IAM Roles for Service Accounts を Terraformで手軽に体験してみる - onsd’s blog
2019年 9月 4日、EKSにIAM Roles for Service Accountsの機能が追加されました! このアップデートにより、Kubernetesのサービスアカウントと、AWSのIAMを紐付けて運用することができるようになりました。 これまでと現在 今までは Pod に対して AWS リソースに対するアクセス権限を割り当てたい場合、 Node に IAM ロールを割り当てるしかありませんでした。 この方法を使うと、Node で動く Pod に対してすべての権限が振ってくるのでセキュリティ上問題がありました。 しかし今回のアップデートで Pod に対して IAM ロールを割り当てることが可能になりました。 IAM Role for Podsを用いることで、必要なPodに必要なだけの権限を付与することができるため、最小権限の原則を守ることができます。 手軽に体験する この記事は
EKSクラスターを作成しました。この段階では作成者である自分のIAMエンティティのみがクラスターを操作できるsystem:masters権限を持っています。system:mastersって何?という方は、以下で詳しくまとめられていますのでご確認ください。 Kubernetesのsystem:mastersグループって何?- Qiita 先程「自分のIAMエンティティがsystem:masters権限を持っている」と書きましたが、厳密には、すべての権限が付与されている cluster-adminロールがあり、そしてそのロールにバインディングされているsystem:mastersグループがあり、さらにそのグループのメンバーに自分のIAMエンティティが入っている、という感じでしょうか。 今回はこの権限を他のIAMユーザーにも付与してみたいと思います。eksctlを使います。 やることは大きくわけ
[アップデート] IAMロールセッション名にユーザー名を強制できる条件 sts:RoleSessionName が使えるようになりました | DevelopersIO
[アップデート] IAMロールセッション名にユーザー名を強制できる条件 sts:RoleSessionName が使えるようになりました ちゃだいん(@chazuke4649)です。 IAMロールの信頼ポリシーにて、新たに Conditon key として sts:RoleSessionName を設定できるようになりました。 IAM ロールを使用して実行されたアクションを担当する ID を簡単に特定 それによって、 例えばIAMロールを使用するクロスアカウント元のIAMユーザーに対し、ロールセッション名にIAMユーザー名の使用を強制することができます。 今まで「CloudTrailでアクションの実行者調べようと思ったら、クロスアカウントのユーザー名が任意のロールセッション名で誰か判別つかなくて困るよ〜」って経験がある人は大喜びだと思います。 何が嬉しいの?(詳しく) まず、登場する2つの
![[アップデート] IAMロールセッション名にユーザー名を強制できる条件 sts:RoleSessionName が使えるようになりました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/be87d4dc194a448afd90d0a4b97626b36839fd3a/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Faws-iam.png)
はじめに レプリケーションの設定をしている時に、IAMロール・AWSサービスロールという2つが出てきてそれぞれのロールの違いって何?となったので色々調べて自分なりに理解したのでそれを備忘録として残す IAMロール(単に「ロール」)とは 公式の説明の通り、IAMロール(単に「ロール」)とは、一時的な権限としてユーザとかサービスに権限を付与するのに使うもの このロールは同一AWSアカウント内のユーザの権限を制御するためにあるものではなく、 AWSのサービスに対して権限を付与する 他のAWSアカウントのユーザに一時的に使ってもらうための権限を付与する WebサービスからAWSのアクセスしたりするための権限を付与する という事をするために存在する そのため、AWSアカウントに属するユーザに対して権限を制御をするのにロールをアタッチして・・・という事は行わない (AWSアカウントに属するユーザに対す
[アップデート] AWS IAM Identity CenterのAPIがユーザーとグループの作成・更新・削除に対応したのでAWS CLIで試してみた | DevelopersIO
[アップデート] AWS IAM Identity CenterのAPIがユーザーとグループの作成・更新・削除に対応したのでAWS CLIで試してみた AWS IAM Identity Center (旧 AWS Single Sign-on) にユーザーやグループの作成・更新・削除を行う API が追加されたため、AWS CLI で試してみました。 これまでは AWS IAM Identity Center 内の ID ストアを利用している場合はマネジメントコンソールからユーザーの作成等を行う必要がありましたが、今回のアップデートにより AWS CLI や SDK を用いてユーザー管理を自動化できるようになりました。 今回のアップデート内容は AWS のブログでも紹介されています。このブログではユーザー管理のためのサンプルスクリプト aws-samples/iam-identitycen
![[アップデート] AWS IAM Identity CenterのAPIがユーザーとグループの作成・更新・削除に対応したのでAWS CLIで試してみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/f32b1c7c4a707ad6990132e3b6509bb899acb167/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F07%2Faws-IAM-Identity-center.png)
3: AWS MFAの設定方法 ご利用環境の 『AWS マネジメントコンソール』 を開く 右上のご自身ユーザー名から、 【マイセキュリティ資格情報】 を選択 『IAM セキュリティ認証情報』 ページに繊維後、少し下にスクロールして 【MFAデバイスの割り当て】 を選択 『MFA デバイスの管理』 にて 【仮想 MFA デバイス】 が選択をされていることを確認して 【続行】 を選択 下記画面が表示されましたら 【QR コードの表示】 を選択 スマホにインストールしてあるアプリを開いて 【QR コードスキャン】 を選択 アプリからコンソール画面に表示されている 『QRコード』 をスキャン アプリに表示されているトークンパスコードを 2 回別々のを入力 (30 秒待つとアプリ画面に表示されいてるトークンパスコードの方が変わります) 自分の認証情報ページの『多要素認証 (MFA)』の枠内に下記のよ
[アップデート] AWS Control Tower での IAM Identity Center 利用(オプトイン/アウト)が選べるようになりました! | DevelopersIO
[アップデート] AWS Control Tower での IAM Identity Center 利用(オプトイン/アウト)が選べるようになりました! どうも、ちゃだいん(@chazuke4649)です。 AWS Control Tower での IAM Identity Center 利用(オプトイン/アウト)が選べるようになりました! AWS Control Tower increases account access configuration flexibility 参考情報 AWS IAM Identity Center self-management available for landing zone - Release notes Manage Users and Access Through AWS IAM Identity Center (successor to A
![[アップデート] AWS Control Tower での IAM Identity Center 利用(オプトイン/アウト)が選べるようになりました! | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/86be0cb0b6ad6a31b63f448f6dc9c714d28374a7/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F08%2Faws-control-tower.png)
S3バケットポリシーとIAMポリシーの関係を、同一アカウント・クロスアカウントそれぞれにおいて整理します。 はじめに S3バケットポリシーとIAMポリシーの関係 結論 検証準備 同一アカウント内アクセス クロスアカウントアクセス おわりに 参考 はじめに こんにちは、@bioerrorlogです。 S3に対するアクセス権限の制御方法としては、アクセス元のIAMポリシーとアクセス先のバケットポリシーのふたつが挙げられます。 S3に対するアクセス権限の制御 IAMポリシーとバケットポリシーのどちらで制御すればよいのか、はたまた両方で制御する必要があるのか、油断してると忘れそうになります。 今回は、このIAMポリシーとバケットポリシーでの制御方法の関係性について、同一アカウント内の場合とクロスアカウントの場合でそれぞれ整理します。 S3バケットポリシーとIAMポリシーの関係 結論 まず簡潔に結論
【Amplify】APIのAuthorization方式「AWS_IAM」を理解する#1 ~解説編~【AWS】 - Qiita
はじめに 本稿は以下の二部構成となります。 【Amplify】APIのAuthorization方式「AWS_IAM」を理解する#1 ~解説編~【AWS】 ←いまココ 【Amplify】APIのAuthorization方式「AWS_IAM」を理解する#2 ~実践編~【AWS】 ※作成中 昨今、新たなサービスの提供の際には、SPAやモバイルアプリで実現することが当たり前の状況になってきているかと思います。 AWSであればAmplifyというフレームワークを使うことで、基本的な構成をすぐに作ることができますが、そのベースとなる仕組みについての解説が少なく、少しでも想定構成を外れたものを作ろうとすると、途端に苦労します。 Amplifyで利用可能な(というより、AppSync・API Gatewayで利用可能な)Authorizationには以下の4つの方式がありますが、主に利用する方式は A
AWS IAM アイデンティティセンターで Google Workspace からの自動ユーザープロビジョニングのサポートが開始
Google Workspace を AWS IAM アイデンティティセンター (AWS Single Sign-On の後継) に一度接続すれば、IAM アイデンティティセンターで AWS アカウントとアプリケーションへのアクセスを一元管理できるようになりました。この統合により、エンドユーザーは自分の Google Workspace ID を使用してログインし、割り当てられたすべての AWS アカウントとアプリケーションにアクセスできます。この統合により、管理者は複数のアカウントにわたる AWS アクセス管理を簡素化すると同時に、エンドユーザーのサインイン後も使い慣れた Google Workspace エクスペリエンスを維持できます。IAM アイデンティティセンターと Google Workspace により、ユーザーを安全に IAM アイデンティティセンターにプロビジョニングできま
resource "google_project_iam_binding" "editor" { role = "roles/editor" // 編集者 members = [ "user:ptiringo@example.com" ] } この設定でも問題なくロールを付与することができるのだが、google_project_iam_binding の気を付けないといけないところは、指定されたメンバーに "のみ" このロールが付与されるように振る舞うというところ。つまり指定されたメンバー以外に当該のロールを保持しているアカウントがあれば、そのアカウントからロールが剥奪される動きをとる。 google_project_iam_binding を使用する場合の注意点 具体的に問題となりうるのは、Google 管理のサービスアカウントのロールの剥奪を行ってしまう場合だ。 例えば、内部の Goo
AWS KMS CMK(Customer Master Key)のキーポリシーとIAMポリシーの組み合わせのアクセス制御と、キーポリシーのみのアクセス制御を試して設定の違いをみてみた | DevelopersIO
AWS KMSのCMK(Customer Master Key)のアクセス制御方法について考えていました。キーポリシーとIAMポリシーを組み合わせたアクセス制御と、キーポリシーのみのアクセス制御を確認したかったので試しました。 本記事から得られるものはCMKのキーポリシーについて何かの参考になることがあるかもしれないくらいです。 Managing access to your AWS KMS resources - AWS Key Management Service キーポリシーとは アクセス元に設定するIAMポリシーとは別にKMSにはキーポリシーというアクセス制御の仕組みがあります。 以下はデフォルトのキーポリシーの例です。 { "Version": "2012-10-17", "Id": "key-default-1", "Statement": [ { "Sid": "Enable
AWS Snowball Edge の更新 – さらに高速なハードウェア、OpsHub GUI、IAM、および AWS Systems Manager | Amazon Web Services
Amazon Web Services ブログ AWS Snowball Edge の更新 – さらに高速なハードウェア、OpsHub GUI、IAM、および AWS Systems Manager ここ数年、私は、エッジコンピューティングおよびデータ転送デバイスにおける「スノー」ファミリーのいくつかのメンバー、つまりオリジナルの Snowball、より強力な Snowball Edge、およびエクサバイト規模の Snowmobile について話してきました。 本日は、Snowball Edge の最新の更新についてお伝えします。以下が本日私が皆さんにお伝えしたいことです。 Snowball Edge の更新 – 25% 高速で、より多くのメモリ、より多くの vCPU、100 ギガビットネットワーキングのサポートを備えた新しいストレージ最適化デバイス。 Snow Family 向け AWS
AWS Hands-on for Beginners ハンズオンはじめの一歩: AWS アカウントの作り方 & IAM 基本のキ | AWS Webinar
AWS Hands-on for Beginners ハンズオンはじめの一歩: AWS アカウントの作り方 & IAM 基本のキ “AWS Hands-on for Beginners - ハンズオンはじめの一歩” 編では、AWS アカウントの作成と IAM に関しての説明/ハンズオンを行います。「AWS をこれから利用していきたい!」という方とお話しする機会がよくあるのですが、最初の部分、つまりアカウント作成の部分で苦戦されている方がよくいらっしゃいます。このハンズオンを通して、スムーズにはじめの一歩を踏み出していただくのがこのハンズオンのひとつ目のゴールです。 また、AWS の各サービスやリソースへのアクセスを安全に管理するための AWS Identity and Access Management (IAM) というサービスがあります。こちらについても「実はよく分かっていない..」と
Amazon Q Business と AWS IAM Identity Center を利用して、プライベートでセキュアなエンタープライズ生成 AI アプリケーションを開発する | Amazon Web Services
Amazon Web Services ブログ Amazon Q Business と AWS IAM Identity Center を利用して、プライベートでセキュアなエンタープライズ生成 AI アプリケーションを開発する 本記事は、2024年4月30日に投稿されたBuild private and secure enterprise generative AI apps with Amazon Q Business and AWS IAM Identity Center を翻訳したものです。 2024 年 4 月 30 日現在、Amazon Q Business が一般提供開始 になりました。Amazon Q Business は、生成 AI を活用し、従業員の質問に答えたりタスクを完了させることで生産性の向上をサポートする対話型アシスタントです。従業員は Amazon Q Busi
10%Iam
発酵で暮らしを豊かにするオンラインマガジンの『滋賀発酵商店』さまのインタビューを受けました。滋賀は、古くからながくながくつづく発酵のプロがたくさん活動する場所。商店街を歩くように出会える、発酵のプロ=発酵商人たちと一緒に、発酵に関するたくさんの『!』をお届けしてくれるサイトです。
はじめに AWSで環境構築・検証を行う上でほぼ必須となるIAMの基本的な知識について、個人的に色々と悩まされたので備忘録です。 初めてAWSやIAMを利用する方への参考になれば嬉しいです。 前編もあります。 IAMユーザとロールの違い(続) 前回のおさらい。 まず、IAMユーザは、「AWS内のリソースへのアクセス権を作業者(人、OSアカウント、AWS外の社内サーバなど)に付与する場合に使用する」という説明でした。 つまり、作業者AのIAMユーザに「"test"というVPC内のEC2インスタンスの起動・停止」のポリシーしか付与されていない場合、作業者Aはポリシー適用範囲外の作業 ("test"VPC外のEC2インスタンスへのアクセス、同VPC内のLambdaファンクションの実行など)を 行う事ができない、という事になります。 このことから、IAMユーザに割り当てられるポリシーは、粒度にもより
IAM 認証を使用した Amazon RDS および Aurora PostgreSQL データベースアクセスの保護 | Amazon Web Services
Amazon Web Services ブログ IAM 認証を使用した Amazon RDS および Aurora PostgreSQL データベースアクセスの保護 AWS は 2 つのマネージド型 PostgreSQL オプションを提供しています。Amazon RDS for PostgreSQL と Amazon Aurora PostgreSQL です。どちらも、データベースへのアクセスを管理するための IAM 認証をサポートしています。データベースユーザーを IAM ユーザーとロールに関連付けて、1 つの場所からすべてのデータベースへのユーザーアクセスを管理できます。これにより、異なる RDS/Aurora インスタンスで権限が同期されないことによる問題を回避できます。 この記事では、IAM 認証を使用できる 2 つの一般的なシナリオについてご説明します。同じ AWS アカウントの
AWS Configのカスタムルールと自動修復でMFAを全IAMユーザーに強制する - 365歩のテック
AWS Configのカスタムルールによる自動検出と自動修復の仕組みを使って、「全IAMユーザーに自動でMFAを強制する」仕組みを試してみました。 目次 目次 目次 やりたいこと AWS Configとは AWS Config カスタムルールとは 自動修復とは 前提 使用技術 方法 やりたいこと(再掲) 作るもの ディレクトリ構成 実装 SAM(CloudFormation)用template.yml ソースコード(Python) ホワイトリストユーザ用テキストファイル デプロイシェル 解説 SAM(CloudFormation)用template.yml 上記MFA強制ポリシーの補足 ①「デタッチ」か「ポリシー編集・削除」を許可しないと、いざというときのデタッチ方法がなくなる ②間違えてこのポリシーの削除をしようとしてしまったとき、削除自体は禁止されるが、その際にこのポリシーが付いている
IAM データベースアクセス用の IAM ポリシーの作成と使用 - Amazon Relational Database Service
ユーザーまたはロールに DB インスタンスへの接続を許可するには、IAM ポリシーを作成する必要があります。その後、ポリシーをアクセス許可セットまたはロールにアタッチします。
マルチアカウントでのIAMユーザー把握と可視化 IAMユーザー棚卸しへの取り組み / Understanding and Visualizing IAM Users with Multiple Accounts
Title マルチアカウントでのIAMユーザー把握と可視化 IAMユーザー棚卸しへの取り組み Speaker 光野 達朗 Tatsuro Mitsuno (CTO室 / 技術開発本部 SRE部 テックリード) 2021/02/09 第二回 AWSマルチアカウント事例祭り https://zozotech-inc.connpass.com/event/200890/ #ama_fes02 https://www.youtube.com/watch?v=LHVifH4P4GM
ADCS(Active Directory 証明書サービス)で自動発行したクライアント証明書でIAM Roles Anywhereを使ってみた | DevelopersIO
MADグループ@大阪の岩田です。先日リリースされた新機能IAM Roles AnywhereのPKIとしてADCS(Active Directory 証明書サービス)を使うとAD内のコンピューター/ユーザーにクライアント証明書を自動発行しつつ、自動発行されたクライアント証明書を使って簡単にAWS環境にアクセスできるのでは?と思ったので、試しにやってみました。 環境 今回検証に利用した環境です OS: Windows Server2019 フォレストの機能レベル:Windows Server2016 ドメインの機能レベル:Windows Server2016 aws_signing_helper.exe: 1.0.0 AWS CLI: 2.7.13 ADCSの構築と証明書自動発行の設定 まずADDS・ADCSを構築してクライアント証明書が自動発行されるまでの設定を行います。設定手順は以下のサ
組織配下の GCP プロジェクトが増えるにつれて管理が煩雑になってきます。私の場合、異動・退職者の IAM ユーザ削除に頭を悩ませていました。私が管理しているフォルダ配下の GCP プロジェクトでは Google グループで IAM を管理していてとても楽なのですが、他部署横断型の GCP プロジェクトや開発のお手伝いといった形で他部署の GCP プロジェクトに IAM ユーザが登録されているケースもしばしばあります。 退職者が出た場合に、すべてのアカウントを削除するようにしているのですが、特定の IAM ユーザを探すのはとても至難です。GCP プロジェクトを一つずつ探していかないといけないですし、フォルダ も探さないといけないですし、経理関係に関わっている人なら請求アカウントもチェックしないといけないですし、サポートに紐付けたアカウントも見なければなりません。規模が大きくなると一つずつチ
上記の要素から構成される ARN の例は以下です。 EC2 インスタンス:arn:aws:ec2:ap-northeast-1:123456789012:instance/i-0abcdef1234567890 VPC:arn:aws:ec2:us-east-1:123456789012:vpc/vpc-0e9801d129EXAMPLE IAM ユーザー:arn:aws:iam::123456789012:user/johndoe ※ awsパーティションの IAM のリソースの ARN にはリージョンコードが含まれません AWS リソースは ARN によって全世界の中で一意に特定できる、ということを覚えておきましょう。 参考:Amazon リソースネーム (ARN) - AWS Identity and Access Management AWS リソースへのアクセスとは ここでの A
【初心者向け】AWS IAM (Identity and Access Management ) 入門|クラウドテクノロジーブログ|ソフトバンク
<span class=\"biz-smb-block\"><b>ビジネスに役立つ情報をメールでお届けします(無料) <br>\r\n </b><span class=\"biz-smb-fs-m2\">企業もしくは官公庁など、組織団体に所属している方を対象としています。</span></span></p>\r\n"}}" id="text-e0919aaf3e" class="cmp-text"> ビジネスに役立つ情報をメールでお届けします(無料) 企業もしくは官公庁など、組織団体に所属している方を対象としています。
AWS KMS S3バケットをSSE-KMSで暗号化しファイルのアップロード・ダウンロードするときにKMSへ必要なIAMポリシーを確認してみた | DevelopersIO
AWS KMS S3バケットをSSE-KMSで暗号化しファイルのアップロード・ダウンロードするときにKMSへ必要なIAMポリシーを確認してみた SSE-KMS暗号化したS3バケットに対してファイルのアップロード、ダウンロードに必要なIAMポリシーを考えていました。S3バケットへの操作権限と、KMSのキーポリシーがデフォルトの場合はSSE-KMS暗号化したS3バケットの場合はKMSへの操作権限も必要です。KMSに必要なIAMポリシーについて失敗した例を元にKMSのIAMポリシーに着目した覚書です。 書き残したかったこと ファイルのアップロードは暗号化するためにkms:Decryptと、kms:GenerateDataKeyの2つ許可が必要です。 ファイルのダウンロードは復号するためにkms:Decryptの許可が必要です。 IAMポリシーサンプル Sample IAM policy { "V
[ IAM版 ]Session Manager で特定の EC2 のみアクセスできるよう制限する | DevelopersIO
Google Cloudを使った少人数のプロジェクトで、開発メンバーごとにサービスへのアクセス権限を管理するIAM設定についてまとめておきます。 「少人数のプロジェクト」と絞ったのはGoogle Cloud IAMのドキュメントを読むと設定のパターンが色々とあって混乱しやすいと感じたからです。「とりあえず小さく共同開発をはじめる」というケースに絞って紹介します。 より良い方法をご存知の方はコメントで指摘していただけるとありがたいです。 Google CloudのIAMの考え方 Google CloudのIAMについてまず知っておきたい3つの要素があります。 ※ かいつまんだ説明なので詳しくはIAMの仕組みをどうぞ。 メンバー: 誰に権限を付与するか。個人のGoogleアカウントや、Googleグループ、組織[1]など ロール: 何の権限を付与するか。「AppEngineの管理権限とLogs
New IAMCTL tool compares multiple IAM roles and policies | Amazon Web Services
AWS Security Blog New IAMCTL tool compares multiple IAM roles and policies If you have multiple Amazon Web Services (AWS) accounts, and you have AWS Identity and Access Management (IAM) roles among those multiple accounts that are supposed to be similar, those roles can deviate over time from your intended baseline due to manual actions performed directly out-of-band called drift. As part of regul
[資料公開]「今すぐ使える!超コアサービス (IAM/S3/EC2) のアップデート紹介」で登壇しました #cmregrowth #reinvent | DevelopersIO
大阪オフィスのちゃだいんです。 本日、【12/16(月)大阪】CM re:Growth 2019 OSAKA 開催! 〜技術者による技術者のためのAWS re:Invent ふりかえり勉強会〜にて登壇しました。 その際に使用したスライドがこちらです。 登壇スライド資料 終わりに AWSは触ってナンボ!ということで、とにかく手軽に試していただけるものをご紹介しました。ぜひ実際にその手でre:Inventアップデートを実感してみてください! 以下は各章の最後にご紹介したサービス別ブログ一覧です。 IAM Access Analyzer 関連 [速報] AWS IAM Access Analyzerがリリースされました! IAM Access Analyzerと既存の機能を比較してどう使っていくか考察してみた re:Invent 2019 IAM Access Analyzerについて調べてみた
![[資料公開]「今すぐ使える!超コアサービス (IAM/S3/EC2) のアップデート紹介」で登壇しました #cmregrowth #reinvent | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/2eee616a6fe055c32d6f597f3f82644f051396b4/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F11%2F191216_regrowth2019_Osaka_1200x630.jpg)
[アップデート] VPC 外の Lambda 関数を作らせない! AWS Lambda に VPC 設定に関する IAM 条件キーが追加されました! | DevelopersIO
![[アップデート] VPC 外の Lambda 関数を作らせない! AWS Lambda に VPC 設定に関する IAM 条件キーが追加されました! | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/25fe5c76b0259f67cfbb0286bc1fd48c715f810f/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Faws-lambda.png)
【AWS IAM Identity Center 小ネタ】APIで作成したユーザーにメールでOTP(ワンタイムパスワード)を送るようにする | DevelopersIO
AWS IAM Identity Center のユーザー作成を、API(AWS CLIなど)を活用して 効率化したいケースがあると思います。 ただデフォルトの設定では、APIから作成されたユーザーは パスワードが設定されていないので、サインインできません。 これを解消するにはコンソールの [設定] > [認証] > [標準認証] > [E メールの OTP を送信] を有効化する必要があります。 Send email OTP for users created from API - AWS IAM Identity Center (successor to AWS Single Sign-On) …伝えたいことは以上ですが、これだけでは物足りないので 実際にその設定を有効化してみます。また、ユーザー作成時の挙動も確かめてみました。 設定の有効化 IAM Identity Center コ
Identify Unintended Resource Access with AWS Identity and Access Management (IAM) Access Analyzer | Amazon Web Services
AWS News Blog Identify Unintended Resource Access with AWS Identity and Access Management (IAM) Access Analyzer Today I get to share my favorite kind of announcement. It’s the sort of thing that will improve security for just about everyone that builds on AWS, it can be turned on with almost no configuration, and it costs nothing to use. We’re launching a new, first-of-its-kind capability called A
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
こんにちは。ポインコと暮らしている高橋です。 兄がインスタをやっているのですが、今年中にフォロワー300が目標だそうです。 ということで、今回はIAMポリシーのタグ制御についての小ネタです。 リソースタグを使用したAWSリソースへのアクセス制御 ↑このAWSドキュメントにもありますが、リソースタグを使用してAWSリソースへのアクセス制御が可能です。以前、当社ブログでもご紹介しました。 http://blog.serverworks.co.jp/tech/2018/05/07/post-64216/ リソースっていうのは具体的に? と言うと、これは以下のドキュメントに記載されていました。 IAM と連携する AWS のサービス 「ポリシーの条件でリソースタグを使用して、サービス内のリソースへのアクセスを制御できます。これを行うには、aws:ResourceTag グローバル条件キー、または
IAMユーザーにAssumeRoleの権限が無くてもスイッチロールできる(ように見える)のはなぜですか? | DevelopersIO
困っていた内容 スイッチロールの信頼関係設定における AssumeRole権限について質問します。 自アカウントのIAMユーザーに、自アカウントのIAMロールにスイッチできるよう設定を行っています。 ロールの信頼関係を次のようにアカウント( root = アカウント自体 の意味になります)で指定した場合、ユーザーに「sts:AssumeRole」のアクセス権限が必要だと認識しています。 arn:aws:iam::XXXXXXXXXXXX:root 一方で、ロールの信頼関係を次のようにユーザー名で指定すると、ユーザーに「sts:AssumeRole」のアクセス権限が無くてもスイッチロールできてしまいます。 arn:aws:iam::XXXXXXXXXXXX:user/username このような振る舞いの違いが起きるのはどうしてでしょうか? ユーザー名で指定する方法でスイッチロールする場合、
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
EKSでクラスター作成後に他のIAMユーザーに自分と同じ管理者権限を与える | DevelopersIO
IAMロールとAWSサービスロールの違いって何?(自分なりの理解) - Qiita
AWS IAM MFAをスマートフォンで設定する方法 | DevelopersIO
S3バケットポリシーとIAMポリシーの関係を整理する - BioErrorLog Tech Blog
google_project_iam_binding は注意して使った方がよさそう
ド底辺お嬢様でもわかるAWS IAMについて - Qiita
【入門】AWSのIAMと権限の考え方〜後編〜 - Qiita
IAM ロールを使用して実行されたアクションを担当する ID を簡単に特定
Cloud Asset APIでGCPプロジェクト、フォルダ、組織内のIAMリソースを検索する - 本日も乙
AWS入門ブログリレー2024〜AWS IAM編〜 | DevelopersIO
AWS IAMの使用していないカスタマー管理ポリシーをすべて削除する | DevelopersIO
【Google Cloud IAM】少人数チームでメンバーの権限を管理する
AWS IAMリソース パスのススメ | DevelopersIO
IAMのセキュアな利用 ココを押さえておけばOK
【IAMポリシー】タグで制御できるリソース & アクションとは - サーバーワークスエンジニアブログ