことが多かった自分が GCP をさわったところ、Cloud IAM に登場する用語が AWS の IAM と違うことで非常に混乱しました。 そこで、過去に AWS の IAM1 や Kubernetes の RBAC2 についてまとめたのと同じように、GCP の Cloud IAM に登場する基本概念をまとめました。 ※ 基本を理解するための記事なので、厳密ではない表現をしている箇所があります ※ Cloud IAM 初心者のため、間違いがあるかもしれません。見つけた方はご指摘ください Cloud IAM に登場する基本概念の全体像 整理した概念の全体像は以下の通りです。 AWS と比べながら順に説明していきます。 各概念の説明 メンバー GCP では IAM によって権限を付与できる対象を「メンバー」と言います。 「メンバー」には、 Google アカウント サービスアカウ
AWS IAMがやっぱりややこしい。
最初に 今回、AWSの各サービス群を振り返った際に自身アウトプット先とその対象をどんな層に対して向けるべきなのかを意識してみようと思ったが、Zennというサービスを使ってみようという個人的な意図と、そのサービスの理解を自分の言葉で文書化して残すことにした。 学んだ自身なりの所感や解釈によるものと言うことで、至らぬ点はどうかご容赦いただいた上でこちらを読んでいけると幸いです。 IAM(Identity and Access Management)とは AWSのサービスの一つであり、「アイアム」と呼ぶ。(一部別称もあるようです) これは「認証」と「認可」の設定を行うことができるサービスで、「認証」「認可」を正しく設定することで、AWSの利用者や、AWSのサービスがアクセスできる範囲を制御することができる。 ここでいう「利用者」や「サービス」とは後述の「プリンシパル」を指すと解釈している。 IA
Enhance programmatic access for IAM users using a YubiKey for multi-factor authentication | Amazon Web Services
AWS Security Blog Enhance programmatic access for IAM users using a YubiKey for multi-factor authentication Organizations are increasingly providing access to corporate resources from employee laptops and are required to apply the correct permissions to these computing devices to make sure that secrets and sensitive data are adequately protected. The combination of Amazon Web Services (AWS) long-t
はじめに CX事業本部IoT事業部の佐藤智樹です。 AWSのルートユーザを使うなと良く言われますが、IAMユーザを作って作業すると請求情報が見れませんでした。料金アラートは設定していても気になった時請求情報が頻繁に見れなくて困っている人がもしかしたらいるのではと思ったので記事にしました。参考になれば幸いです。 前提として、以下のドキュメントにあるような請求情報へのアクセス権限が既にIAMユーザへ付与されていることを条件とします。 公式ドキュメントの記載 以下のドキュメントを辿っていくことで確認できました。現時点でどう操作すれば設定できるのか分かりやすくするため次章で画面キャプチャを交えて紹介します。 実際のやり方 まずルートユーザでログインします。ログイン後画面右上のユーザ名の部分をクリックして「マイアカウント」のリンクへ飛びます。 遷移した画面の下の方に「IAM ユーザー/ロールによる請
![[小ネタ]AWSアカウントの請求情報をIAMユーザに見せる方法 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/3cd8e20259a86e231ed6daa151fd1bc59fa63c4a/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F11%2Faws-eyecatch.png)
OktaとAWSの連携方法ってAWS IAM Identity Center方式とAWS Account Federation方式どっちがいいのか?
こんにちは!たつみんです! AWSマネジメントコンソールへのSSOをOktaで実施しようとBrowse App CatalogからAWSと検索するとSAMLに対応したAWS IAM Identity CenterとAWS Account Federationの2つが確認できます。 この記事ではそれぞれの設定方法に触れながら最終的にどちらがおすすめか考えてみました。 3行まとめ AWS Account Federation方式は煩雑な印象だよ 公式CLIツール AWS CLI v2が使えるのはAWS IAM Identity Center方式だよ 特別な理由がない限りAWS IAM Identity Center方式がおすすめだよ AWS IAM Identity Center方式 特徴 OktaではSSOとユーザーとグループのProvisioningを行う AWS側でProvisionin
AWS IAM Userアクセスキーのローテーションを自動化しました - Money Forward Developers Blog
こんにちは。サービス基盤本部でPlatform SREとして全社共通のインフラ基盤を開発している @grezarjp というものです。私の所属しているチームが何をしているかについてはこちらの記事が詳しいです。 今回は、CI/CDのプラットフォームやTerraformなどで利用しているAWS IAM Userアクセスキーのキーローテーションを自動化して定期的なキーローテーションによるより安全なアクセスキーの運用を達成したのでご紹介したいと思います。 なお、この記事内でアクセスキーという用語を用いた場合は特に言及がない限りAWS IAM Userのアクセスキーを指すものとします。 大前提、アクセスキーは可能な限り持つべきでない 改めて言及する必要もないと思いますが、大前提として永続的なシークレットであるアクセスキーは漏洩のリスクやexpireのオペレーションなどを考えると可能な限り利用を避ける
IAMアクセスキーを90日以内にローテーションされている状態を維持するまでの道のり - Adwaysエンジニアブログ
こんにちは。かわばたです。冬の寒さも本番を迎え、12月下旬という時期的に身も心も冷え冷えとしておりますが皆様いかがお過ごしでしょうか。私が所属しているチームでは、AWSセキュリティガードレールの実装と運用を担当しています。今回はセキュリティガードレールの IAMアクセスキーが90日以内にローテーションされている状態 を維持するため、予防的ガードレールを設置したときの取り組みについての内容となります。 ※本記事のIAMアクセスキーとはユーザー個人が所有するIAMアクセスキーとなります(システム側で使用される IAMアクセスキーではありません) AWSセキュリティガードレールについて セキュリティガードレールの構成 AWS基礎セキュリティベストプラクティスのIAM.3について セキュリティガードレールの種類 予防的ガードレール 発見的ガードレール セキュリティガードレール敷設の道のり 運用開始
IAM サービスに対する権限を設定するポリシー作成において、「アクセス権限の管理」に関するアクションの検討で混乱することがあったため、自分用メモも兼ねてアクションの早見表を作成しました。 IAM アクセス権限の管理アクションの早見表 2022 年 2 月 6 日時点のアクションです。 IAM グループに対するアクション アクション名 概要 ガイド
Amazon SageMaker ドメインのアクセス認証がAWS IAM Identity Centerの場合、ユーザー同士でファイル共有する方法2選 | DevelopersIO
Amazon SageMaker ドメインのアクセス認証がAWS IAM Identity Centerの場合、ユーザー同士でファイル共有する方法2選 はじめに Amazon SageMaker ドメイン(以降、ドメイン)へのアクセスの認証方法は、以下の2つがあります IAMユーザー等で、AWSマネジメントコンソールを使用してドメインにアクセスする AWS IAM Identity Center経由で、ブックマークされた URL を使用してドメインにアクセスする 前者の場合、ドメイン内のユーザー(ユーザプロファイル)同士でファイル共有する場合、共有スペース機能で簡単にファイル共有が可能です。 共有スペース機能とは、SageMaker Studioのユーザー同士が共同で作業を行うことのできるSageMaker Studio環境です。 下記記事が参考になります SageMaker Studio
Announcing AWS IAM Identity Center APIs for visibility into workforce access to AWS
Announcing List Assignment APIs for AWS IAM Identity Center, enabling you to view who has access to what AWS accounts and applications. With these APIs, you can list all AWS accounts and applications that a specific user or group can access. You can use the API response in workflows to generate periodic reports and audit your employee access to AWS, saving time and effort you previously spent on m
【GCP】Cloud IAMの概念を整理してみた
はじめに IAMを触る時、「ロールとポリシーの関係ってなんだっけ?」、「サービスアカウントってなんだっけ?」と毎回調べて雰囲気のまま使っていました。 今回は、再度勉強しなおしてCloud IAMについて纏めてみました。 Cloud IAMとは Cloud IAMとは「誰(ID)」が「どのリソースに対して」「どのようなアクセス権(ロール)」を持つかを定義することにより、アクセス制御を管理できます。 例えば、下記のようなこと設定をすることがで、適切なアクセル管理をすることが可能です。 「開発者A」に「Cloud FunctionsとPub Sub」の「閲覧と編集」を行える 「Cloud Functionsの関数A」は「Cloud Strage」の「作成」のみを行える Cloud IAMの概念 公式ドキュメンに正しく詳細な説明があるので、こちらも参照いただければです。 ここでは自分が理解したもの
IAM Policy ViewOnlyAccessとReadOnlyAccessの違い | DevelopersIO
This policy grants permissions to view resources and basic metadata across all AWS services. Provides read-only access to AWS services and resources. ViewOnlyAccessが「リソースと基本的なメタデータを閲覧するための権限」、ReadOnlyAccessが「サービスとリソースへの読み込み権限」という感じですが、これだけだと違いがよくわからないですね… Policyの中身の違い 「よーし、diffコマンドで両者のポリシーの違いを一目瞭然にしてやるぞー」と息巻いてみたのですが、差分がありすぎて私のdiff力ではわかりやすい結果を出力できませんでしたすみません。代わりに、いくつかのサービスに絞って権限の違いを調査し、両ポリシーの違いを考察し
IAM ポリシーを使用して Systems Manager パラメータへのアクセスを制限する - AWS Systems Manager
AWS Identity and Access Management (IAM) を使用して、AWS Systems Manager パラメータへのアクセスを制限します。具体的には、次の API オペレーションへのアクセスを制限する IAM ポリシーを作成します。 IAM ポリシーを使用して Systems Manager パラメータへのアクセスを制限する場合は、制限付き IAM ポリシーを作成して使用することをお勧めします。たとえば、以下のポリシーでは、ユーザーは限られた一連のリソースに対して DescribeParameters および GetParameters API オペレーションを呼び出すことができます。つまり、prod-* で始まるすべてのパラメータに関する情報を取得し、使用することができます。 { "Version": "2012-10-17", "Statement":
はじめに こんにちは。IT 基盤部の星野です。 DeNA のエンターテインメント領域のサービスを中心に、多数のサービスのインフラを担当するチームをリードしています。最近では、全社的なクラウドセキュリティに関する調査・検討・導入も行っています。 本稿の内容とは関係ありませんが 2020年3月開催のTechCon2020で登壇 致します。既に registration も始まっておりますので、是非会場にお越しください。 さて、以前髙橋が DeNA の AWS アカウント管理とセキュリティ監査自動化 で、DeNAにおけるAWSセキュリティの取り組みについて触れ、人によるAWSマネジメントコンソールへのアクセスの安全な管理方法についてご紹介しました。今回は人によるAWSマネジメントコンソールへのアクセスについてではなく、システムによるAWSサービスへのアクセスの安全な管理方法について、DeNAで検
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Cloud9からIAM Roleの権限でAWS CLIを実行する | DevelopersIO
ECS(EC2)で利用するIAMロールを整理する | DevelopersIO
詳解: IAM Roles for Service Accounts | Amazon Web Services
スイッチ用のIAMロール作成手順 | DevelopersIO
IAMロールをEC2インスタンスに設定をしてみた | DevelopersIO
GCPのIAMを使う上で理解しておくこと - Carpe Diem
GCP の Cloud IAM に登場する基本概念まとめ + AWS IAM との対応 - Qiita
[小ネタ]AWSアカウントの請求情報をIAMユーザに見せる方法 | DevelopersIO
Firebaseをチーム開発で利用する際のIAM設計の考え方 | ymcloud blog
IAMサービスにおけるアクセス権限の管理アクション早見表 | DevelopersIO
AWS IAMの安全な管理方法 | BLOG - DeNA Engineering