並び順

ブックマーク数

期間指定

  • から
  • まで

201 - 240 件 / 386件

新着順 人気順

IAMの検索結果201 - 240 件 / 386件

  • AWSリソース上限数と現在の使用数を簡単に比較したい | DevelopersIO

    こんにちは。 ご機嫌いかがでしょうか。 "No human labor is no human error" が大好きな ネクストモード株式会社 の吉井です。 AWS アカウントには、サービスクォータ というリソース使用数の上限値が設けられています。 AWS 内部のリソースが枯渇しないようにという理由もありますが、それよりもユーザーが必要以上のリソース確保を誤って行ってしまい過大請求をされることを防いでくれるという防御面の理由が大きいように思います。 この上限値ですが現時点の値はどれくらいで残りどの程度リソースを作成できるのかを忘れてしまうと いざというときに希望のリソースが作成できず、上限緩和申請で時間を取られてしまうというミスをしてしまうことがよくあります。 AWS CLI 等で上限値・現在値を都度確認して突き合わせるのも面倒に感じていたところ便利なツールを発見したので紹介します。 イ

      AWSリソース上限数と現在の使用数を簡単に比較したい | DevelopersIO
    • IAM ユーザーが所属している IAM グループとアタッチされている IAM ポリシーの一覧を AWS CLI で取得する | DevelopersIO

      IAM ユーザーが所属している IAM グループとアタッチされている IAM ポリシーの一覧を AWS CLI で取得する IAM ユーザーの現状を棚卸ししたい コンバンハ、千葉(幸)です。 IAM ユーザーはきちんと管理されていますか?最近 100名近く IAM ユーザーが存在する環境をご支援する機会がありました。ユーザーがどんなグループに所属していてそれぞれどんな権限を有しているか、きっちりした設計書が無く。まずはそれを棚卸ししてからあるべき構成を考えていきましょう、というアプローチを取りました。 単に IAM ユーザーの一覧を取得するだけであれば以下のエントリにある内容を踏襲すればいいのですが、今回はそれより詳細な情報が必要です。 ということで、AWS CLI で一覧を取得してみました。(その後にスプレッドシートで頑張りました。) IAM ユーザーに割り当てられるポリシーについておさ

        IAM ユーザーが所属している IAM グループとアタッチされている IAM ポリシーの一覧を AWS CLI で取得する | DevelopersIO
      • IAM Roles Anywhereのハンズオンを通して、OpenSSLとか証明書とかについて勉強できたのでメモ - Qiita

        AWSエバンジェリストシリーズの特別編でIAM Roles Anywhereのハンズオンに参加したときに、OpenSSLやら証明書やら使用したので非常に勉強になりました。 ハンズオンの後に色々調べてみたので、個人的なメモとして残しておきます。 IAM Roles Anywhereとは 本筋とは外れるので詳細は調べていただくとして、IAM Roles Anywhereについてザクっと説明しておきます オンプレ機器からAWSのサービスを使う時に、IAMロールによるアクセス制御ができるサービス IAM Roles Anywhereは主に、以下の2つのコンポーネントから成り立つ 信頼アンカー:オンプレとAWSの間の信頼関係 認証局の証明書を登録する プロファイル:オンプレ機器に与える権限設定 IAMロール、管理ポリシー、インラインポリシーなどを使うことでAWSサービスへのアクセス制御を実施 公開鍵

          IAM Roles Anywhereのハンズオンを通して、OpenSSLとか証明書とかについて勉強できたのでメモ - Qiita
        • [アップデート]IAMのアクセスアドバイザーでは、140以上のAWSサービスを対象に、アクションレベルで「最終アクセス日時」が確認できるようになりました | DevelopersIO

          [アップデート]IAMのアクセスアドバイザーでは、140以上のAWSサービスを対象に、アクションレベルで「最終アクセス日時」が確認できるようになりました はじめに AWS IAMのアクセスアドバイザーでアクションレベルでの「最終アクセス日時」が確認できるサービス数は、140以上に増えました。 IAMのアクセスアドバイザーとは、IAMエンティティ(ユーザー、ロール、グループなど)が、AWSサービスごとの最終アクセス日時や、アクセス可能なAWSサービスを確認できる機能です。 従来は、IAMやLambda、S3、EC2などの一部のAWSサービス数のみ、アクションレベルで「最終アクセス日時」が確認できていました。 以前も以下の記事のようにアップデートがありました。 今回のアップデートでは、140以上のAWSサービスを対象に、アクションレベルで「最終アクセス日時」が確認できるようになりました。 これ

            [アップデート]IAMのアクセスアドバイザーでは、140以上のAWSサービスを対象に、アクションレベルで「最終アクセス日時」が確認できるようになりました | DevelopersIO
          • CircleCIがOpenID ConnectをサポートしたのでAWSと連携させてJWTを使用したAssumeRoleを試してみた | DevelopersIO

            CircleCIがOpenID ConnectをサポートしたのでAWSと連携させてJWTを使用したAssumeRoleを試してみた こんにちは、CX事業本部 IoT事業部の若槻です。 このたび、CI/CDプラットフォームCircleCIで、OpenID Connect(OIDC)がいよいよサポートされたとのことです。待ちわびていた人も多いのではないでしょうか。 #OIDC リリースされました! (OpenID Connect Tokens) Twitterでも「1月にでるはずだったよね」という期待をずいぶん頂き、ご関心をひしひしと感じてしました。 - Changelog: https://t.co/oqM0zbE2OF - Doc: https://t.co/fOYKoKfTNd — CircleCI Japan (@CircleCIJapan) March 26, 2022 Circle

              CircleCIがOpenID ConnectをサポートしたのでAWSと連携させてJWTを使用したAssumeRoleを試してみた | DevelopersIO
            • AWS Lake Formationでのデータレイク登録からデータアクセスまで - NTT Communications Engineers' Blog

              AWS Lake Formationでのデータレイク登録からデータアクセスまで この記事は NTTコミュニケーションズ Advent Calendar 2021 の16日目の記事です。 はじめに はじめまして!BS本部SS部の荒井です。データマネジメントに関するプリセールスを担当しています。 今回はアドベントカレンダー企画ということで、AWS Lake Formationに関する記事を投稿をさせていただきます。 データレイクとAWS Lake Formation 近年データ分析の盛り上がりなどから、散逸している様々な形式のデータを一元管理できるレポジトリ、いわゆるデータレイクを導入するケースが増えてきています(参考:データレイクとは)。 例えばシステムごとに保存されていた「会員データ」「購入履歴」「問合せ履歴」などのデータをデータレイクに集約することでシステム横断の顧客分析を手軽に行うこと

                AWS Lake Formationでのデータレイク登録からデータアクセスまで - NTT Communications Engineers' Blog
              • AWS SSO を用いた Amazon EKS への迅速なシングルサインオン | Amazon Web Services

                Amazon Web Services ブログ AWS SSO を用いた Amazon EKS への迅速なシングルサインオン 訳注:2022年7月に、AWS Single Sign-On は AWS IAM Identity Center に変更されました。 この記事は A quick path to Amazon EKS single sign-on using AWS SSO (記事公開日: 2022 年 6 月 14 日) を翻訳したものです。 Software as a Service (SaaS) とクラウドの導入が急速に進む中、アイデンティティは新しいセキュリティの境界になっています。AWS Identity and Access Management (IAM) と Kubernetes role-based access control (RBAC) は、強力な最小権限のセ

                  AWS SSO を用いた Amazon EKS への迅速なシングルサインオン | Amazon Web Services
                • AWS User Notificationsでマネジメントコンソールへのサインインを通知する | DevelopersIO

                  AWS User Notifications サービスを利用して AWS マネジメントコンソールへのサインインをメール通知する設定を試してみました。 サインイン通知は次のブログでも紹介している通り、Amazon EventBridge ルールを作成する方法でも実現できますが、通知文を整形する必要がありました。AWS User Notifications で設定する場合は通知内容を AWS 側で見やすくしてくれるメリットがあります(裏では Amazon EventBridge ルールが作成されます)。 参考ブログの方法(Amazon EventBridge で設定し、入力トランスフォーマーで通知内容を整形)の通知例です。 本ブログで設定する AWS User Notifications の通知例です。 AWS マネジメントコンソールへのサインイン通知設定 今回設定する環境は AWS Orga

                    AWS User Notificationsでマネジメントコンソールへのサインインを通知する | DevelopersIO
                  • Amazon S3のARNにある ::: ってなんだろう?と気になったはなし | DevelopersIO

                    しばたです。 AWS環境を構築・運用する際は各リソースの識別子となるAmazon Resource Names(ARN)をよく見ることになると思います。 ある日ふとタイトル通りの疑問が湧いたので調べてみることにしました。 Amazon S3のARNにある ::: ってなんだろう? AWSの識別子であるARNの形式については以下のドキュメントに記載されています。 Amazon リソースネーム (ARN) ドキュメントの内容を一部引用するとARNは一般的に以下の:区切りの形式を採ります。 arn:partition:service:region:account-id:resource-id arn:partition:service:region:account-id:resource-type/resource-id arn:partition:service:region:account-

                      Amazon S3のARNにある ::: ってなんだろう?と気になったはなし | DevelopersIO
                    • ECS Fargate でshell を起動する - y-ohgi's blog

                      TL;DR ついに kubectl exec 的な機能がECS にもきた https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-exec.html 既存のコンテナに新しくなにかをインストールする必要はなく、SSM 経由でつかえる やる チュートリアルのとおりにやる。 https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-exec.html タスク用IAMロール作成 SSM 経由でECS へコマンドを実行するため、その権限用のIAM ロールを作成。 名前は ecsTaskRole にし、Principalは "Service": "ecs-tasks.amazonaws.com" 。 インラインポリシーで以下を定義。 { "Version": "

                        ECS Fargate でshell を起動する - y-ohgi's blog
                      • aws configure でアクセスキーを手打ちせず aws configure import で CSV ファイルからインポートしてみた | DevelopersIO

                        aws configure でアクセスキーを手打ちせず aws configure import で CSV ファイルからインポートしてみた コンバンハ、千葉(幸)です。 AWS CLI (など)を使用するためにアクセスキーを設定する際、皆さんは以下のような手順をとるのではないでしょうか。 「ひとまずaws configureを叩く。」 $ aws configure ↑(--profileオプションを付与すれば名前付きプロファイルへの設定となりますが、デフォルトではdefaultというプロファイルに対する設定となります。) 「各項目の入力が促されるため、必要な項目を入力していく。」 $ aws configure AWS Access Key ID [None]: #アクセスキーを入力 AWS Secret Access Key [None]: #シークレットキーを入力 Default

                          aws configure でアクセスキーを手打ちせず aws configure import で CSV ファイルからインポートしてみた | DevelopersIO
                        • リソースベースポリシーをサポートしないAWSリソースのクロスアカウント設定と、Go による実装 - freee Developers Hub

                          こんにちは、サービス基盤のkumashunです。 freeeでは、ほとんどのサービスがAWSをインフラ基盤として利用しています。さまざまな目的や業務上の要件に応じて、複数のAWSアカウントを運用しており、時折、異なるアカウント間でのネットワーク通信やリソースへのアクセス、つまりクロスアカウントアクセスが必要となります。ここでは、リソースベースポリシーをサポートしていないAWSリソースにおける、クロスアカウントアクセスの実現方法についてご紹介します。 事例を "リソースベースポリシーをサポートしないAWSリソース" に限定しているのは、以下の背景からです。簡単に用語を説明します。 IAM Policy AWSリソースへのアクセス定義 誰がどのリソースに何をできる/できないかをJSON形式で定義できる IAM Role 1つ以上のIAM Policyをまとめたもの 人間がマネジメントコンソール

                            リソースベースポリシーをサポートしないAWSリソースのクロスアカウント設定と、Go による実装 - freee Developers Hub
                          • AWS SSOのIDソースをAD Connectorにしました - ヤマムギ

                            オンプレミス想定のActive DirectoryにVPN接続して、AD Connectorを作成、AWS SSOのIDソースにしました。 関連ブログ AWSクイックスタートのActive Directory Domain Services on AWS オンプレミスに見立てたオハイオリージョンにVyOSインスタンスを起動して東京リージョンからVPN接続 AD Connectorを作成してシームレスにドメイン参加する AD Connector作成が初回失敗して再実行 オンプレミス想定のActive Directory側のEC2のセキュリティグループで、AD Connectorを設置するサブネットのIPアドレスに53,88, 389 TCP/UDPポートを許可していなかったため、作成失敗しました。 オンプレミス想定のActive Directory側のEC2のセキュリティグループに上記を追加

                              AWS SSOのIDソースをAD Connectorにしました - ヤマムギ
                            • IAM ユーザーのログイン失敗を検知して複数回失敗すると権限を剥奪する仕組みを作ってみた | DevelopersIO

                              こんにちは、AWS 事業本部の平木です! AWS における PCIDSS v3.2.1を見た時に要件 8 を参照するとアカウントロックに関する要件があります。 現状、執筆時点では IAM ユーザーで連続してログイン失敗してしまったとしてもアカウントをロックできる仕様はありません。 ただ、AWS 公式のコンプライアンスガイドを見ると以下のように記述されていました。 PCI DSS 審査の適用範囲内であると判断された IAM ユーザーには、8.1.6 および 8.1.7 のアカウントロックに関する要件を満たす追加の仕組みが必要です。お客様がこれを達成するには、AWS CloudTrail、Amazon DynamoDB、AWS Lambda、Amazon CloudWatch を組み合わせて連続したログイン失敗を追跡して、ログイン失敗がしきい値である 6 回連続で発生した場合に制限を強めた I

                                IAM ユーザーのログイン失敗を検知して複数回失敗すると権限を剥奪する仕組みを作ってみた | DevelopersIO
                              • [アップデート]GuardDutyが盗まれたEC2のクレデンシャルが別AWSアカウントで利用されたことを検知できるようになったので実際に試してついでにDetectiveで調査してみた | DevelopersIO

                                [アップデート]GuardDutyが盗まれたEC2のクレデンシャルが別AWSアカウントで利用されたことを検知できるようになったので実際に試してついでにDetectiveで調査してみた GuardDutyがEC2から搾取されたクレデンシャルを別AWSアカウントで利用しても検知してくれるようになりました。実際にインシデントが発生した場合の対処方法も合わせて解説しています。 こんにちは、臼田です。 みなさん、GuardDuty使ってますか?(挨拶 今日は素晴らしいアップデートが来ました。EC2から搾取されたクレデンシャルが別AWSアカウントで利用されたときにAmazon GuardDutyで検知することが出来るようになりました! Amazon GuardDuty now detects EC2 instance credentials used from another AWS account

                                  [アップデート]GuardDutyが盗まれたEC2のクレデンシャルが別AWSアカウントで利用されたことを検知できるようになったので実際に試してついでにDetectiveで調査してみた | DevelopersIO
                                • Mackerelにおける「混乱した代理」問題に対応しよう

                                  最近 Mackerel の AWS インテグレーション機能にいくつかセキュリティ強化のアップデートが入りました。 (「最近」と言っても最も古いアップデートは 2 年前ですが・・・) AWS インテグレーションで IAM ロールによる認証利用時の権限チェック頻度を変更しました ほか AWS インテグレーション CloudFront 連携で取得できるメトリックを追加しました ほか 【リリース予告】AWS インテグレーションの権限チェックを強化していきます AWS Step Functions インテグレーションをリリースしました ほか これらのアップデートは「混乱した代理問題(Confused deputy problem)」に対応するものです。 僕が AWS インテグレーションの設定をしている際にふと 「この機能、攻撃に利用できるのでは?」 と思いついてしまったので、 Mackerel サポ

                                  • AWS Control Tower Landing Zone3.0の変更内容と詳細解説 - NRIネットコムBlog

                                    こんにちは、上野です。 AWS Control TowerのLanding Zone 3.0がリリースされました。 変更内容が多いですが、ざっくりまとめると以下のとおりです。 組織レベルのAWS CloudTrail証跡が設定可能になった CloudTrailの設定をControl Towerからオプトアウト可能になった(オプトアウトした場合は独自で設定する必要あり) CloudTrailで各アカウントに出力されていたCloudWatch logsは、マネジメントアカウントに集約される CloudTrailアップデートに伴い、Control Towerが管理するIAMポリシーAWSControlTowerServiceRolePolicyの内容変更 AWS Config のグローバルリソースの記録がホームリージョンのみに変更 リージョン拒否ガードレールの変更(許可対象グローバルサービスの追

                                      AWS Control Tower Landing Zone3.0の変更内容と詳細解説 - NRIネットコムBlog
                                    • GCPの権限管理に関する自動化について

                                      イベント Product Security Casual Talk vol.1 ジョブディスクリプション

                                        GCPの権限管理に関する自動化について
                                      • BigQuery データ共有にはデータセットへのアクセス権の付与より Analytics Hub を選ぶ - Qiita

                                        BigQuery データセットへのアクセス権付与の特徴 BigQuery データセットへのアクセス権付与は、特定のユーザーやグループに対する直接的なアクセス管理を可能にします。これは小規模な共有には適していますが、大規模な組織や多くの外部パートナーとの共有では管理が煩雑になりがちです。特に、大規模なデータアクセスの場合、アクセス権の管理がセキュリティ上の課題となります。行レベルセキュリティと組み合わせるにしても、大量のアクセス権をデータセット単位で正しく設定するのには限界があります。 Analytics Hub と比べると以下のような特徴を持ちます。 BigQuery 全オブジェクトと機能、リージョンをサポート 新機能をすぐに使えるのが魅力 access 監査ログが残る BigQuery IAM で一貫性のある権限設定 Analytics Hub の特徴 Analytics Hub は以下

                                          BigQuery データ共有にはデータセットへのアクセス権の付与より Analytics Hub を選ぶ - Qiita
                                        • IAM Identity Center(AWS SSO)のグループとユーザーをTerraformでDRYに書く

                                          こんにちは、株式会社スマートラウンドSREの@shonansurvivorsです。 Terraform AWS Provider v4.33.0より、IAM Identity Center(AWS SSO)のグループとユーザーが作成できるようになりました! 当社は以前からIAM Identity Centerを利用しており、これまではマネジメントコンソールによる管理だったのですが、今回早速Terraform化しましたので、そこで得られた知見を元にしたサンプルコードを紹介します。 なお、Identity Centerの許可セット(IAMポリシー情報)などは以前からAWS Providerで対応済みですが、それらリソースは本記事のスコープ外となります。ご承知おきください。 環境 Terraform 1.1.7 AWS Provider 4.33.0 工夫したポイント 各ユーザーがどのグループに

                                            IAM Identity Center(AWS SSO)のグループとユーザーをTerraformでDRYに書く
                                          • GitHub ActionsにAWSクレデンシャルを直接設定したくないのでIAMロールを利用したい | DevelopersIO

                                            こんにちは!コンサル部のinomaso(@inomasosan)です。 前回と前々回でGitHub ActionsからECSのCI/CDやIAMポリシーの最小権限作成を試してみました。 [初心者向け] GitHub ActionsからECS FargateにCI/CDしてみた GitHub ActionsからECSとECRへのCI/CDを最小権限で実行したい 今回はGitHub ActionsでAWSの一時的なクレデンシャル(アクセスキーID、シークレットアクセスキー)を利用したいので、IAMユーザーの代わりにOIDCプロバイダとIAMロールを設定していきます。 IAMユーザーのクレデンシャルだとダメなの? IAMユーザーで発行したクレデンシャルは永続的に利用可能です。 GitHubではAWSのクレデンシャルをSecretsにより秘匿化できますが、AWS外のサービスに永続的なクレデンシャル

                                              GitHub ActionsにAWSクレデンシャルを直接設定したくないのでIAMロールを利用したい | DevelopersIO
                                            • IAM Roles Anywhere で AWS IAM ロールを AWS 外部のワークロードに拡張する | Amazon Web Services

                                              Amazon Web Services ブログ IAM Roles Anywhere で AWS IAM ロールを AWS 外部のワークロードに拡張する この記事は Extend AWS IAM roles to workloads outside of AWS with IAM Roles Anywhere を訳したものです。 IAM Roles Anywhere のリリースの通り、AWS Identity and Access Management (IAM) を用いて AWS 外部で稼働しているワークロードに IAM ロールを簡単に使用できるようになりました。この機能は、IAM ロールの機能を AWS 外部のワークロードに拡張します。IAM Roles Anywhere を利用することで、オンプレミスのサーバー、コンテナ、またはアプリケーションが一時的な AWS クレデンシャルを取得

                                                IAM Roles Anywhere で AWS IAM ロールを AWS 外部のワークロードに拡張する | Amazon Web Services
                                              • IAM Permissions boundary(アクセス権限の境界)で明示的に許可していないアクションでも条件次第で実行できるということを評価論理の流れを眺めて再認識してみた | DevelopersIO

                                                コンバンハ、千葉(幸)です。 突然ですが問題です。 以下の条件があったとします。 同一の AWS アカウントに S3 バケット A と IAM ユーザー A が存在する IAM ユーザー A の Permissions boundary には AWS 管理ポリシーViewOnlyAccessが設定されている ここで、IAM ユーザー A が S3 バケット A に対してPutObjectを実行したいとします。(補足しておくと、ViewOnlyAccessにはPutObjectの Allow は含まれていません。) 以下のうち、アクションの結果について最も適切に説明しているものを選択してください。 IAM ユーザー A の Permissions policy で適切な Allow が設定されていればアクションは成功する S3 バケット A のバケットポリシーで適切な Allow が設定され

                                                  IAM Permissions boundary(アクセス権限の境界)で明示的に許可していないアクションでも条件次第で実行できるということを評価論理の流れを眺めて再認識してみた | DevelopersIO
                                                • IAM ポリシーで新規 IAM ユーザーがマネジメントコンソールへアクセスするのを防ぐための対処方法 | DevelopersIO

                                                  困っていた内容 IAM ポリシーで IAM ユーザー作成時のプログラムによるアクセス用の IAM ユーザの作成は許可するが、AWS マネジメントコンソールへのアクセス用の IAM ユーザの作成を拒否するという設定は可能でしょうか。可能な場合は方法を教えてください。 IAM コンソールでは以下の設定箇所に該当します。 どう対応すればいいの? プログラムによるアクセスを許可し、AWS マネジメントコンソールへのアクセスを拒否する IAM ポリシーは設定可能です。 IAM コンソールのチェック項目は以下の API に該当します。 プログラムによるアクセス: CreateAccessKey AWS マネジメントコンソールへのアクセス: CreateLoginProfile 新規作成する IAM ユーザーの AWS マネジメントコンソールへのアクセスを判定するアクションはiam:CreateLogi

                                                    IAM ポリシーで新規 IAM ユーザーがマネジメントコンソールへアクセスするのを防ぐための対処方法 | DevelopersIO
                                                  • IAMユーザーやAWSアカウントのルートユーザー に複数の MFA デバイスを割り当てる事ができるようになりました | DevelopersIO

                                                    お疲れさまです。とーちです。 IAM に複数の MFA デバイスを割り当てる事ができるようになったというアナウンスを見たので試してみました。 かんたんまとめ AWS アカウントのルートユーザーや IAM ユーザーに最大8つの MFA を割り当てられる ログインするときには割り当てられた中のどれか一つの MFA を使ってログイン さっそく試してみた 適当な IAM ユーザーを用意してどんな動きになるのかを確認してみました。 まずは MFA の設定をします。MFA の設定方法は従来と変わらず、AWS マネージメントコンソールの IAM 画面から登録をしていきます。 2022/11/17 追記: MFA の設定方法について従来と変わらずと記載しておりましたが、正確には従来と異なり MFA の名前をつける必要があります。 またこの名前については、AWS アカウント内で一意※1である必要 があり、例

                                                      IAMユーザーやAWSアカウントのルートユーザー に複数の MFA デバイスを割り当てる事ができるようになりました | DevelopersIO
                                                    • Google Cloud のアクセス管理をおさらいしよう 2020アップデート版

                                                      この記事は Google Cloud Japan Customer Engineer Advent Calendar 2020 の 2日目の記事です。 TL;DR本記事ではGoogle Cloud でのアクセス管理について整理していきます。 はじめにGoogle Cloud Japan Customer Engineer Advent Calendar 2019 で、Google Cloud の IAM をおさらいしよう という記事を書いたのですが、多くの方に読んでいただいたのですが、逆に多くの方が悩まれるトピックなのだなと感じました。2020年も多くのアップデートがありましたので、改めて Google Cloud の アクセス管理をおさらいしていきましょう。 クラウドを使う上で、ユーザー管理や権限管理は非常に重要です。Google Cloud を使う際に、どのようにユーザー管理できるのか

                                                        Google Cloud のアクセス管理をおさらいしよう 2020アップデート版
                                                      • GCPのWorkload Identityを使ってAWSのRoleとGCPのサービスアカウントを連携させる

                                                        GCPのWorkload Identityを使ってAWSのRoleとGCPのサービスアカウントを連携させる 2022.12.09 技術 AWS, GCP 動機と解決法 サービスアカウントのシークレットキーjsonをEC2上に置くのやだなー(何かの拍子に流出とかしたらめんどいなー) アクセス元のバッチがAWSにあるんだから、asumerole的なことがAWSとGCPをまたいでできれば便利なんだけどなー という動機から、表題の通り Workload Identity を使って、AWS IAM Role と GCP Service Account を連携させました。 Workload Identity連携 とは? Workload Identity 連携は、キーなしの新しいアプリケーション認証メカニズムであり、オンプレミス、AWS、Azure で実行するワークロードは、外部 ID プロバイダ(I

                                                        • IAM Access Analyzer makes it easier to implement least privilege permissions by generating IAM policies based on access activity | Amazon Web Services

                                                          AWS Security Blog IAM Access Analyzer makes it easier to implement least privilege permissions by generating IAM policies based on access activity In 2019, AWS Identity and Access Management (IAM) Access Analyzer was launched to help you remove unintended public and cross account access by analyzing your existing permissions. In March 2021, IAM Access Analyzer added policy validation to help you s

                                                            IAM Access Analyzer makes it easier to implement least privilege permissions by generating IAM policies based on access activity | Amazon Web Services
                                                          • AWS Identity and Access Management introduces IAM Roles Anywhere for workloads outside of AWS

                                                            AWS Identity and Access Management (IAM) now enables workloads that run outside of AWS to access AWS resources using IAM Roles Anywhere. IAM Roles Anywhere allows your workloads such as servers, containers, and applications to use X.509 digital certificates to obtain temporary AWS credentials and use the same IAM roles and policies that you have configured for your AWS workloads to access AWS reso

                                                              AWS Identity and Access Management introduces IAM Roles Anywhere for workloads outside of AWS
                                                            • AWSを使うにあたりIAMのベストプラクティスをもう一度確認する

                                                              本当はre:Inventかその周辺で発表されたアップデートについて書こうかなと思ったんですが、自分自身の時間の都合と、例によって某ブログに大量に情報があるので今回は見送りましたw zennに何か書こうと思って書くのも今回が初ですね。 さて、今回は個人的に以前から非常に気になってしまう使われ方が多いIAMの使い方について、あらためてネタにしようと思います。 どちらかというとAWSにそれほど詳しくない人向けのつもりです。 しれっと使ってますが、そもそもベストプラクティスって何? という方はとりあえずこちらを ベストプラクティス (best practice)とは あくまでもベストプラクティスなのでいきなり全部を満たすのは難しいかもしれませんが、こういうものがあるんだよ、というのを認知してもらえればと思います。 とりあえず真っ先に気を付けたほうがよいことや注意してほしいことは よく見るまずい(と

                                                                AWSを使うにあたりIAMのベストプラクティスをもう一度確認する
                                                              • AWS CLIで動かして学ぶCognito IDプールを利用したAWSの一時クレデンシャルキー発行 | DevelopersIO

                                                                「Cognito IDプールってやつはAWSリソースへのアクセスを制御する認可部分を担当しているらしいけど、いったいどういう理屈でそうなってるんだ…?」 そんな自分の疑問からAWSのドキュメントを読み実際に手を動かして得られたCognito IDプールに対する理解をまとめました。 「Cognito IDプールってやつはAWSリソースへのアクセスを制御する認可部分を担当しているらしいけど、いったいどういう理屈でそうなってるんだ…?」 そんな自分の疑問からAWSのドキュメントを読み手を動かして得られたCognito IDプールに対する理解を、 AWS CLIで再現できる形にまとめてみました。 Cognito IDプールでAWSの一時クレデンシャルキーを発行することによって、Cognito IDプールの世界からIAMの世界へ落とし込めると、だいぶイメージが付きやすいんじゃないかと思います。 AW

                                                                  AWS CLIで動かして学ぶCognito IDプールを利用したAWSの一時クレデンシャルキー発行 | DevelopersIO
                                                                • AWS IAM Identity Center を利用して Azure AD のユーザー情報で AWS アカウントへのアクセスを試してみる | DevelopersIO

                                                                  AWS IAM Identity Center を利用して Azure AD のユーザー情報で AWS アカウントへのアクセスを試してみる Azure AD と AWS IAM Identity Center を連携させて、Azure AD の認証情報で AWS アカウントにアクセスする設定方法をまとめました。 Azure AD ユーザーの認証情報を使って AWS IAM Identity Center 経由で AWS アカウントにアクセスする方法を紹介します。以前にも同様のブログを書きましたが、AWS Single Sign-On 時代だったため、改めて書き直しました。手順に変わりがないか確認したい意図もありましたが、ほぼ同じ手順で設定できました。 構成と全体の流れ 構成図と設定内容を示します。 ユーザー/グループ情報の同期は SCIM による自動同期を採用しています。 設定の流れ SA

                                                                    AWS IAM Identity Center を利用して Azure AD のユーザー情報で AWS アカウントへのアクセスを試してみる | DevelopersIO
                                                                  • IAM Identity Centerでもaws-vaultでセキュアにAWS CLIを使う - Nealle Developer's Blog

                                                                    こんにちはSREチームの宮後(@miya10kei)です。最近、トリュフナッツにハマりビール🍺の消費量が増えています。 AWS CLIを使用する時にaws-vaultは使っていますか? AWSのユーザ管理をAWS IAM Identity Centerに移行した際にaws-vaultの設定でつまずいたので解決方法を紹介したいと思います。 AWS IAM Identity Centerとは? 複数の AWSアカウントやアプリケーションへのワークフォースのアクセスを一元管理するためのサービスです。外部IDプロバイダーと接続しSSO(シングルサインオン)連携をすることができます。ニーリーではGoogle Workspaceと連携させGoogleアカウントでログインできるようにしています。 aws-vaultとは? aws-vaultはAWS CLIを使用する際の認証情報を安全に保存し、アクセス

                                                                      IAM Identity Centerでもaws-vaultでセキュアにAWS CLIを使う - Nealle Developer's Blog
                                                                    • AWS CLIをAWS IAM Identity Center(SSO)で認証させるには? | DevelopersIO

                                                                      AWS OrganizationsのAWS IAM Identity Center(旧AWS Single Sign-On;AWS SSO)を利用すると、Organizations配下のAWSアカウントにSSOできます。 本記事では、同機能をAWS CLIから利用する方法を紹介します。 AWS IAM Identity Centerの詳細は次のブログを参照ください。 AWSアクセスポータルとIAMロールの2つのセッションの詳細は次のブログを参照ください。 なお、本記事ではAWS Identity Center directoryでユーザー管理しているものとします。 ポイント IAM Identity CenterにはAWS CLI v2が対応。v1は未対応 設定ファイルはAWS CLIだけでなくAWS SDK全般で流用可能 IAM Identity Centerはリージョナル・サービス I

                                                                        AWS CLIをAWS IAM Identity Center(SSO)で認証させるには? | DevelopersIO
                                                                      • [アップデート] IAM アクセスアドバイザーによる「アクションレベルでの最終実行履歴の表示」に EC2、IAM、Lambda が対応しました! | DevelopersIO

                                                                        [アップデート] IAM アクセスアドバイザーによる「アクションレベルでの最終実行履歴の表示」に EC2、IAM、Lambda が対応しました! コンバンハ、千葉(幸)です。 IAM アクセスアドバイザーで、新たに EC2、IAM、Lambda もアクションレベルで最終アクセス時刻を確認できるようになりました! Review last accessed information to identify unused EC2, IAM, and Lambda permissions and tighten access for your IAM roles 必要最小限の権限に絞っていく、そのアプローチがまた一つ楽になりました。 何が変わったのか IAM アクセスアドバイザーは、特定の IAM リソース(ユーザー/グループ/ロール/ポリシー)に対して以下を分析、取得してくれる機能です。 アクセス

                                                                          [アップデート] IAM アクセスアドバイザーによる「アクションレベルでの最終実行履歴の表示」に EC2、IAM、Lambda が対応しました! | DevelopersIO
                                                                        • Workload Identity Federationを図で理解する - Carpe Diem

                                                                          概要 GCPのWorkload Identity連携はサービスアカウントで秘密鍵を作らずともGCPリソースへのアクセス権を他の環境(オンプレ、別パブリッククラウド)に付与することができます。 これにより AWSからGCPリソースにアクセスする GitHub ActionsからGCRにDocker imageをpushする CircleCIでGKEのデプロイを行う といった連携が鍵なしで実現できます。 ただ実装だけだとイメージしづらいので今回は図示してみました。 Workload Identity Federation Workload Identity連携における登場人物は以下です。 左のWorkloadsがGCPリソースにアクセスしたいアプリケーションに当たります。 準備 Workload Identity Poolの作成とサービスアカウントの作成 まずはWorkload Identit

                                                                            Workload Identity Federationを図で理解する - Carpe Diem
                                                                          • Terraform で GCP IAM 設定どれ使うのがいいのか - pokutuna

                                                                            additive: add members to role, old members are not deleted from this role. authoritative: set the role's members (including removing any not listed), unlisted roles are not affected.

                                                                              Terraform で GCP IAM 設定どれ使うのがいいのか - pokutuna
                                                                            • RBAC DeepDive - SAML Authentication | IAM Role for Service Accounts

                                                                              「GW直前!まだ間に合うコンテナバケーション with Amazon EKS」で話した内容です。 SAML 認証と IAM Role for Service Accounts について話しています。

                                                                                RBAC DeepDive - SAML Authentication | IAM Role for Service Accounts
                                                                              • You can now assign multiple MFA devices in IAM | Amazon Web Services

                                                                                AWS Security Blog You can now assign multiple MFA devices in IAM At Amazon Web Services (AWS), security is our top priority, and configuring multi-factor authentication (MFA) on accounts is an important step in securing your organization. Now, you can add multiple MFA devices to AWS account root users and AWS Identity and Access Management (IAM) users in your AWS accounts. This helps you to raise

                                                                                  You can now assign multiple MFA devices in IAM | Amazon Web Services
                                                                                • 検証環境のURLが入ったメールを本番環境のユーザーに送ってしまった話 - Qiita

                                                                                  この記事は「本番環境でやらかしちゃった人 Advent Calendar 2020」24日目の記事です。 遠い昔、はるか彼方の銀河系での話です。 TL;DR IAMの権限はしっかりやりましょう。検証環境と本番環境でアカウントを分けるとより安心できます。 何をやらかしたのか やらかし前の状態 マッチングサービスの開発をしています。そのサービスにはサービス内でメッセージが届くとその旨をEメールで通知する機能があります。 システム的にはサービスを動かしているWebアプリケーションからSQSのメール用のキュー(以後Maill Queue)にメッセージを送信し、メール送信用のWorkerがMaill Queueからメッセージを取得、差出人やURLなどの情報を埋めてEメールを送信します。差出人やURLは本番環境、検証環境でそれぞれ別の値が入ります。 また検証環境と本番環境は同一のAWSアカウント内にあ

                                                                                    検証環境のURLが入ったメールを本番環境のユーザーに送ってしまった話 - Qiita

                                                                                  新着記事