(Translated by https://www.hiragana.jp/)
AssumeRoleの人気記事 38件 - はてなブックマーク

検索けんさく対象たいしょう

ならじゅん

ブックマークすう

期間きかん指定してい

  • から
  • まで

1 - 38 けん / 38けん

新着しんちゃくじゅん 人気にんきじゅん

AssumeRoleの検索けんさく結果けっか1 - 38 けん / 38けん

タグ検索けんさく該当がいとう結果けっかすくないため、タイトル検索けんさく結果けっか表示ひょうじしています。

AssumeRoleかんするエントリは38けんあります。 awsAWSiam などが関連かんれんタグです。 人気にんきエントリには 『IAM ロールの PassRole と AssumeRole をもう二度にどわすれないためにえがいてみた | DevelopersIO』などがあります。

AssumeRoleの関連かんれんエントリー

  • IAM ロールの PassRole と AssumeRole をもう二度にどわすれないためにえがいてみた | DevelopersIO

    コンバンハ、千葉ちばこう)です。 みなさんは、 PassRole と AssumeRole についてきちんと理解りかいができていますか?どちらも IAM ロールにかんするものですね。 わたしはカラダ(ボディ)の調子ちょうしがいいときおもせるのですが、あめっているや、ちょっとつかれていたときにはすぐからなくなってしまいます。 ということで、イメージとしてのうきざけることによってわすれられなくしてやろうとおもいました。 そこで出来上できあがったのが以下いかです。 間違まちがえました。以下いかです。 あ、でもやっぱりわすれづらいのはこちらかもしれませんね。 どうですか?もうわすれられなくなりましたね? さきにまとめ IAM ロールには以下いかポリシーを設定せっていできる アイデンティティベースポリシー Permissions boundary 信頼しんらいポリシー AWS リソースに IAM ロールをわたさいには PassRole の権限けんげん必要ひつよう PassR

      IAM ロールの PassRole と AssumeRole をもう二度と忘れないために絵を描いてみた | DevelopersIO

    • GitHub Actionsに「つよい」AWSの権限けんげんわたしたい ~作戦さくせん3 - AssumeRole with Google ID Token ~ - KAYAC engineers' blog

      こんにちは。技術ぎじゅつ池田いけだです。 この記事きじでは、Github Actionsじょうに「つよい」AWSの権限けんげんわたすために以下いかのことをおこないます。 App Runnerでお手軽てがるにGoogle ID Token 取得しゅとくするためのWeb Applicationをうごかす。 Web Applicationから取得しゅとくできるGoogle ID Tokenを信頼しんらいするIAM RoleにAssumeRoleする。 AssumeRoleによってられた一時いちじてきつよ権限けんげんで、つよ権限けんげん要求ようきゅうする作業さぎょう(Deploy, Terraform Apply)をGithub Actionsでおこなう。 これにより、Github ActionsじょうにAWSのアクセスキーをかずに、ある程度ていど安全あんぜん方法ほうほうでAWSじょうでのつよ権限けんげん要求ようきゅうする操作そうさ実行じっこうできます。 そのため、たとえばGithub Repositoryに不正ふせいアクセスされてしまったとしても、AWSの本番ほんばんたまき

        GitHub Actionsに「強い」AWSの権限を渡したい ~作戦3 - AssumeRole with Google ID Token ~ - KAYAC engineers' blog

      • AssumeRoleとPassRoleでクレデンシャル情報じょうほう保持ほじしない運用うんようを AWSの自動じどうしたオペレーションにたいしてしょうじた疑問ぎもん「これやったのだれ?」

        クラウドの運用うんようしゃ焦点しょうてんてた、技術ぎじゅつしゃけのあたらしいテックイベント「Cloud Operator Days Tokyo 」。ここで株式会社かぶしきがいしゃカサレアルの新津にいつが「これやったのだれ?」をテーマに登壇とうだん自動じどうしたオペレーションにたいしてしょうじた疑問ぎもんまなびについて紹介しょうかいします。 自己じこ紹介しょうかい今回こんかいのテーマ 新津にいつ佐内さない以下いか新津にいつ):みなさん、こんにちは。株式会社かぶしきがいしゃカサレアルの新津にいつたすくないいます。本日ほんじつは「これやったのだれ?」というタイトルのおはなしをします。 「これやったのだれ?」についてですが、DevOpsとわせて自動じどうすすめていくなかで、自動じどうしたオペレーションにたいしてもしょうじたこの疑問ぎもんに、じつ業務ぎょうむなかであらためてってみました。上記じょうき事例じれい詳細しょうさい現時点げんじてんでの我々われわれこたえを紹介しょうかいします。 まず本日ほんじつはなしする内容ないようですが、スライドにかれているような基盤きばん運用うんよう担当たんとうしゃのユースケースにかかわるおはなしになります。どのようなユースケースかとい

          AssumeRoleとPassRoleでクレデンシャル情報を保持しない運用を AWSの自動化したオペレーションに対して生じた疑問「これやったの誰?」

        • MFA認証にんしょう使つかったAssumeRoleでシンプルにTerraformを実行じっこうする(aws configure export-credentials) | DevelopersIO

          MFA認証にんしょう使つかったAssumeRoleでシンプルにTerraformを実行じっこうする(aws configure export-credentials) Terraform実行じっこうのMFA認証にんしょう使つかったAssume Roleをらくにできる方法ほうほうがないか調しらべていたら、以下いかのコメントをつけました。 Doesn't ask MFA token code when using assume_role with MFA required #2420 どうやらツールやながいコマンドの実行じっこうなしで、MFA認証にんしょうありでも簡単かんたんにAssume Roleができそうです。 便利べんりだったのでブログにしてみました。 TerraformのMFA認証にんしょう事情じじょう以下いかのブログをご確認かくにんください。 結論けつろん この方法ほうほうでは、aws-vaultやaws-mfaなどのツールは不要ふようです。 以下いかのようにProfileを用意よういして、terraformのコマンドをつだけ

            MFA認証を使ったAssumeRoleでシンプルにTerraformを実行する(aws configure export-credentials) | DevelopersIO

            • AssumeRoleの関連かんれんエントリー

          • AssumeRole(スイッチロール)を理解りかいして、AWSへのデプロイをすこしでも安全あんぜん実施じっししよう #devio2021 | DevelopersIO

            DevelopersIO 2021 Decadeでビデオセッションを公開こうかいしました。 概要がいよう CloudFormationをデプロイするユーザのアクセスキーがれてしまったら?と心配しんぱいするあなたへ。 AssumeRoleを活用かつようすれば、アクセスキーが漏洩ろうえいしても被害ひがい最小限さいしょうげんになるIAMユーザでデプロイできます。 動画どうが スライド コメンタリー テーマ選定せんてい理由りゆうは、自分じぶんりたかったから ある程度ていど、AWSを使つかっていると、画面がめんボタンポチポチではなく、Infrastructure as Code(IaC)で管理かんりすることがおおくなります。AWSでIaCを実現じつげんするツールはいくつかあります。 AWS CloudFormtaion AWS SAM AWS CDK Serverless Framework Terraform そして、これらのIaCツールとIAMユーザの「アクセスキー」は、ってもはなせない関係かんけいです(

              AssumeRole(スイッチロール)を理解して、AWSへのデプロイを少しでも安全に実施しよう #devio2021 | DevelopersIO

            • 特定とくていのIAM Identity CenterユーザーのみAssumeRoleできるIAMロールを作成さくせいする | DevelopersIO

              はじめに マルチアカウント環境かんきょうではIAM Identity Centerを使つかってメンバーアカウントへログインすることがおおいかとおもいます。 今回こんかい特定とくていのIAM Identity CenterユーザーのみAssumeRoleできるIAMロールを作成さくせいしてみました。 前提ぜんてい この記事きじではマルチアカウント環境かんきょう前提ぜんていとしているため、以下いかについてはすで有効ゆうこう作成さくせいされているものとしてすすめます。 Control Tower or Organizations IAM Identity Center メンバーアカウントへログインできるIAM Identity Centerユーザー IAM Identity Centerユーザーが利用りようするアクセス許可きょかセット 今回こんかい以下いかふたつのIAM Identity Centerユーザーを作成さくせいして、Administorator権限けんげんのアクセス許可きょかセットでログインしています。 User

                特定のIAM Identity CenterユーザーのみAssumeRoleできるIAMロールを作成する | DevelopersIO

              • CircleCIがOpenID ConnectをサポートしたのでAWSと連携れんけいさせてJWTを使用しようしたAssumeRoleをためしてみた | DevelopersIO

                CircleCIがOpenID ConnectをサポートしたのでAWSと連携れんけいさせてJWTを使用しようしたAssumeRoleをためしてみた こんにちは、CX事業じぎょう本部ほんぶ IoT事業じぎょう若槻わかつきです。 このたび、CI/CDプラットフォームCircleCIで、OpenID Connect(OIDC)がいよいよサポートされたとのことです。ちわびていたひとおおいのではないでしょうか。 #OIDC リリースされました! (OpenID Connect Tokens) Twitterでも「1がつにでるはずだったよね」という期待きたいをずいぶんいただき、ご関心かんしんをひしひしとかんじてしました。 - Changelog: https://t.co/oqM0zbE2OF - Doc: https://t.co/fOYKoKfTNd — CircleCI Japan (@CircleCIJapan) March 26, 2022 Circle

                  CircleCIがOpenID ConnectをサポートしたのでAWSと連携させてJWTを使用したAssumeRoleを試してみた | DevelopersIO

                • aws コマンドなど CLI でも簡単かんたんかつセキュアに AssumeRole したいですね。 今回こんかいは moznion/sesstok と 1password を利用りようして CLI から AssumeRole する方法ほうほうをまとめます。 - nao blog

                  はじめに 先日せんじつ、AWS Organizations を利用りようして AssumeRole できる環境かんきょう構築こうちくするという記事きじなかで AWS コンソールから AssumeRole する環境かんきょう構築こうちく方法ほうほうをまとめました。 aws コマンドなど CLI でも簡単かんたんかつセキュアに AssumeRole したいですね。 今回こんかいは moznion/sesstok と 1password を利用りようして CLI から AssumeRole する方法ほうほうをまとめます。 moznion.hatenadiary.com sesstok sesstok は MFA に対応たいおうした AWS の一時いちじトークンを取得しゅとくすることのできる Go でかれた CLI ツールです。 かたぼうショートムービーSNSてきかんじですかね。 一定いってい時間じかん失効しっこうする一時いちじトークンを都度つど発行はっこうして Organizations から AssumeRole するので、Organi

                    aws コマンドなど CLI でも簡単かつセキュアに AssumeRole したいですね。 今回は moznion/sesstok と 1password を利用して CLI から AssumeRole する方法をまとめます。 - nao blog

                  • AssumeRoleで取得しゅとくした一時いちじクレデンシャルの情報じょうほう環境かんきょう変数へんすうにセットしてもAWS認証にんしょうとおらずハマったはなし | DevelopersIO

                    こんにちは、CX事業じぎょう本部ほんぶ若槻わかつきです。 前回ぜんかい投稿とうこうしたつぎ記事きじ執筆しっぴつのための検証けんしょうさいに、 AssumeRole(スイッチロール)で一時いちじクレデンシャルを取得しゅとくして環境かんきょう変数へんすうにセットするワンライナー | Developers.IO 記事きじ紹介しょうかいしているワンライナーにより取得しゅとくした一時いちじクレデンシャルの情報じょうほう環境かんきょう変数へんすうにセットしてもAWS認証にんしょうとおらずハマったので、そのさいはなし共有きょうゆうします。 事象じしょう 前述ぜんじゅつ記事きじ紹介しょうかいしているつぎのコマンドを実行じっこうして、AssumeRoleで取得しゅとくした一時いちじクレデンシャルの情報じょうほうをを環境かんきょう変数へんすうAWS_ACCESS_KEY_ID、AWS_SECRET_ACCESS_KEYおよびAWS_SESSION_TOKENにセットしました。 % target_profile=<Assumeさきプロファイルめい> % mfa_code=<6けたのMFAコード> % AWS_STS_CREDENTIALS=`aws st

                      AssumeRoleで取得した一時クレデンシャルの情報を環境変数にセットしてもAWS認証が通らずハマった話 | DevelopersIO

                    • AssumeRole(スイッチロール)で一時いちじクレデンシャルを取得しゅとくして環境かんきょう変数へんすうにセットするワンライナー | DevelopersIO

                      こんにちは、CX事業じぎょう本部ほんぶ若槻わかつきです。 今回こんかいは、AWS CLIでAssumeRole(スイッチロール)により一時いちじクレデンシャルを取得しゅとくして環境かんきょう変数へんすうAWS_ACCESS_KEY_ID、AWS_SECRET_ACCESS_KEY、AWS_SESSION_TOKENにセットしてAWS接続せつぞく認証にんしょう利用りよう可能かのうとするワンライナーをつくってみたのでご紹介しょうかいします。 前提ぜんてい AWSプロファイルがつぎとお設定せっていみであること。(Assumeさきプロファイルのmfa_serialは必要ひつよう場合ばあいのみ) [default] region=ap-northeast-1 output=json [profile <Assumeさきプロファイルめい>] region = ap-northeast-1 mfa_serial = arn:aws:iam::xxxxxxxxxxxx:mfa/hoge role_arn = arn:aws:iam

                        AssumeRole(スイッチロール)で一時クレデンシャルを取得して環境変数にセットするワンライナー | DevelopersIO

                      • AssumeRole について DiveDeep する - サーバーワークスエンジニアブログ

                        コーヒーと DiveDeep がきな木谷きたに映見えみです。 みなさん、IAM を利用りようするさい、「AssumeRole」というアクションをにしたことはありますか?おそらくおおくのほうがかなりの回数かいすうにしているのではないでしょうか。 わたしとくにこの「AssumeRole」というアクションが大好だいすきです。目立めだたないけれど、いつもたくさんのサービスのうら活躍かつやくしている究極きゅうきょくえんした力持ちからもち、いいやつですよね。 本日ほんじつは AssumeRole について DiveDeep していきます。 IAM ロールはかぶるとちから帽子ぼうし AssumeRole とは アイデンティティベースのポリシー リソースベースのポリシー IAM ロールの信頼しんらいポリシー IAM ユーザーがける(かぶる)場合ばあい 例外れいがい AWS リソースがける(かぶる)場合ばあい IAM ロールを「ける」「かぶる」とは さいごに 参考さんこう ひとりごと IAM ロールはか

                        • ついにaws-actions/configure-aws-credentials@v1にOIDCでAssumeRoleできる機能きのうまれました! | DevelopersIO

                          吉川よしかわ@広島ひろしまです。 Release v1.6.0 · aws-actions/configure-aws-credentials 数日すうじつおきにチェックしていたのですが、今日きょうところ3にちまえにリリースされていました!づくのにすこおくれをってしまいました。 GitHub Actions OIDCでconfigure-aws-credentialsでAssumeRoleする | DevelopersIO GitHub Actions OIDC+configure-aws-credentialsは最高さいこうなのですが、唯一ゆいいつ、configure-aws-credentialsのリリースバージョンがられていないことだけがになっていました。 みんながのぞんだrelease GitHubドキュメントでも aws-actions/configure-aws-credentials@master とバージョンではな

                            ついにaws-actions/configure-aws-credentials@v1にOIDCでAssumeRoleできる機能が取り込まれました! | DevelopersIO

                          • GitHub Actions OIDCでconfigure-aws-credentialsでAssumeRoleする | DevelopersIO

                            2022/1/8 aws-actions/configure-aws-credentials@v1アップデートを反映はんえいしました https://dev.classmethod.jp/articles/aws-configure-credentials-v1 吉川よしかわ@広島ひろしまです。 [GitHub Actions]aws-actions/configure-aws-credentialsを使つかってOIDCプロバイダをかいしたSwitchRoleをする | DevelopersIO 先日せんじつこちらのブログをいたのですが、色々いろいろわったため、最新さいしん内容ないよう反映はんえいした手順てじゅんあたらしくブログにすることにしました(ふる記事きじには注釈ちゅうしゃくれておきます)。 IDプロバイダを作成さくせい まずIAM ID Providerを作成さくせいします。 プロバイダのタイプ: OpenIDConnect プロバイダのURL: https://token.ac

                              GitHub Actions OIDCでconfigure-aws-credentialsでAssumeRoleする | DevelopersIO

                            • [Terraform CLI]MFA認証にんしょう使つかったAssumeRole。AWSVaultで解決かいけつ | DevelopersIO

                              はじめに 最近さいきんさわはじめたTerraform CLI。Terraformコマンドを実行じっこうする権限けんげんは、AWS CLIとおなじく.aws/credentials、.aws/configを利用りようすることができますが、MFA認証にんしょう使つかったAssumeRoleを使つか場合ばあいは、ひと手間てま必要ひつようです。 MFA認証にんしょうはエラーとなる IAMを利用りようしているほうは、ユーザーおよびパスワードだけじゃなくMFAを必須ひっすとするポリシーで運用うんようされているほうおおいとおもいます。また、環境かんきょう分離ぶんりでAWSアカウントあいだはスイッチロールする運用うんようされている場合ばあい、aws:MultiFactorAuthPresentをtrueとするように設定せっていしているほうおおいかとおもいます。Terraform CLIでもおなじくMFAを必須ひっすとするよう、credentials、configにmfa_serialが指定していされたprofileを指定していして実行じっこうすると以下いかのエラーが発生はっせいします。

                                [Terraform CLI]MFA認証を使ったAssumeRole。AWSVaultで解決 | DevelopersIO

                              • AssumeRole(スイッチロール)で複数ふくすうAWSアカウント運用うんよう【ビギナーけ】 - サーバーワークスエンジニアブログ

                                技術ぎじゅつさん杉村すぎむらです。これからAWSを本格ほんかくてき利用りようしていこうとおもっているほうのために、複数ふくすうAWSアカウントの運用うんよう簡単かんたんにご説明せつめいします。 前回ぜんかいのブログをご理解りかいいただいていることを前提ぜんていとしていますので、未読みどくほう以下いかをご参照さんしょうください。 AWSアカウントとは?IAMとは?【ビギナーけ】 なおほん投稿とうこうではAWSビギナーのほうでも理解りかいいただけるよう表現ひょうげん抽象ちゅうしょうしたり、あえてふか説明せつめいしていない部分ぶぶんもありますが、まずは概要がいよう理解りかいするためのものとおかんがえください。 1. 複数ふくすうAWSアカウントの利用りよう 前回ぜんかいのブログでは、AWSアカウントを部署ぶしょ単位たんい、あるいは環境かんきょう単位たんいけるメリットを以下いかのように説明せつめいしました。 AWS権限けんげん明確めいかく分離ぶんり(セキュリティ・ガバナンスじょうのメリット) AWS利用りよう料金りょうきん明確めいかく分離ぶんり(コスト管理かんりじょうのメリット) さらにった設計せっけい(セキュリティ・ガバナンス・コンプライアンス)をかんがえたとき、下記かきのAWS La

                                  AssumeRole(スイッチロール)で複数AWSアカウント運用【ビギナー向け】 - サーバーワークスエンジニアブログ

                                • GetFederationToken は AssumeRole や GetSessionToken となにちがうのか | DevelopersIO

                                  sts:GetFederationToken がきです。でも sts:AssumeRole はもっときです。 コンバンハ、AssumeRole 大好だいすきおじさんです。 AssumeRole とは、IAM ユーザーや AWS サービスといったエンティティが IAM ロールをけるアクションをします。けたのちは「IAM ロールをけたセッション」がプリンシパルとなりアクションを実行じっこうします。 IAM ロール自身じしんではなくそれをけたセッションが実行じっこうもとである、という部分ぶぶんにえもいわれぬ浪漫ろうまんかんじますね。このようなプリンシパルはセッションプリンシパルとばれることもあります。 そしてセッションプリンシパルとばれるのは「IAM ロールをけたセッション」だけではありません。GetFederationToken によるフェデレーテッドユーザーもセッションプリンシパルのひとつです。

                                    GetFederationToken は AssumeRole や GetSessionToken と何が違うのか | DevelopersIO

                                  • AWS CLIがAssumeRoleするさいのセッションめい指定していする | DevelopersIO

                                    こんにちは。サービスグループの武田たけだです。 AWS CLIはきですか?(挨拶あいさつ) AWSの操作そうさはマネジメントコンソールを利用りようしてぽちぽちする方法ほうほうらくですが、自動じどうなどしたい場合ばあいにはAWS CLIも便利べんりです。またAWS CLIにはプロファイルにIAMロールを設定せっていしておくだけで自動的じどうてきにAssumeRole(スイッチロール)してコマンドを実行じっこうしてくれる機能きのうもあります。 さてAssumeRoleをして一時いちじてきなクレデンシャルを取得しゅとくするさいにはセッションめい指定してい必要ひつようです。つぎのようにassume-roleコマンドのリファレンスでも--role-session-nameが必須ひっすパラメーターとなっています。 assume-role --role-arn <value> --role-session-name <value> AWS CLIがプロファイルの設定せっていから自動的じどうてきにAssumeRoleするさいには、セッション

                                      AWS CLIがAssumeRoleする際のセッション名を指定する | DevelopersIO

                                    • AWS SDK for JavaScriptで、「要素ようそ認証にんしょう(MFA)をしてAssumeRole(スイッチロール)」するスクリプトをいてみた | DevelopersIO

                                      AWS SDK for JavaScriptで、「要素ようそ認証にんしょう(MFA)をしてAssumeRole(スイッチロール)」するスクリプトをいてみた Jumpアカウント環境かんきょうでもAWS SDKを使つかって操作そうさしたかったので、AWS SDK for JavaScript でスクリプト(TypeScript)をいてみました。 AWS SDK for JavaScriptで簡単かんたんに「要素ようそ認証にんしょう(MFA)をしてAssumeRole(スイッチロール)」したい こんにちは、のんピ です。 みなさんはAWS SDK for JavaScriptで以下いかのように「要素ようそ認証にんしょう(MFA)をしてAssumeRole(スイッチロール)」したいとおもったことはありますか? わたしはあります。 AWS CLIの場合ばあいは、以下いか記事きじ紹介しょうかいしているとおり、~/.aws/configを設定せっていすれば簡単かんたんにスイッチロールして操作そうさができます。 しかし、それで

                                        AWS SDK for JavaScriptで、「多要素認証(MFA)をしてAssumeRole(スイッチロール)」するスクリプトを書いてみた | DevelopersIO

                                      • AWS CLI で SSO profile をもとにした AssumeRole profile の設定せってい - Qiita

                                        AWS CLI の設定せってい (~/.aws/config) で、 AssumeRole profile の source_profile として SSO Profile を指定していする、という内容ないようです。 この設定せっていにより、IAM User とその Key/Secret なしに、特定とくていの AWS アカウントじょうのリソースに API 経由けいゆでアクセス可能かのうとなります。 ほん記事きじでは、上記じょうき具体ぐたいてき設定せってい方法ほうほう紹介しょうかいします。 また、その設定せっていもちいて AWSアカウントじょう特定とくていのIAM Roleにえて、 aws cli (aws コマンド) 実行じっこうもしくは aws-sdk を使つかったAWS APIしをおこな方法ほうほうについても記載きさいします。 AssumeRole Profile の適用てきよう事例じれい この操作そうさにより、たとえば、 新規しんき機能きのうのリリースまえに、事前じぜんにローカル環境かんきょう権限けんげん設定せってい変更へんこうによる影響えいきょうをエミュレートすることなどが可能かのう

                                          AWS CLI で SSO profile を元にした AssumeRole profile の設定 - Qiita

                                        • いまのはスイッチロールではない…AssumeRole からのフェデレーションサインインだ…をやってみた | DevelopersIO

                                          IAM ロールの認証にんしょう情報じょうほうでマネジメントコンソールにアクセスする、を実現じつげんできるのはスイッチロールだけではありません。一時いちじてき認証にんしょう情報じょうほう使用しようしてサインイントークンを取得しゅとくし、フェデレーテッドユーザーとしてサインインすることもできます。 コンバンハ、千葉ちばこう)です。 …いまのはスイッチロールではい… AssumeRole からのフェデレーションサインインだ… そんなセリフをいたくなったことはありませんか?わたしはありません。「AssumeRole からのフェデレーションサインイン」なんていいまわしはきっとこの地球ちきゅうじょう存在そんざいしないので、ありません。 ここでのスイッチロールとは「① IAM ユーザーのユーザーめいとパスワードを利用りようしてマネジメントコンソールにサインインする」「② IAM ロールにえる」のながれをしています。 IAM ロールの認証にんしょう情報じょうほう利用りようしてマネジメントコンソールで操作そうさしたい場合ばあいには、こ

                                            今のはスイッチロールではない…AssumeRole からのフェデレーションサインインだ…をやってみた | DevelopersIO

                                          • awsdoに ~/.aws/(config|credentials)の設定せってい情報じょうほうがなくてもAssumeRoleできるようにするためのオプションと、AssumeRoleしたロールでAWSコンソールにログインするオプションを追加ついかした - Copy/Cut/Paste/Hatena

                                            1ねん以上いじょうまえからのひさしぶりのアップデートです。 k1low.hatenablog.com --role-arn --source-profile 複数ふくすうのAWSアカウントを横断おうだんして作業さぎょうすることがあり、AssumeRoleのための設定せっていを~/.aws/(config|credentials)にくのすら面倒めんどうになってきたので、設定せっていなしでAssumeRoleができるようにするためのオプション --role-arn と --source-profile を追加ついかしました。 委任いにんもとのアカウントAのロール arn:aws:iam::AAAAAAAAAAAAAA:role/example-role を委任いにんさきのアカウントBに委任いにんできるようにしている場合ばあい委任いにんさきのアカウントBの設定せっていが ~/.aws/(config|credentials) にある場合ばあいは( profile-b )、 $ awsdo --role-a

                                              awsdoに ~/.aws/(config|credentials)の設定情報がなくてもAssumeRoleできるようにするためのオプションと、AssumeRoleしたロールでAWSコンソールにログインするオプションを追加した - Copy/Cut/Paste/Hatena

                                            • Retool で AssumeRole してDynamoDBテーブルにアクセスする(アクセスキーが流出りゅうしゅつしても、被害ひがい最小限さいしょうげんにしよう) | DevelopersIO

                                              いろんなデータベースやAPIと接続せつぞくしてWebアプリをサクッとつくれるRetoolですが、DynamoDBと連携れんけいする場合ばあいは、IAMユーザのアクセスキーを使つかいます。 もし、アクセスキーが流出りゅうしゅつしたら一大事いちだいじです。 そこで、AssumeRoleを使つかって、すこしでも影響えいきょうちいさくなる方法ほうほうためしてみました。 Retoolについては、下記かきをごらんください。 おすすめのほう RetoolでAssumeRoleしたいかた IAMユーザとIAMロールと実験じっけんようのDynamoDBテーブルを作成さくせいする CloudFormationテンプレート 下記かき作成さくせいします。 RetoolようのIAMユーザ RetoolようのIAMユーザに付与ふよするIAMポリシー(AssumeRoleのみ可能かのう) RetoolようのIAMユーザがAssumeRoleするIAMロール(DynamoDBにたいする操作そうさ権限けんげんのみ) DynamoDBテーブル AssumeRoleを

                                                Retool で AssumeRole してDynamoDBテーブルにアクセスする(アクセスキーが流出しても、被害を最小限にしよう) | DevelopersIO

                                              • AssumeRoleで取得しゅとくする一時いちじてき認証にんしょう情報じょうほう有効ゆうこう期限きげんながくしてみた | DevelopersIO

                                                こんにちは、CX事業じぎょう本部ほんぶ若槻わかつきです。 AWSでのスイッチロール(AssumeRole)により取得しゅとくできる一時いちじてき認証にんしょう情報じょうほう有効ゆうこう期限きげんは、各種かくしゅassumeの方法ほうほう(AWSマネジメントコンソール、CLI、API)とも既定きていで1h、最大さいだい12hとなっています。 Using IAM roles - AWS Identity and Access Management 今回こんかいは、AssumeRoleで取得しゅとくする一時いちじてき認証にんしょう情報じょうほう有効ゆうこう期限きげん既定きていの1hからながくしてみました。 現状げんじょう有効ゆうこう期限きげん確認かくにん コマンド実行じっこう使用しようする変数へんすう定義ていぎします。 % profile=<Profile> % role_name=<Role Name> Assumeの引受ひきうけロールの有効ゆうこう期限きげん(MaxSessionDuration)は既定きていの1hとなっています。 % aws iam get-role \ --profile ${profile} \ -

                                                  AssumeRoleで取得する一時的な認証情報の有効期限を長くしてみた | DevelopersIO

                                                • IAMユーザーにAssumeRoleの権限けんげんくてもスイッチロールできる(ようにえる)のはなぜですか? | DevelopersIO

                                                  こまっていた内容ないよう スイッチロールの信頼しんらい関係かんけい設定せっていにおける AssumeRole権限けんげんについて質問しつもんします。 アカウントのIAMユーザーに、アカウントのIAMロールにスイッチできるよう設定せっていおこなっています。 ロールの信頼しんらい関係かんけいつぎのようにアカウント( root = アカウント自体じたい意味いみになります)で指定していした場合ばあい、ユーザーに「sts:AssumeRole」のアクセス権限けんげん必要ひつようだと認識にんしきしています。 arn:aws:iam::XXXXXXXXXXXX:root 一方いっぽうで、ロールの信頼しんらい関係かんけいつぎのようにユーザーめい指定していすると、ユーザーに「sts:AssumeRole」のアクセス権限けんげんくてもスイッチロールできてしまいます。 arn:aws:iam::XXXXXXXXXXXX:user/username このようないのちがいがきるのはどうしてでしょうか? ユーザーめい指定していする方法ほうほうでスイッチロールする場合ばあい

                                                    IAMユーザーにAssumeRoleの権限が無くてもスイッチロールできる(ように見える)のはなぜですか? | DevelopersIO

                                                  • GKEのPodからTokenRequestProjectionで発行はっこうされたOIDCのID Tokenを使用しようしてAWSのRoleにAssumeRoleしてみる | GRIPHONE ENGINEER'S BLOG

                                                    GKEのPodからTokenRequestProjectionで発行はっこうされたOIDCのID Tokenを使用しようしてAWSのRoleにAssumeRoleしてみる この記事きじは GRIPHONE Advent Calendar 2021 2にち記事きじです。 SREの徳田とくたです。 GKEのTokenRequestで発行はっこうされたID Tokenってそとから検証けんしょうできるんだっけ・・?という疑問ぎもんから色々いろいろさがしていたところ、OpenID Connect Discoveryまで実装じっそうされており外部がいぶからID Tokenの検証けんしょう可能かのうだったため、これを活用かつようして今回こんかいはAWSのRoleにAssumeRoleしてみようとおもいます。 TL;DR TokenRequestProjectionでTokenをマウントAWSでOIDC Identity Providerの設定せっていとそこからAssumeRoleできるIAM Roleの作成さくせいProvi

                                                      GKEのPodからTokenRequestProjectionで発行されたOIDCのID Tokenを使用してAWSのRoleにAssumeRoleしてみる | GRIPHONE ENGINEER'S BLOG

                                                    • [ちょうしょうネタ]Windows 10でAssumeRoleにAWS CLIのコマンドをためしてみた | DevelopersIO

                                                      こんにちは!コンサルのinomaso(@inomasosan)です。 前回ぜんかい、Cyberduckのブログをいたのですが、ローカル端末たんまつでAssumeRoleした場合ばあいにどうやってAWS CLIのコマンド実行じっこうすればいいんだっけ??となりました。 普段ふだんはAWS Cloud Shellを使つかうことがおおいので、時間じかんつとわすれそうだなとおもい、備忘びぼうようにブログでのこすことにしました。 まとめ IAMロールのプロファイルを指定していしてコマンド実行じっこうすればよい。 やってみた AWS CLIのクレデンシャル設定せってい 前回ぜんかい同様どうよう以下いかのパスにクレデンシャルを設定せっていしていきます。 C:\Users\<ユーザめい>\.aws\credentials 以下いかのようなクレデンシャル設定せっていでコマンドを実行じっこうできるかためしていきます。 [iam-user] aws_access_key_id = AKIAXXXXXXXXXXXXXXXXXXX aw

                                                        [超小ネタ]Windows 10でAssumeRole後にAWS CLIのコマンドを試してみた | DevelopersIO

                                                      • AWS Step FunctionsでタスクごとべつアカウントのロールにAssumeRole(スイッチロール)出来できるようになりました! | DevelopersIO

                                                        AWS Step FunctionsでタスクごとべつアカウントのロールにAssumeRole(スイッチロール)出来できるようになりました! AWS Step FunctionsでタスクごとべつアカウントのロールにAssumeRole(スイッチロール)出来できるようになりました!これでリソースベースポリシーがサポートされてないべつアカウントのリソースもStep Functionsから直接ちょくせつ操作そうさ出来できるように! おつかれさまです。とーちです。 最近さいきんは AWS re:Invent 2022 の開催かいさいちかいせいかすごいかずのアップデートが AWS から発表はっぴょうされてますね。 そんなアップデートのなかでも個人こじんてきにオッとおもったアップデートである AWS Step Functions のクロスアカウントアクセスにかんするアップデートをご紹介しょうかいしたいとおもいます。 かんたんまとめ ステートマシンないのタスク単位たんいべつアカウントのロールに Ass

                                                          AWS Step Functionsでタスク毎に別アカウントのロールにAssumeRole(スイッチロール)出来るようになりました! | DevelopersIO

                                                        • [しょうネタ]GitHub ActionsでAssumeRoleするOIDCプロバイダのIssuerURLとオーディエンスの指定してい変更へんこうされました | DevelopersIO

                                                          9月に話題わだいとなったGitHub ActionsでAWS Credentials が不要ふようでAssumeRoleできるようになりましたが、OIDCプロバイダのIssuerURLが変更へんこうになりました。 突然とつぜん実行じっこうエラー 当初とうしょ以下いかのCloudFormationテンプレートでIAMロールを作成さくせいして10/8くらいまでうごいていました。 AWSTemplateFormatVersion: "2010-09-09" Parameters: RepoName: Type: String Default: example-nakahara/cfn-cicd Resources: Role: Type: AWS::IAM::Role Properties: RoleName: github-actions-role ManagedPolicyArns: [arn:aws:iam::aws:policy/ReadO

                                                            [小ネタ]GitHub ActionsでAssumeRoleするOIDCプロバイダのIssuerURLとオーディエンスの指定が変更されました | DevelopersIO

                                                          • GitHub ActionsとAWSのOIDC連携れんけい特定とくていのRepositoryやBranchにのみAssumeRoleを許可きょかさせてみた | DevelopersIO

                                                            GitHub ActionsとAWSのOIDC連携れんけい特定とくていのRepositoryやBranchにのみAssumeRoleを許可きょかさせてみた こんにちは、CX 事業じぎょう本部ほんぶ IoT 事業じぎょう若槻わかつきです。 今回こんかいは、GitHub Actions と AWS の OIDC 連携れんけい特定とくていの Repository や Branch にのみ AssumeRole を許可きょかさせてみました。 設定せってい箇所かしょ GitHub と AWS の OIDC 連携れんけいをさせるためには、AWS にはつぎの 2 つのリソースを作成さくせいする必要ひつようがあります。 ID Provider IAM Role(および Inline Policy) そして OIDC 可能かのうな GitHub の Repository や Branch を制限せいげんする場合ばあいは、IAM Role の Trusted entities のConditionを設定せっていする必要ひつようがあります。 { "Versi

                                                              GitHub ActionsとAWSのOIDC連携で特定のRepositoryやBranchにのみAssumeRoleを許可させてみた | DevelopersIO

                                                            • AWS SDK for JavaScript v3で要素ようそ認証にんしょう(MFA)をしてAssumeRole(スイッチロール)やEC2インスタンスを作成さくせいしてみた | DevelopersIO

                                                              AWS SDK for JavaScript v3で要素ようそ認証にんしょう(MFA)をしてAssumeRole(スイッチロール)やEC2インスタンスを作成さくせいしてみた v2とv3があったらv3をさわってみたくなるのがひとせい こんにちは、のんピ です。 みなさんはAWS SDK for JavaScript v3をさわったことはありますか? わたしはありません。 AWS SDK for JavaScript v3は、こちらのwhat's newにあるとおり、2020/12/15に一般いっぱん公開こうかいされています。 AWS SDK for JavaScript v2とAWS SDK for JavaScript v3があったら、よりあたらしいAWS SDK for JavaScript v3をさわってみたくなるのがひとせいというものです。 リリースされた半年はんとし以上いじょうった2021ねん8がつ現在げんざいでも、さわってみたけい記事きじすくないのもあり、AWS SDK

                                                                AWS SDK for JavaScript v3で多要素認証(MFA)をしてAssumeRole(スイッチロール)やEC2インスタンスを作成してみた | DevelopersIO

                                                              • インスタンスプロファイル作成さくせいとAWS Systems Managerの設定せっていをAWS CLIを使つかってやってみようとしたら、IAM ロールとポリシーとAssumeRoleでハマったのでやってみた順番じゅんばん整理せいりしてみた | DevelopersIO

                                                                インスタンスプロファイル作成さくせいとAWS Systems Managerの設定せっていをAWS CLIを使つかってやってみようとしたら、IAM ロールとポリシーとAssumeRoleでハマったのでやってみた順番じゅんばん整理せいりしてみた みなさんどうも、新卒しんそつエンジニアのたいがーです? なにこったのかといますと、タイトルどおりです。AWS CLIでインスタンスプロファイルとAWS Systems Manager(以下いか、SSM)の設定せっていをしようとして、とてもまりました。 わたしが"どういうところにハマったか、どう解決かいけつしたか"、実際じっさいながれに沿っていていきたいとおもいます。 そもそもなにがあったのか はじめは、AWS CLIを使つかってCloud Formationのテンプレートからスタックを作成さくせいしようとしていました。 今回こんかいのテンプレートでは、スタック実行じっこうまえにインスタンスプロファイルを作成さくせいする必要ひつようがあったため、IAMロールをあらたに作成さくせい

                                                                  インスタンスプロファイル作成とAWS Systems Managerの設定をAWS CLIを使ってやってみようとしたら、IAM ロールとポリシーとAssumeRoleでハマったのでやってみた順番で整理してみた | DevelopersIO

                                                                • CircleCIとAWSのOIDC連携れんけい特定とくていのProjectやUserにのみAssumeRoleを許可きょかさせてみた | DevelopersIO

                                                                  こんにちは、CX事業じぎょう本部ほんぶ IoT事業じぎょう若槻わかつきです。 前回ぜんかいのエントリでは、CircleCIとAWSをOIDC連携れんけいさせて、永続えいぞくてき認証にんしょう情報じょうほう使用しようしないセキュアなAssumeRoleをためしてみました。 今回こんかいは、CircleCIとAWSのOIDC連携れんけいでさらにセキュリティをたかめる対応たいおうとして、特定とくていのCircle CI Project(GitHub Repository)やUserにのみAssumeRoleを許可きょかする設定せっていためしてみました。 やってみた おなじCircleCI Organization(GitHub Account)にぞくするProject(Repository)であるrepository_aとrepository_bでためしてみます。 準備じゅんび まず準備じゅんびとして、ProjectおよびUserの制限せいげんなくOIDCによるAssumeRoleが可能かのうなOIDC設定せってい構築こうちくします。(前回ぜんかいのエントリとほぼおな構築こうちくない

                                                                    CircleCIとAWSのOIDC連携で特定のProjectやUserにのみAssumeRoleを許可させてみた | DevelopersIO

                                                                  • 【AWS IAM しょうネタ】権限けんげんせばめてスイッチロール(AssumeRole)する | DevelopersIO

                                                                    なに作業さぎょうおこなさいに、作業さぎょうようのIAMロールへ スイッチロール(AssumeRole)するケースはおおいとおもいます。 そのときの権限けんげん基本きほんてきには 「そのロールにアタッチされたポリシー」です。 ですが、その権限けんげんを AssumeRole せばめられることを最近さいきん(今更いまさら)りました。 「セッションポリシー」というものを使つかって スイッチロールさきでの権限けんげんせばめられるとのこと。 今回こんかいはこのセッションポリシーを適用てきようして スイッチロール(AssumeRole)をためしてみました。 まずは普通ふつうにAssumeRole まずは aws sts assume-role コマンドを使つかった いつもどおりのスイッチロールを紹介しょうかいします。 以下いかシンプルなコマンドサンプルです。 ### スイッチさきのロールARN role_arn="arn:aws:iam::123456789012:role/example-dev-role" ##

                                                                      【AWS IAM 小ネタ】権限を狭めてスイッチロール(AssumeRole)する | DevelopersIO

                                                                    • GitHub ActionsでAWSにAssumeRoleでデプロイしてSlack通知つうちしようとしたらError: Resource not accessible by integrationが発生はっせいした | DevelopersIO

                                                                      GitHub ActionsでAWSにAssumeRoleでデプロイしてSlack通知つうちしようとしたらError: Resource not accessible by integrationが発生はっせいした 2021/11/26追記ついき ほん記事きじ内容ないようをリポジトリのREADMEにんでもらえました。 https://github.com/8398a7/action-slack/pull/177 吉川よしかわ@広島ひろしまです。 GitHub Actions OIDCがあついですね。日本語にほんご情報じょうほう続々ぞくぞくてきています。 GitHub Actions: Secure cloud deployments with OpenID Connect | GitHub Changelog GitHub ActionsがOpenID Connectをサポート。GitHubからクラウドへのデプロイがより安全あんぜんに - Publickey G

                                                                        GitHub ActionsでAWSにAssumeRoleでデプロイしてSlack通知しようとしたらError: Resource not accessible by integrationが発生した | DevelopersIO

                                                                      • Boto3でAssumeRoleするさいにSTSのリージョナルエンドポイントを使用しようする | DevelopersIO

                                                                        こんにちは。サービスグループの武田たけだです。 すべてのリージョンでAWS Configを有効ゆうこうしようとしたところ、ある特定とくていリージョンのみつぎのエラーが処理しょり完了かんりょうできませんでした。 An error occurred (UnrecognizedClientException) when calling the DescribeConfigurationRecorders operation: The security token included in the request is invalid あるリージョンというのは香港ほんこんリージョン(ap-east-1)です。香港ほんこんリージョンのみ処理しょり失敗しっぱいするといてピンとくるひともいるでしょうか。たとえば検索けんさくするとつぎのエントリがヒットします。 このエントリにもあるように、オプトインリージョンでただしく処理しょりするためにはSTSエンドポイントにをつける必要ひつようがありま

                                                                          Boto3でAssumeRoleする際にSTSのリージョナルエンドポイントを使用する | DevelopersIO

                                                                        • Use AssumeRole to provision AWS resources across accounts | Terraform | HashiCorp Developer

                                                                          AWS AssumeRole allows you to grant temporary credentials with additional privileges to users as needed, following the principle of least privilege. To configure AssumeRole access, you must define an IAM role that specifies the privileges that it grants and which entities can assume it. AssumeRole can grant access within or across AWS accounts. If you are administering multiple AWS accounts, you ca

                                                                            Use AssumeRole to provision AWS resources across accounts | Terraform | HashiCorp Developer

                                                                          • Using AWS AssumeRole with the AWS Terraform Provider

                                                                            Introduction This article will detail how to use AWS AssumeRole with the AWS Terraform provider to connect to other AWS accounts via one AWS account. AWS AssumeRole allows an IAM user to use security credentials from one AWS account to request temporary security credentials to access other AWS accounts by assuming roles in those accounts. This allows an IAM user to access multiple AWS accounts wit

                                                                            • AWS SDK For Python (Boto3) で「要素ようそ認証にんしょう(MFA)が必要ひつようなAssumeRole(スイッチロール)」をするスクリプトをいてみる | DevelopersIO

                                                                              オペレーション加藤かとう(はや)です。 うえのように、あるAWSアカウントのIAMユーザからべつAWSアカウントに存在そんざいするIAMロールにたいして MFAようのワンタイムパスワードをもちいてAssumeRole(スイッチロール)するスクリプトを作成さくせいしました。 サンプルコード IAMユーザのぬしがローカル端末たんまつうごかすことを想定そうていしています。 ワンタイムパスワードは対話たいわてき入力にゅうりょくします。 from boto3.session import Session # 変数へんすう設定せってい PROFILE = 'default' # 端末たんまつの ~/.aws/credentials ない設定せっていしているプロファイルめい ROLE_NAME='myRole' # スイッチロールさきのロールめい TARGET_ACCOUNT='123456789012' # スイッチロールさきAWSアカウントID(12けた) REGION = 'ap-northeas

                                                                                AWS SDK For Python (Boto3) で「多要素認証(MFA)が必要なAssumeRole(スイッチロール)」をするスクリプトを書いてみる | DevelopersIO
                                                                              1

                                                                              新着しんちゃく記事きじ

                                                                              はてなブックマーク

                                                                              公式こうしきTwitter

                                                                              はてなのサービス

                                                                              • App Storeからダウンロード
                                                                              • Google Playで手に入れよう
                                                                              Copyright © 2005-2024 Hatena. All Rights Reserved.