AWS Security Blog How to use Google Workspace as an external identity provider for AWS IAM Identity Center January 25, 2024: This post is no longer current. Please see this tutorial for the updated info. March 21, 2023: We modified the description of a permission set in the Introduction. March 8, 2023: We updated the post to reflect some name changes (G Suite is now Google Workspace; AWS Single Si
AWS活用のガードレール「IAM」の「Permissions Boundary」でアクセス境界を設定するには:AWSチートシート 「Amazon Web Services」(AWS)活用における便利な小技を簡潔に紹介する連載「AWSチートシート」。今回は、「AWS IAM」の「Permissions Boundary」を利用したアクセス境界の設定について。 「Amazon Web Services」(AWS)活用における便利な小技を簡潔に紹介する連載「AWSチートシート」。 利用者によるAWSリソースに対するアクセスと認証を管理する「AWS Identity and Access Management」(IAM)は、AWSを使うなら最初に学習、利用するサービスの一つといっていいほど基本的なサービスです。 多くの人にとっては「IAMユーザー」「IAMグループ」「IAMロール」「IAMポリシー
IAM Identity Center 環境で各 AWS アカウントへのログインを一時的に許可する簡易承認ワークフローを作ってみた IAM Identity Center 環境で各 AWS アカウントへのログインを一時的に許可する簡易承認ワークフローの作ってみました。 承認されると対象のアカウントにログイン出来るようになる仕組みです。 1. はじめに お疲れさまです。とーちです。 AWS アカウントへのログインを承認制にして、一時的にログインを許可したいという需要はそれなりにあるんじゃないかと思います。 以下のブログで、IAM ユーザに対して一時的に特権を付与するワークフローが紹介されていますが、AWS Organizations 及び IAM Identity Center を使っている環境下で実現するとしたらどうなるかを考えてみたのでご紹介したいと思います。 システム要件 以下のような
OpenSSLのプライベート認証局の出番では? こんにちは、のんピ(@non____97)です。 皆さんはIAM Roles Anywhereを使いたいなと思ったことはありますか? 私はあります。 先人が既にアクセスキーを発行せずにAWS CLIを叩けることを検証しています。 せっかくなので、OpenSSLで作った自己署名証明書でもIAM Roles Anywhereを使えるのか検証してみます。 いきなりまとめ OpenSSLで作った自己署名証明書でもIAM Roles Anywhereは使える 証明書の秘密鍵はパスフレーズを解除しておく必要がある IAM Roles Anywhereで使用する証明書の要件はよく確認しよう Trust model in AWS Identity and Access Management Roles Anywhere - IAM Roles Anywher
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 AWS CLI を使用するように設定します AWS IAM Identity Center AWS IAM Identity Center (IAM Identity Center) を使用してユーザーを認証し、ファイルから run AWS Command Line Interface (AWS CLI) コマンドを実行するための認証情報を取得するには、主に 2 つの方法があります。config (推奨) SSO トークンプロバイダー設定。SSO トークンプロバイダの設定では、 AWS SDK またはツールが更新された認証トークンを自動的に取得できます。 更新不可のレガシー設定。更新不可のレガシー設定を使用する場合、トークンは定期的に期限切れになるため、手動で更新す
https://aws.amazon.com/jp/blogs/news/introducing-fine-grained-iam-roles-service-accounts/ 最近EKSにServiceAccountに紐付いたrole arnでIAM権限を付与する仕組みが実装されました 非の打ち所のないような公式ドキュメントで、eksctlを使う場合は上のドキュメントを読んでいただければ完璧に理解できると思います、この記事ではeksctlではなくterraformを使って IAM Roles for Service Accounts を使用する手順を記載します * 東京リージョンで作成することを想定しています source code: https://github.com/keiSunagawa/qiita/tree/master/eks-sa-2-iam そもそも何ができるようになっ
1. IAMと拒否ポリシーの概要 IAM(Identity and Access Management)とは Google CloudのIAMポリシーは、デフォルトでは許可を指定するポリシーです。 よって、リソースに対するユーザーやグループ、サービスアカウントへの権限付与を明示的に許可することになります。 IAMロール周りの記事は過去に短く解説しているので、拝見下さい。 【Google Cloud:IAMのイメージについてざっくりまとめてみた】 拒否ポリシーとは IAMポリシーに対して、拒否ポリシーはこの挙動を反転させるものです。 つまり、ユーザーが特定のリソースに対して行うことができる操作を明示的に制限(拒否)します。 【公式から引用】 Identity and Access Management(IAM)拒否ポリシーを使用すると、Google Cloud リソースへのアクセスにガードレ
Amazon Web Services ブログ IAM Access Analyzer を利用して、アクセスアクティビティに基づいて IAM ポリシーを生成し、最小限の権限のアクセス許可を簡単に実装する 2019 年に AWS Identity and Access Management (IAM) Access Analyzer がリリースされ、既存のアクセス許可の設定状況を分析することで、意図しないパブリックおよびクロスアカウントアクセスを削除できるようになりました。2021 年 3 月、IAM Access Analyzer は、ポリシーの作成中にセキュリティで機能的なアクセス許可を設定するのに役立つポリシー検証機能を追加しました。そして、IAM Access Analyzer はさらに一歩進み、ポリシーを生成します。IAM Access Analyzer を使用して、AWS Clo
プロダクト基盤本部 SREの藤原です。 2022/12/13にSTORES Tech Talk AWS Organizations活用のリアルにて登壇いたしました。 本エントリはその補足です。 登壇内容について speakerdeck.com 当日は、AWS OrganizationsとIAM Identity Center, Terraformを連携した権限管理と題して、15分ほどトークを担当いたしました。 弊社におけるAWS OrganizationsとIdentity Center導入の経緯を説明した上で、oktaをIdPとした実際の構成、Terraformを組み合わせた運用について解説しました。 具体的なトーク内容については、リンクしているスライドを参照してください。 本エントリの経緯 本エントリを書いた経緯ですが、イベント当日にAWSを検証のために個人利用している場合のプラクティ
はじめに これまで業務でAWSを触る機会もあったのですが、1からアカウントを運用するなどは経験がなく基本的な部分が抜けているなと感じたので、自身の知識の確認も含めて、AWSアカウントを安全に利用するためのセキュリティの基礎中の基礎をまとめてみました。 対象読者 AWSアカウントを開設してばかりの方 AWS IAMの設定内容に自信がない方 IAM ベストプラクティスで推奨されている内容をさくっと確認したい方 AWSにおけるセキュリティの考え方 AWSはさまざまな便利なサービスをクラウドサービスとして提供してくれていますが、クラウドサービスだからといってセキュリティのあらゆる部分をAWSが担保してくれるわけではありません。 セキュリティに関してAWSがどの範囲は責任を持ってくれるのか、また利用者側がどの範囲のセキュリティを検討しなくてはいけないのかは「責任共有モデル」という形で明示されています
概要 AWS IAM Identity Center 昔はAWS SSOと呼ばれていたました これを使うことで、複数AWSアカウントのIAMを統一的に管理することができます 複数アカウントのIAM管理手法はいくつかあります スイッチロールによる管理との比較、メリットについては 株式会社PLAN-Bさんがまとめてくれています 下記記事がとても分かりやすいと思います IAM Identity Centerは既存のIAMユーザーと競合しないので、段階的に一部のユーザーだけ試してみるといった運用も可能です 同じユーザー名でも問題ありません 今回は以下のようにaccountA、accountBに存在するyamasitaアカウントをIAM Identity Centerのyamasitaに移行するまでの設定をやってみます 以下のようにログインのURLが変わりますが、ログイン後の使用感は変わりません 実
カスタマーサクセス部 佐竹です。 本日は、以下のアップデートに関する運用上の注意点のお知らせです。IAM ポリシーで、IAM User に MFA デバイスの設定を強制されている場合に、本アップデートによる影響がありましたので周知のために記載しております。 aws.amazon.com はじめに アップデートの影響 IAM ポリシーへの影響 修正が必要な個所 ${aws:username} 発生するエラー 修正後の IAM ポリシー json 注意点やその他のご連絡事項 影響を受けないお客様 まだ全ての AWS アカウントが複数の MFA デバイス登録に対応していない 2台目の MFA デバイス登録からエラーが発生する場合 1台目の MFA デバイス登録からエラーが発生する場合 MFA デバイス名は AWS アカウント内で一意でなければならない 修正後はアスタリスク (*) で問題はないの
はじめに 先日、AWSのアクセス制御についてのプレゼンを行いました。 その際、ポリシーが増える場合、どのように対応すれば良いですか?という質問を頂きました。 そこで、ポリシーを管理するためのIAMロールの説明がうまくできませんでした。 ポリシーやロールは普段から触ることも多いですが、そのメリットをちゃん理解できていなかったことを自覚しました。 そこで、AWSのIAMロール周りのことを聞かれて「ドキッ」とする、そんな私のような方は是非読んでみて下さい。 概要 この記事ではIAMロールの利点に焦点を当てているので、あまり細かい仕組みの説明はしておりませんので、あしからず。 ポリシー ポリシーってなに? そもそも、ポリシーってなんでしょう? ポリシーがあって何がいいんでしょう? では、まずポリシーがない状況を考えましょう。 ポリシー(権限)が無いと、誰でも、いつでも、なんでも、操作できるという状
AWS IAM Identiy Center利用環境下で、メンバーアカウントのCodeCommitのリポジトリをクローンしたみた はじめに IAM Identiy Center利用環境下で、メンバーアカウントのCodeCommitのリポジトリをクローンしてみました。 IAM Identiy Center利用環境下で、CodeCommitのリポジトリをクライアント端末にクローンする場合、IAMユーザーの永続的な認証情報であるアクセスキーを使うのではなく、IAM Identity Centerから払い出される一時的な認証情報を利用する方がよいです。 今回は、AWS CLIからIAM Identity Centerとの認証後にCodeCommitのリポジトリをクローンする手順をまとめました。 事前設定 IAM Identiy Centerの設定 IAM Identiy Centerは設定済み 許
Amazon Web Services ブログ SaaSテナント分離をAWS IAMとABACで実装する方法 この記事は、How to implement SaaS tenant isolation with ABAC and AWS IAMを訳したものです。 マルチテナントアプリケーションにおいては各テナントのリソースが他のテナントからアクセスできないように設計を行う必要があります。AWS Identity and Access Management (IAM) は多くの場合、この目的を達成するための重要な要素となりえます。一方で、IAMを用いることによる課題の一つとして、テナント分離を実現するのに必要な IAM ポリシーの数と複雑さが急速に拡大することにより分離モデルの規模と管理性に影響を与えることが挙げられます。IAM の 属性ベースのアクセスコントロール (ABAC) の仕組みはこ
ユーザーが IAM の認証情報を使用して Amazon RDS for MySQL の DB インスタンスを認証できるようにするにはどうすればよいですか? MySQL を実行している Amazon Relational Database Service (Amazon RDS) データベース (DB) インスタンスに接続したいと考えています。ネイティブの認証方法の代わりに AWS Identity and Access Management (IAM) の認証情報を使用したいと考えています。 簡単な説明 ユーザーは、IAM ユーザーまたはロールの認証情報と認証トークンを使用すれば Amazon RDS の DB インスタンスまたはクラスターに接続するこができます。IAM データベース認証は、以下の理由から、ネイティブな認証方法よりも安全です。 IAM データベース認証トークンは、AWS の
Amazon Web Services ブログ Amazon EFS の新機能 – IAM 認証とアクセスポイント アプリケーションを構築または移行する際に、多くの場合、複数の計算ノード間でデータを共有する必要があります。 多くのアプリケーションはファイル API を使用し、Amazon Elastic File System (EFS) では AWS でそれらのアプリケーションを簡単に使用できます。他の AWS サービスおよびオンプレミスリソースからアクセスできる、スケーラブルでフルマネージド型の Network File System (NFS) を提供します。 EFS は、中断することなく、オンデマンドでゼロからペタバイトまで拡張します。また、ファイルを追加および削除すると自動的に拡大および縮小を行い、容量をプロビジョニングして管理する必要性を取り除きます。これを使用することにより、
概要 TerraformではAWSなどのクラウドサービスのみならず、GitHubのリソースの管理もできます。 本記事ではTerraformを使ってGitHub ActionsからOpenID ConnectでAssume RoleできるIAM Roleの作成をします。 また、TerraformでGitHub Actionsのシークレットに作成したRoleのarnを登録するところまで一括でやります。 参考 https://zenn.dev/kou_pg_0131/articles/gh-actions-oidc-aws https://docs.github.com/en/actions/deployment/security-hardening-your-deployments/configuring-openid-connect-in-amazon-web-services https:
IAMベストプラクティスにほぼほぼ準拠したIAMユーザ・グループ作成と、MFA デバイスの自己管理を許可するポリシーの取り扱い注意点AWSSecurityIAMTerraform 1. はじめに AWS マネジメントコンソール作業で使用するIAMグループ や IAMユーザーの設計や作成フローを、IAM ベストプラクティス を参考にして見直してみる。 けど、IAMグループ や IAMユーザー の作成に関する IAM ベストプラクティス をすべて採用するのは窮屈なので、採用するものを決めて My IAM プラクティスを作成してみる。 そして、My IAM プラクティスに準拠したIAM グループ、IAMユーザーの作成フローを構築してみる。 例として、新規に参画したAWS マネジメントコンソール作業者で、開発チームのAさんの IAM ユーザーを作成してみる。 あと、IAMポリシーとIAMグループを
IAMのWeb Identity Federationが便利そうだけどどういう仕組みかがよくわからないってなりませんか。 用語がたくさんあったり若干入り組んでいるので私は苦しみました。苦しみながら ドキュメント を読んでいたらWeb Identity Federation Playgroundが理解に役立つと書いてありました。 なので実際に試してみました。 Web Identity Federationとは AWSリソースにアクセスするにはアクセスキーが必要になりますよね。 AWS CLIとかでアクセスキーを使用するのであればIAM ユーザーを作成して設定すれば問題ないですが、モバイルアプリやWebアプリに対して直接アクセスキーを埋め込むことは推奨できる行為ではありません。 また独自のIDをAWS側で管理したりカスタムサインインコードを書くのも非常に手間です。 これらの問題をさけつつAWS
みなさん!rootユーザのアクセスキー、使ってませんか? AWSのユーザのアクセスキー/シークレットキー(以下、アクセスキー)が漏洩すると、その所持する権限に応じて様々な被害が生じます。 参考: 【実録】アクセスキー流出、攻撃者のとった行動とその対策 | Developers.IO 中でもrootユーザは何でもできる最強の権限を持つため 万一そのアクセスキーが悪意ある者の手に渡ってしまうと、 AWSアカウントのrootメールアドレス変更 root含む全ユーザのログインパスワード変更 大事なシステムが稼働しているAWSアカウント解約 マイニングなど、リソースの不正利用によるクラウド破産 S3に保存した機密情報流出 などなど、とっても恐ろしいことが起こってしまいます。(※下2つはroot権限でなくとも起こりえます) 弊社にも、まれにrootユーザのアクセスキー漏洩事故、およびそれに伴うAWSア
AWS SSOを使う時、ユーザーは各アカウントにできたIAM RoleにAssume Roleすることで各アカウントで操作ができるようになります。 このあたりについての詳細は以下を御覧ください。 AWS SSOを図解してみた | DevelopersIO さて今回は、AWS SSOユーザーがAssume RoleするためのIAM Role、この特定のRoleからさらにAssume Roleできる別アカウントのIAM Roleを作成したいと思います。 以下は、このRoleの信頼ポリシー(=Assume Roleできるエンティティを定義するポリシー)をどのように設定するか、という話です。 ガバガバで設定する { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:
Customers can now connect their Google Workspace to AWS IAM Identity Center (successor to AWS Single Sign-On) once and manage access to AWS accounts and applications centrally, in IAM Identity Center. This integration enables end users to sign in using their Google Workspace identity to access all their assigned AWS accounts and applications. The integration helps administrators simplify AWS acces
皆さん、お使いのAWS環境のセキュリティチェックはしていますか? 当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。 本記事の対象コントロール [IAM.3] IAM ユーザーのアクセスキーは 90 日以内にローテーションする必要があります [IAM.3] IAM users' access keys should be rotated every 90 days or less 前提条件 本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容です。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。 コントロールの説明 このコントロールは、IAMユーザーのアクティブなアクセスキーが90日以内に適切
はじめに こんにちは。大阪オフィスの林です。 タイトルの通りなのですが本エントリは、AWS環境で各種リソースやサービスに対する管理者権限を与えつつも、IAMユーザーの作成や変更に関する操作を禁じたいというピンポイントのユースケースにお答えする内容となっています。 デフォルトのポリシーでIAMReadOnlyAccessもありますが、ロールやポリシーの操作にも制限が掛かってしまうので、IAMユーザーの作成、変更に対する操作だけを禁止したいというユースケースに本エントリを参考にして頂ければと思います。 やってみた ポリシー作成 IAMのダッシュボード左メニューから「ポリシー」-「ポリシーの作成」を選択します。 「JSON」タブから下記のJOSNをコピペして次のステップに進みます。 { "Version": "2012-10-17", "Statement": [ { "Effect": "Al
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く