(Translated by https://www.hiragana.jp/)
[7ページ] iamの人気記事 421件 - はてなブックマーク

検索けんさく対象たいしょう

ならじゅん

ブックマークすう

期間きかん指定してい

  • から
  • まで

241 - 280 けん / 421けん

新着しんちゃくじゅん 人気にんきじゅん

iamの検索けんさく結果けっか241 - 280 けん / 421けん

iamの関連かんれんエントリー

  • [速報そくほう] AWS Identity and Access Management Access Analyzerがリリースされました! #reinvent | DevelopersIO

    こんにちは。サービスグループの武田たけだです。 現在げんざいre:Invent 2019に参加さんかしていますが、キーノートをまえにしてしん機能きのうのリリースがまりません!今回こんかいあたらしく、AWS Identity and Access Management Access Analyzer(以下いか、IAM Access Analyzer)がリリースされましたのでおとどけします。 Introducing AWS Identity and Access Management (IAM) Access Analyzer IAM Access Analyzerとは IAM Access Analyzerはサポートしているリソースが、意図いとしたどおりのアクセスのみを提供ていきょうしているかを継続けいぞくてきにチェックできるサービスです。リリース時点じてんでサポートしているリソースはつぎのとおりです。 Amazon S3バケット AWS KMSキー Amazon S

      [速報] AWS Identity and Access Management Access Analyzerがリリースされました! #reinvent | DevelopersIO

    • IAM Roles Anywhere で AWS IAM ロールを AWS 外部がいぶのワークロードに拡張かくちょうする | Amazon Web Services

      Amazon Web Services ブログ IAM Roles Anywhere で AWS IAM ロールを AWS 外部がいぶのワークロードに拡張かくちょうする この記事きじは Extend AWS IAM roles to workloads outside of AWS with IAM Roles Anywhere をやくしたものです。 IAM Roles Anywhere のリリースのとおり、AWS Identity and Access Management (IAM) をもちいて AWS 外部がいぶ稼働かどうしているワークロードに IAM ロールを簡単かんたん使用しようできるようになりました。この機能きのうは、IAM ロールの機能きのうを AWS 外部がいぶのワークロードに拡張かくちょうします。IAM Roles Anywhere を利用りようすることで、オンプレミスのサーバー、コンテナ、またはアプリケーションが一時いちじてきな AWS クレデンシャルを取得しゅとく

        IAM Roles Anywhere で AWS IAM ロールを AWS 外部のワークロードに拡張する | Amazon Web Services

      • IAM Permissions boundary(アクセス権限けんげん境界きょうかい)で明示めいじてき許可きょかしていないアクションでも条件じょうけん次第しだい実行じっこうできるということを評価ひょうか論理ろんりながれをながめてさい認識にんしきしてみた | DevelopersIO

        コンバンハ、千葉ちばこう)です。 突然とつぜんですが問題もんだいです。 以下いか条件じょうけんがあったとします。 同一どういつの AWS アカウントに S3 バケット A と IAM ユーザー A が存在そんざいする IAM ユーザー A の Permissions boundary には AWS 管理かんりポリシーViewOnlyAccessが設定せっていされている ここで、IAM ユーザー A が S3 バケット A にたいしてPutObjectを実行じっこうしたいとします。(補足ほそくしておくと、ViewOnlyAccessにはPutObjectの Allow はふくまれていません。) 以下いかのうち、アクションの結果けっかについてもっと適切てきせつ説明せつめいしているものを選択せんたくしてください。 IAM ユーザー A の Permissions policy で適切てきせつな Allow が設定せっていされていればアクションは成功せいこうする S3 バケット A のバケットポリシーで適切てきせつな Allow が設定せっていされ

          IAM Permissions boundary(アクセス権限の境界)で明示的に許可していないアクションでも条件次第で実行できるということを評価論理の流れを眺めて再認識してみた | DevelopersIO

        • AWS Organizationsから新規しんきAWSアカウントを作成さくせいしてスイッチロールしてみた | DevelopersIO

          こんにちは、臼田うすだです。 みなさん、アカウント管理かんりしてますか?(挨拶あいさつ 今回こんかいはAWS Organizationsを利用りようして新規しんきのAWSアカウントを作成さくせいしてみました。ついでにスイッチロールでアクセスしてみます。 AWS Organizationsとは AWS Organizationsは複数ふくすうのAWSアカウントをまとめて管理かんりすることができる便利べんり機能きのうです。 おも請求せいきゅうをまとめたり、アカウントをまたいでSCP(サービスコントロールポリシー)で権限けんげん管理かんりおこなうなどガバナンスをかせたりすることができます。 Organizationsでは組織そしきという単位たんい作成さくせいしてそのなかにアカウントをちます。 組織そしきにアカウントを追加ついかする方法ほうほうは、既存きそんのアカウントを招待しょうたいする方法ほうほうと、新規しんきアカウントをOrganizationsから作成さくせいする方法ほうほうがあります。 今回こんかいはOrganizationsから作成さくせいしてみます。 AWS Organizati

            AWS Organizationsから新規AWSアカウントを作成してスイッチロールしてみた | DevelopersIO

            • iamの関連かんれんエントリー

          • IAM ポリシーで新規しんき IAM ユーザーがマネジメントコンソールへアクセスするのをふせぐための対処たいしょ方法ほうほう | DevelopersIO

            こまっていた内容ないよう IAM ポリシーで IAM ユーザー作成さくせいのプログラムによるアクセスようの IAM ユーザの作成さくせい許可きょかするが、AWS マネジメントコンソールへのアクセスようの IAM ユーザの作成さくせい拒否きょひするという設定せってい可能かのうでしょうか。可能かのう場合ばあい方法ほうほうおしえてください。 IAM コンソールでは以下いか設定せってい箇所かしょ該当がいとうします。 どう対応たいおうすればいいの? プログラムによるアクセスを許可きょかし、AWS マネジメントコンソールへのアクセスを拒否きょひする IAM ポリシーは設定せってい可能かのうです。 IAM コンソールのチェック項目こうもく以下いかの API に該当がいとうします。 プログラムによるアクセス: CreateAccessKey AWS マネジメントコンソールへのアクセス: CreateLoginProfile 新規しんき作成さくせいする IAM ユーザーの AWS マネジメントコンソールへのアクセスを判定はんていするアクションはiam:CreateLogi

              IAM ポリシーで新規 IAM ユーザーがマネジメントコンソールへアクセスするのを防ぐための対処方法 | DevelopersIO

            • IAMユーザーやAWSアカウントのルートユーザー に複数ふくすうの MFA デバイスをてることができるようになりました | DevelopersIO

              つかれさまです。とーちです。 IAM に複数ふくすうの MFA デバイスをてることができるようになったというアナウンスをたのでためしてみました。 かんたんまとめ AWS アカウントのルートユーザーや IAM ユーザーに最大さいだいやっつの MFA をてられる ログインするときにはてられたなかのどれかひとつの MFA を使つかってログイン さっそくためしてみた 適当てきとうな IAM ユーザーを用意よういしてどんなうごきになるのかを確認かくにんしてみました。 まずは MFA の設定せっていをします。MFA の設定せってい方法ほうほう従来じゅうらいわらず、AWS マネージメントコンソールの IAM 画面がめんから登録とうろくをしていきます。 2022/11/17 追記ついき: MFA の設定せってい方法ほうほうについて従来じゅうらいわらずと記載きさいしておりましたが、正確せいかくには従来じゅうらいことなり MFA の名前なまえをつける必要ひつようがあります。 またこの名前なまえについては、AWS アカウントない一意いちい※1である必要ひつよう があり、れい

                IAMユーザーやAWSアカウントのルートユーザー に複数の MFA デバイスを割り当てる事ができるようになりました | DevelopersIO

              • Google Cloud のアクセス管理かんりをおさらいしよう 2020アップデートばん

                この記事きじは Google Cloud Japan Customer Engineer Advent Calendar 2020 の 2にち記事きじです。 TL;DRほん記事きじではGoogle Cloud でのアクセス管理かんりについて整理せいりしていきます。 はじめにGoogle Cloud Japan Customer Engineer Advent Calendar 2019 で、Google Cloud の IAM をおさらいしよう という記事きじいたのですが、おおくのほうんでいただいたのですが、ぎゃくおおくのほうなやまれるトピックなのだなとかんじました。2020ねんおおくのアップデートがありましたので、あらためて Google Cloud の アクセス管理かんりをおさらいしていきましょう。 クラウドを使つかうえで、ユーザー管理かんり権限けんげん管理かんり非常ひじょう重要じゅうようです。Google Cloud を使つかさいに、どのようにユーザー管理かんりできるのか

                  Google Cloud のアクセス管理をおさらいしよう 2020アップデート版

                • 社外しゃがい開発かいはつメンバーをAWSアカウントにれるときのIAM設定せっていかんがえている - kmiya_bbmのブログ

                  サービスを開発かいはつするさいに、社外しゃがい業者ぎょうしゃさんに開発かいはつをおねがいしたり、社外しゃがいパートナーに開発かいはつ参加さんかしてもらう、ということがよくあります。 開発かいはつ使つかうAWS環境かんきょうとして、うちの会社かいしゃ作成さくせいしたAWSアカウントにはいってきてもらうこともあるのですが、このときにAWSアカウントの管理かんりしゃとして社外しゃがい開発かいはつメンバーにどのような権限けんげんたせるのがいか、それをどう実現じつげんするのがいか、いつもなやみます。 このエントリでは現時点げんじてんでのかんがえと実装じっそう方法ほうほうをまとめておこうとおもいます。 課題かだい わたしかかわる案件あんけん社外しゃがい開発かいはつメンバーに協力きょうりょくあお場合ばあい大抵たいていはPoCからはじまるような新規しんきサービスの構築こうちく案件あんけんとなるためAWSのどのサービスを使つかうか最初さいしょからすべてまっていることはまれです。 最初さいしょは ALB + EC2 + RDS でつくはじめたシステムにDynamoDBが導入どうにゅうされ、AWS IoT coreが導入どうにゅうされ、Kinesis Stream が導入どうにゅうされ、、

                    社外の開発メンバーをAWSアカウントに入れるときのIAM設定を考えている - kmiya_bbmのブログ

                  • GitHub ActionsにAWSクレデンシャルを直接ちょくせつ設定せっていしたくないのでIAMロールを利用りようしたい | DevelopersIO

                    こんにちは!コンサルのinomaso(@inomasosan)です。 前回ぜんかい前々回ぜんぜんかいでGitHub ActionsからECSのCI/CDやIAMポリシーの最小さいしょう権限けんげん作成さくせいためしてみました。 [初心者しょしんしゃけ] GitHub ActionsからECS FargateにCI/CDしてみた GitHub ActionsからECSとECRへのCI/CDを最小さいしょう権限けんげん実行じっこうしたい 今回こんかいはGitHub ActionsでAWSの一時いちじてきなクレデンシャル(アクセスキーID、シークレットアクセスキー)を利用りようしたいので、IAMユーザーのわりにOIDCプロバイダとIAMロールを設定せっていしていきます。 IAMユーザーのクレデンシャルだとダメなの? IAMユーザーで発行はっこうしたクレデンシャルは永続えいぞくてき利用りよう可能かのうです。 GitHubではAWSのクレデンシャルをSecretsにより秘匿ひとくできますが、AWSがいのサービスに永続えいぞくてきなクレデンシャル

                      GitHub ActionsにAWSクレデンシャルを直接設定したくないのでIAMロールを利用したい | DevelopersIO

                    • GCPのWorkload Identityを使つかってAWSのRoleとGCPのサービスアカウントを連携れんけいさせる

                      GCPのWorkload Identityを使つかってAWSのRoleとGCPのサービスアカウントを連携れんけいさせる 2022.12.09 技術ぎじゅつ AWS, GCP 動機どうき解決かいけつほう サービスアカウントのシークレットキーjsonをEC2じょうくのやだなー(なにかの拍子ひょうし流出りゅうしゅつとかしたらめんどいなー) アクセスもとのバッチがAWSにあるんだから、asumeroleてきなことがAWSとGCPをまたいでできれば便利べんりなんだけどなー という動機どうきから、表題ひょうだいとおり Workload Identity を使つかって、AWS IAM Role と GCP Service Account を連携れんけいさせました。 Workload Identity連携れんけい とは? Workload Identity 連携れんけいは、キーなしのあたらしいアプリケーション認証にんしょうメカニズムであり、オンプレミス、AWS、Azure で実行じっこうするワークロードは、外部がいぶ ID プロバイダ(I

                      • IAM Access Analyzer makes it easier to implement least privilege permissions by generating IAM policies based on access activity | Amazon Web Services

                        AWS Security Blog IAM Access Analyzer makes it easier to implement least privilege permissions by generating IAM policies based on access activity In 2019, AWS Identity and Access Management (IAM) Access Analyzer was launched to help you remove unintended public and cross account access by analyzing your existing permissions. In March 2021, IAM Access Analyzer added policy validation to help you s

                          IAM Access Analyzer makes it easier to implement least privilege permissions by generating IAM policies based on access activity | Amazon Web Services

                        • AWS Identity and Access Management introduces IAM Roles Anywhere for workloads outside of AWS

                          AWS Identity and Access Management (IAM) now enables workloads that run outside of AWS to access AWS resources using IAM Roles Anywhere. IAM Roles Anywhere allows your workloads such as servers, containers, and applications to use X.509 digital certificates to obtain temporary AWS credentials and use the same IAM roles and policies that you have configured for your AWS workloads to access AWS reso

                            AWS Identity and Access Management introduces IAM Roles Anywhere for workloads outside of AWS

                          • AWSを使つかうにあたりIAMのベストプラクティスをもう一度いちど確認かくにんする

                            本当ほんとうはre:Inventかその周辺しゅうへん発表はっぴょうされたアップデートについてこうかなとおもったんですが、自分じぶん自身じしん時間じかん都合つごうと、れいによってぼうブログに大量たいりょう情報じょうほうがあるので今回こんかい見送みおくりましたw zennになにこうとおもってくのも今回こんかいはつですね。 さて、今回こんかい個人こじんてき以前いぜんから非常ひじょうになってしまう使つかわれかたおおいIAMの使つかかたについて、あらためてネタにしようとおもいます。 どちらかというとAWSにそれほどくわしくないひとけのつもりです。 しれっと使つかってますが、そもそもベストプラクティスってなに? というほうはとりあえずこちらを ベストプラクティス (best practice)とは あくまでもベストプラクティスなのでいきなり全部ぜんぶたすのはむずかしいかもしれませんが、こういうものがあるんだよ、というのを認知にんちしてもらえればとおもいます。 とりあえずさきけたほうがよいことや注意ちゅういしてほしいことは よくるまずい(と

                              AWSを使うにあたりIAMのベストプラクティスをもう一度確認する

                            • AWS IAM Identity Center を利用りようして Azure AD のユーザー情報じょうほうで AWS アカウントへのアクセスをためしてみる | DevelopersIO

                              AWS IAM Identity Center を利用りようして Azure AD のユーザー情報じょうほうで AWS アカウントへのアクセスをためしてみる Azure AD と AWS IAM Identity Center を連携れんけいさせて、Azure AD の認証にんしょう情報じょうほうで AWS アカウントにアクセスする設定せってい方法ほうほうをまとめました。 Azure AD ユーザーの認証にんしょう情報じょうほう使つかって AWS IAM Identity Center 経由けいゆで AWS アカウントにアクセスする方法ほうほう紹介しょうかいします。以前いぜんにも同様どうようのブログをきましたが、AWS Single Sign-On 時代じだいだったため、あらためてなおしました。手順てじゅんわりがないか確認かくにんしたい意図いともありましたが、ほぼおな手順てじゅん設定せっていできました。 構成こうせい全体ぜんたいなが構成こうせい設定せってい内容ないようしめします。 ユーザー/グループ情報じょうほう同期どうきは SCIM による自動じどう同期どうき採用さいようしています。 設定せっていながれ SA

                                AWS IAM Identity Center を利用して Azure AD のユーザー情報で AWS アカウントへのアクセスを試してみる | DevelopersIO

                              • AWS CLIでうごかしてまなぶCognito IDプールを利用りようしたAWSの一時いちじクレデンシャルキー発行はっこう | DevelopersIO

                                「Cognito IDプールってやつはAWSリソースへのアクセスを制御せいぎょする認可にんか部分ぶぶん担当たんとうしているらしいけど、いったいどういう理屈りくつでそうなってるんだ…?」 そんな自分じぶん疑問ぎもんからAWSのドキュメントを実際じっさいうごかしてられたCognito IDプールにたいする理解りかいをまとめました。 「Cognito IDプールってやつはAWSリソースへのアクセスを制御せいぎょする認可にんか部分ぶぶん担当たんとうしているらしいけど、いったいどういう理屈りくつでそうなってるんだ…?」 そんな自分じぶん疑問ぎもんからAWSのドキュメントをうごかしてられたCognito IDプールにたいする理解りかいを、 AWS CLIで再現さいげんできるかたちにまとめてみました。 Cognito IDプールでAWSの一時いちじクレデンシャルキーを発行はっこうすることによって、Cognito IDプールの世界せかいからIAMの世界せかいとしめると、だいぶイメージがきやすいんじゃないかとおもいます。 AW

                                  AWS CLIで動かして学ぶCognito IDプールを利用したAWSの一時クレデンシャルキー発行 | DevelopersIO

                                • GCPのIAMポリシーまわりでドハマりしたはなし | フューチャー技術ぎじゅつブログ

                                  はじめにこんにちは、Technology Innovation GroupのDXユニット所属しょぞく村田むらたもうします! DXユニットとはデジタルトランスフォーメーションにかかわる仕事しごとおも推進すいしんしていくチームです。 わたし現在げんざいFuture IoTプロジェクトにたずさわっており、最近さいきんはもっぱらクラウドインフラに従事じゅうじしています。 メインの仕事しごと複数ふくすうのGoogle Cloud Platform(以下いか、GCP)プロジェクトとそれぞれの環境かんきょう(Production/Staging/Developmentなど)の構築こうちく運用うんようです。 このなか個人こじんてきにとても面白おもしろいとおもった知見ちけんたので「これはぜひブログにしよう!」といまひつはしらせています。 クラウドインフラの使命しめいクラウドインフラと一言ひとことっても意味いみする範囲はんいはとてもひろいですが、わたしがこのブログで紹介しょうかいする内容ないようはどちらかというと地味じみかもしれません。 わたし今日きょう紹介しょうかいしたいのは、GCPの「

                                  • CloudFormationでパスワードを自動じどう生成せいせいしてテンプレートない利用りようする | DevelopersIO

                                    CloudFormationでパスワードをあつか場合ばあい、パスワードをどこに保存ほぞんするかなやましいです。 パラメータストアに保存ほぞんしておいて参照さんしょうするというのもよい方法ほうほうですが、 もっとサクッとつくりたい!と、いうことで、CloudFormationでパスワードを自動じどう生成せいせいする方法ほうほう紹介しょうかいします。 CloudFormationでパスワードをあつか場合ばあい、パスワードをどこに保存ほぞんするかなやましいです。 たとえば、CloudFormationでIAM Userをつくりたい場合ばあい、IAM Userのパスワードはどこに保存ほぞんしましょう? CloudFormationテンプレートないにハードコーディングするのは、セキュリティの観点かんてんからこのましくありません。 パラメータストアのSecureStringに保存ほぞんしておいて参照さんしょうするというのは、よい方法ほうほうだとおもいます。 [しん機能きのう]AWS CloudFormationでAWS Systems M

                                      CloudFormationでパスワードを自動生成してテンプレート内で利用する | DevelopersIO

                                    • [アップデート] IAM アクセスアドバイザーによる「アクションレベルでの最終さいしゅう実行じっこう履歴りれき表示ひょうじ」に EC2、IAM、Lambda が対応たいおうしました! | DevelopersIO

                                      コンバンハ、千葉ちばこう)です。 IAM アクセスアドバイザーで、あらたに EC2、IAM、Lambda もアクションレベルで最終さいしゅうアクセス時刻じこく確認かくにんできるようになりました! Review last accessed information to identify unused EC2, IAM, and Lambda permissions and tighten access for your IAM roles 必要ひつよう最小限さいしょうげん権限けんげんしぼっていく、そのアプローチがまたひとらくになりました。 なにわったのか IAM アクセスアドバイザーは、特定とくていの IAM リソース(ユーザー/グループ/ロール/ポリシー)にたいして以下いか分析ぶんせき取得しゅとくしてくれる機能きのうです。 アクセス可能かのうな AWS サービス 最終さいしゅうアクセス時刻じこく IAM リソースのアイデンティティベースポリシーをもとに「どのサービスにアクセス可能かのうか」を判断はんだんし、そのじょう

                                        [アップデート] IAM アクセスアドバイザーによる「アクションレベルでの最終実行履歴の表示」に EC2、IAM、Lambda が対応しました! | DevelopersIO

                                      • IAM Identity Centerでもaws-vaultでセキュアにAWS CLIを使つかう - Nealle Developer's Blog

                                        こんにちはSREチームのみや(@miya10kei)です。最近さいきん、トリュフナッツにハマりビール🍺の消費しょうひりょうえています。 AWS CLIを使用しようするときにaws-vaultは使つかっていますか? AWSのユーザ管理かんりをAWS IAM Identity Centerに移行いこうしたさいにaws-vaultの設定せっていでつまずいたので解決かいけつ方法ほうほう紹介しょうかいしたいとおもいます。 AWS IAM Identity Centerとは? 複数ふくすうの AWSアカウントやアプリケーションへのワークフォースのアクセスを一元いちげん管理かんりするためのサービスです。外部がいぶIDプロバイダーと接続せつぞくしSSO(シングルサインオン)連携れんけいをすることができます。ニーリーではGoogle Workspaceと連携れんけいさせGoogleアカウントでログインできるようにしています。 aws-vaultとは? aws-vaultはAWS CLIを使用しようするさい認証にんしょう情報じょうほう安全あんぜん保存ほぞんし、アクセス

                                          IAM Identity Centerでもaws-vaultでセキュアにAWS CLIを使う - Nealle Developer's Blog

                                        • Terraform で GCP IAM 設定せっていどれ使つかうのがいいのか - pokutuna

                                          additive: add members to role, old members are not deleted from this role. authoritative: set the role's members (including removing any not listed), unlisted roles are not affected.

                                            Terraform で GCP IAM 設定どれ使うのがいいのか - pokutuna

                                          • RBAC DeepDive - SAML Authentication | IAM Role for Service Accounts

                                            「GW直前ちょくぜん!まだうコンテナバケーション with Amazon EKS」ではなした内容ないようです。 SAML 認証にんしょうと IAM Role for Service Accounts についてはなしています。

                                              RBAC DeepDive - SAML Authentication | IAM Role for Service Accounts

                                            • You can now assign multiple MFA devices in IAM | Amazon Web Services

                                              AWS Security Blog You can now assign multiple MFA devices in IAM At Amazon Web Services (AWS), security is our top priority, and configuring multi-factor authentication (MFA) on accounts is an important step in securing your organization. Now, you can add multiple MFA devices to AWS account root users and AWS Identity and Access Management (IAM) users in your AWS accounts. This helps you to raise

                                                You can now assign multiple MFA devices in IAM | Amazon Web Services

                                              • 検証けんしょう環境かんきょうのURLがはいったメールを本番ほんばん環境かんきょうのユーザーにおくってしまったはなし - Qiita

                                                この記事きじは「本番ほんばん環境かんきょうでやらかしちゃったひと Advent Calendar 2020」24にち記事きじです。 とおむかし、はるか彼方かなた銀河系ぎんがけいでのはなしです。 TL;DR IAMの権限けんげんはしっかりやりましょう。検証けんしょう環境かんきょう本番ほんばん環境かんきょうでアカウントをけるとより安心あんしんできます。 なにをやらかしたのか やらかしまえ状態じょうたい マッチングサービスの開発かいはつをしています。そのサービスにはサービスないでメッセージがとどくとそのむねEいーメールで通知つうちする機能きのうがあります。 システムてきにはサービスをうごかしているWebアプリケーションからSQSのメールようのキュー(以後いごMaill Queue)にメッセージを送信そうしんし、メール送信そうしんようのWorkerがMaill Queueからメッセージを取得しゅとく差出人さしだしにんやURLなどの情報じょうほうめてEいーメールを送信そうしんします。差出人さしだしにんやURLは本番ほんばん環境かんきょう検証けんしょう環境かんきょうでそれぞれべつはいります。 また検証けんしょう環境かんきょう本番ほんばん環境かんきょう同一どういつのAWSアカウントないにあ

                                                  検証環境のURLが入ったメールを本番環境のユーザーに送ってしまった話 - Qiita

                                                • lambrollでシェルスクリプトをLambdaにデプロイして実行じっこうする

                                                  lambrollでシェルスクリプトをLambdaにデプロイして実行じっこうする投稿とうこうしゃ: inamuu 投稿とうこう: 2023ねん1がつ19にち2023ねん1がつ19にち 概要がいよう 仕事しごとをしていると、歴史れきしのあるシェルスクリプトがEC2でうごいていたりすることがある。 そういったスクリプトをなにかしらのスクリプト言語げんごえるのもやぶさかではないのだが、かずおおいとあきらめの気持きもちがてくる。 そこで、シェルスクリプトのままでもLambdaにデプロイしてバッチてきうごかして、サクッと移行いこうできたりしないかなというおもいがてきた。 そこで、Lambdaのデプロイツールにlambrollを検証けんしょうしてみることにした。 インストール 手元てもとがMacOSなのでbrewでインストール。 $ brew install fujiwara/tap/lambroll $ lambroll versions 2023/01/18 23:14:53 [i

                                                    lambrollでシェルスクリプトをLambdaにデプロイして実行する

                                                  • 管理かんりポリシーの差分さぶん出力しゅつりょくする AWS CLI エイリアス aws diff をつくってみた | DevelopersIO

                                                    コンバンハ、千葉ちばこう)です。 管理かんりポリシー、とくに AWS 管理かんりポリシーの変更へんこう差分さぶん確認かくにんしたい機会きかいがたまにあります。 マネジメントコンソールじょう差分さぶん表示ひょうじするような機能きのうがあれば便利べんりなのですが、現時点げんじてんでは実装じっそうされていません。 ないなら AWS CLI でやってみるか、ということでエイリアスをんでみました。 管理かんりポリシーの差分さぶん表示ひょうじするエイリアス 以下いかのエイリアスを設定せっていしました。 ~/.aws/cli/alias [toplevel] diff = !f() { VERSION=$(aws iam get-policy --policy-arn $1 --query 'Policy.DefaultVersionId' --output text | tr -d "v") BEFORE_VERSION=$((VERSION-1)) BEFORE_RESULT=$(aws iam get-polic

                                                      管理ポリシーの差分を出力する AWS CLI エイリアス aws diff を作ってみた | DevelopersIO

                                                    • How to create IAM roles for deploying your AWS Serverless app | Serverless First

                                                      Getting IAM permissions right is one of the hardest parts about building serverless applications on AWS. Many official tutorials and blog posts cop out of giving you the full details on how to set up IAM, preferring something vague like “ensure you use least-privilege permissions when creating this role”. Or worse, they give you a wide open wildcard or admin-level example policy with a “don’t use

                                                        How to create IAM roles for deploying your AWS Serverless app | Serverless First

                                                      • AWS CLIをAWS IAM Identity Center(SSO)で認証にんしょうさせるには? | DevelopersIO

                                                        AWS OrganizationsのAWS IAM Identity Center(きゅうAWS Single Sign-On;AWS SSO)を利用りようすると、Organizations配下はいかのAWSアカウントにSSOできます。 ほん記事きじでは、どう機能きのうをAWS CLIから利用りようする方法ほうほう紹介しょうかいします。 AWS IAM Identity Centerの詳細しょうさいつぎのブログを参照さんしょうください。 なお、ほん記事きじではAWS Identity Center directoryでユーザー管理かんりしているものとします。 ポイント IAM Identity CenterにはAWS CLI v2が対応たいおう。v1は対応たいおう 設定せっていファイルはAWS CLIだけでなくAWS SDK全般ぜんぱん流用りゅうよう可能かのう IAM Identity Centerはリージョナル・サービス IAM ユーザーのように永続えいぞくてきなアクセスキーは存在そんざいせず一時いちじてき認証にんしょう情報じょうほう利用りよう かくアカウントへ

                                                          AWS CLIをAWS IAM Identity Center(SSO)で認証させるには? | DevelopersIO

                                                        • IAM初心者しょしんしゃがAWS CLIでスイッチロールするまで | DevelopersIO

                                                          こんにちは。 サービスGの金谷かなやです。 これまでIAMの設定せってい自分じぶんでやることがあまりなく、スイッチロールでなにきているのか全然ぜんぜん理解りかいできていなかったのでまとめようとおもいます。 まず大前提だいぜんてい AWSアカウント≠ IAMユーザー です。 当然とうぜんといえば当然とうぜんなのですが別物べつものです。 ざっくり説明せつめいするとAWSアカウントのなかにIAMユーザーがいるといったかたちで、AWSアカウント=ルートユーザーのようなイメージです。 わたし個人こじん経験けいけんとしてはプライベートでAWSをまなさわはじめたばかりのときは IAMをなに設定せっていせずにのサービスをさわったりしていましたが、通常つうじょう使用しようするべきではないです。 ちゃんとIAMユーザーを作成さくせいしてそちらで作業さぎょうするようにしましょう。 スイッチロールとは 名前なまえとおりIAMロールをえる機能きのうです。 アカウントをまたいだロールのえも可能かのうです。(というかこちらをメインに使つかいます) うえではスイッチもと

                                                            IAM初心者がAWS CLIでスイッチロールするまで | DevelopersIO

                                                          • AWSサービスにわたすIAMロールを制限せいげんする | DevelopersIO

                                                            EC2インスタンスやLambda関数かんすうにはIAMロールをアタッチすることができます。 ゆるいIAMポリシーを採用さいようしていると、STS 可能かのう任意にんいのIAMロールを利用りようできてしまいます。 この問題もんだい解決かいけつするために、IAMロールとロールを利用りようするAWSサービスのペアを制限せいげんする方法ほうほう紹介しょうかいします。 AWSサービスにわたすIAMロールを制限せいげんする たとえば、EC2 インスタンスに特定とくていのIAMロールのみアタッチ出来できるようにするには、つぎのように定義ていぎします。 { "Version": "2012-10-17", "Statement": [ { "Sid": "IAMPassRoleForEC2", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::12345:role/EC2Role", "Condition": {

                                                              AWSサービスに渡すIAMロールを制限する | DevelopersIO

                                                            • 【AWS】AWS APIの認証にんしょう認可にんか仕組しくみを理解りかいする【Signature V4】 - Qiita

                                                              はじめに Amplifyを利用りようしてアプリケーションをつく場合ばあい、Cognito User Pool/Cognito Identity Pool(Cognito Federated Identities)を利用りようしてAPI GatewayでAuthorizationする方法ほうほう暗黙あんもくうらにデフォルトになっているようにえます。 よく使つかわれるであろうとおもわれるわりには、その仕組しくみについての説明せつめいがあまり見当みあたらなかったので解説かいせつ記事きじこうとしましたが、前提ぜんていとなる事項じこうがあまりにもおおいことがかったので、個別こべつ記事きじとして分離ぶんりしました。 本稿ほんこうでは、AccessKeyIdやSecretAccessKeyの使つかわれかた、AWS APIにおけるSignature V4の仕組しくみなどについて解説かいせつします。 API GatewayのAuthorization方式ほうしきとして「AWS_IAM」という項目こうもく選択せんたくできますが、本稿ほんこう内容ないよう理解りかい

                                                                【AWS】AWS APIの認証・認可の仕組みを理解する【Signature V4】 - Qiita

                                                              • Workload Identity Federationを理解りかいする - Carpe Diem

                                                                概要がいよう GCPのWorkload Identity連携れんけいはサービスアカウントで秘密ひみつかぎつくらずともGCPリソースへのアクセスけん環境かんきょう(オンプレ、べつパブリッククラウド)に付与ふよすることができます。 これにより AWSからGCPリソースにアクセスする GitHub ActionsからGCRにDocker imageをpushする CircleCIでGKEのデプロイをおこなう といった連携れんけいかぎなしで実現じつげんできます。 ただ実装じっそうだけだとイメージしづらいので今回こんかい図示ずししてみました。 Workload Identity Federation Workload Identity連携れんけいにおける登場とうじょう人物じんぶつ以下いかです。 ひだりのWorkloadsがGCPリソースにアクセスしたいアプリケーションにたります。 準備じゅんび Workload Identity Poolの作成さくせいとサービスアカウントの作成さくせい まずはWorkload Identit

                                                                  Workload Identity Federationを図で理解する - Carpe Diem

                                                                • IAM ポリシー設定せっていの IAM ユーザーが生成せいせいした S3 署名しょめいき URL (presigned URL) を使つかってオブジェクトを Get できるのはなぜか | DevelopersIO

                                                                  IAM ポリシー設定せっていの IAM ユーザーが生成せいせいした S3 署名しょめいき URL (presigned URL) を使つかってオブジェクトを Get できるのはなぜか コンバンハ、千葉ちばこう)です。 突然とつぜんですが以下いかのようなケースをかんがえてください。 IAM ポリシーがアタッチされていない IAM ユーザーが存在そんざいする 当該とうがい IAM ユーザーが特定とくていの S3 バケットないのオブジェクトにたいする署名しょめいき URL を生成せいせいする 生成せいせいされた URL をもちいて任意にんい利用りようしゃがオブジェクトを Get する 上記じょうき実現じつげんしたいとかんがえたときに必要ひつようとなる設定せっていなにか、みなさんはおもいつくでしょうか。なお、 IAM ユーザーと S3 バケットは同一どういつの AWS アカウントに存在そんざいするものとします。 「そもそも IAM ポリシーがいのに署名しょめいき URL を生成せいせいできるの?」という部分ぶぶんからっかかるほうもいるかとおもいますが、じつはできます。このエント

                                                                    IAM ポリシー未設定の IAM ユーザーが生成した S3 署名付き URL (presigned URL) を使ってオブジェクトを Get できるのはなぜか | DevelopersIO

                                                                  • IT経験けいけん初心者しょしんしゃがIAMを理解りかいしようとしてみた | DevelopersIO

                                                                    はじめに AWSをはじめて学習がくしゅうしてむずかしいとかんじたIAMについて、自分じぶんなりの理解りかいいてみました。 おなじような初心者しょしんしゃほうでもみやすいように、なるべく平易へいい言葉ことばくことを心掛こころがけています。 対象たいしょうしゃ これからAWSを学習がくしゅうしたい初心者しょしんしゃ IAMってなになのか、なんとなく理解りかいしたいほう そもそもなにのためにそんな機能きのうがあるの?という疑問ぎもんっているほう IAMとは IAMとは、「Identity and Access Management」のりゃくで、そののとおり、IDとアクセスけん管理かんりする機能きのうです。IAMを使用しようすれば、だれがどのサービスにアクセスできるのかを、許可きょかまたは拒否きょひすることができます。すべてのひとすべてのサービスやデータにたいしてアクセスけんつというのは安全あんぜんではありません。必要ひつようひとに、必要ひつよう最低限さいていげん権限けんげんのみを付与ふよすることが推奨すいしょうされています。 そもそもなぜ管理かんり機能きのう必要ひつようなの? IT経験けいけん自分じぶんがAWSを勉強べんきょうして

                                                                      IT未経験の初心者がIAMを理解しようとしてみた | DevelopersIO

                                                                    • [AWS Organizations] SCP(サービスコントロールポリシー)の継承けいしょう仕組しくみをまなぼう | DevelopersIO

                                                                      はじめに 大阪おおさかオフィスの川原かわらです。 AWS Organizations の SCP(サービスコントロールポリシー)の継承けいしょう について、 仕組しくみをまなびましょう。 前提ぜんてい知識ちしき AWS Organizationsは マルチアカウントを統率とうそつするためのサービス です。 組織そしき単位たんい(OU) による アカウントのグループや、 サービスコントロールポリシー(SCP) によるグループ単位たんいのサービス制限せいげん可能かのうです。 – 画像がぞう: AWS Organizations の用語ようご概念がいねん | AWSドキュメント OUとは 組織そしき単位たんい(Organizational Unit: OU) は AWSアカウントのグループ実現じつげんする要素ようそです。 OU 配下はいかOUをぶらさげる、ツリー構造こうぞう構築こうちくできます。 SCPとは サービスコントロールポリシー(SCP)は OUまたはアカウントに指定していするポリシー です。 OU/アカウントで実行じっこうできるサ

                                                                        [AWS Organizations] SCP(サービスコントロールポリシー)の継承の仕組みを学ぼう | DevelopersIO

                                                                      • TerraformでGoogle CloudのIAMを管理かんりするさい注意ちゅういてん - G-gen Tech Blog

                                                                        G-gen の堂原どうばらです。 とう記事きじでは、Terraform をもちいて Google Cloud (旧称きゅうしょう GCP) の Identity and Access Management (IAM) を管理かんりするさいに、注意ちゅういすべきてんについて紹介しょうかいします。 はじめに google_xxx_iam の使つかけ google_project_iam_xxx の使つかけと注意ちゅういてん google_project_iam_policy google_project_iam_binding google_project_iam_member はじめに あらためて、とう記事きじでは Terraform をもちいて Google Cloud の IAM を管理かんりするさい注意ちゅういすべきてんとして、 具体ぐたいてきには google_project_iam_policy、google_project_iam_binding および google_projec

                                                                          TerraformでGoogle CloudのIAMを管理する際の注意点 - G-gen Tech Blog

                                                                        • Local cluster for EKS on AWS Outpostsについて紹介しょうかい - NTT Communications Engineers' Blog

                                                                          はじめに こんにちは、イノベーションセンターのすずみねです。 ほん記事きじでは、自社じしゃデータセンターとうでAWSサービスを利用りよう可能かのうなAWS OutpostsにおけるElastic Kubernetes Service(EKS)であらたに追加ついかされたLocal clusterの概要がいよう通信つうしん切断せつだん検証けんしょう結果けっかについて紹介しょうかいします。 以前いぜん記事きじにした2022ねん3がつ17にち時点じてんでは、ワーカーノードはAWS Outpostsじょう実行じっこうし、KubernetesコントロールプレーンはAWS Cloudじょう実行じっこうする構成こうせいでした。この構成こうせいがLocal clusterによってKubernetesコントロールプレーンもAWS Outpostsじょう実行じっこう可能かのうになりました。これによりAWS CloudとAWS Outpostsあいだ通信つうしん切断せつだんなどによるアプリケーションのダウンタイムのリスクを軽減けいげんすることが可能かのうとなりました。 engineers.ntt.

                                                                            Local cluster for EKS on AWS Outpostsについて紹介 - NTT Communications Engineers' Blog

                                                                          • 要素ようそ認証にんしょう(MFA)するまで使つかえません!なIAMユーザを作成さくせいしてみた | DevelopersIO

                                                                            はじめに IAMユーザを利用りようしゃわたさいに「絶対ぜったい要素ようそ認証にんしょう(MFA)の設定せっていれてくださいね!!」とつたえても、 そのユーザが本当ほんとうにMFAを有効ゆうこうしてくれたのか、その確認かくにん催促さいそく手間てまがかかるときがあります。 そんな手間てまはぶくため、わたすIAMユーザにはあらかじめ MFAを利用りようしていないと権限けんげん制限せいげんがかかる仕組しくみを仕込しこんでおくことができます。 概要がいよう IAMユーザに以下いか権限けんげん付与ふよすれば完了かんりょうです。 (1) MFAを設定せってい有効ゆうこうするための権限けんげん (2) MFAを利用りようしていない場合ばあい、(1)以外いがいすべてのアクションを拒否きょひする権限けんげん (3) 本来ほんらい許可きょかしたい権限けんげん (2)の設定せっていでは、IAMポリシーのContdition要素ようそ使つかってMFA利用りよう有無うむによる条件じょうけん分岐ぶんき設定せっていします。 (3)で許可きょかされた権限けんげんであっても、 MFAを利用りようしていない場合ばあいは(2)による明示めいじてき拒否きょひ設定せってい上回うわまわり、利用りようすることができなくなる仕組しくみです。

                                                                              多要素認証(MFA)するまで使えません!なIAMユーザを作成してみた | DevelopersIO

                                                                            • AWS Single Sign-onがAWS IAM Identity Centerになりました! | DevelopersIO

                                                                              AWS Single Sign-on (AWS SSO) が AWS IAM Identity Center になりました。マネジメントコンソールであたらしい設定せってい画面がめんかぎり、AWS IAM Identity Center は AWS Single Sign-On の後継こうけいサービスの位置いちづけとなります。ざっくりと変更へんこうてん調しらべてみました。 AWS のブログでも紹介しょうかいされています。 なにわったのか はじめにまとめです。 現時点げんじてんでは、技術ぎじゅつてき機能きのう変更へんこうされていない sso identitystoreなどの API、名前なまえ空間くうかん下位かい互換ごかんせい維持いじのため、変更へんこうされていない マネジメントコンソールを確認かくにんしてみる あたらしい設定せってい画面がめん画面がめんてみます。 メニューの構成こうせいは、AWS SSO のときからあまりわっていないようです。関連かんれんコンソールとして、AWS IAM サービスへのリンクが追加ついかされているくらいでしょうか。 おかせ

                                                                                AWS Single Sign-onがAWS IAM Identity Centerになりました! | DevelopersIO

                                                                              • [UPDATE]フェデレーションでタグをわたせるSTSのしん機能きのうSession Tagがリリースされました #reinvent | DevelopersIO

                                                                                こんにちは、臼田うすだです。 みなさん、ID管理かんりしていますか? 今回こんかいはIDフェデレーションでIAMを利用りようしているさいに、IdPから属性ぞくせい(Attribute)をAWSのタグとしてることができるSession Tagの機能きのうがリリースされたので紹介しょうかいします。 New for Identity Federation – Use Employee Attributes for Access Control in AWS | AWS News Blog RBACとABAC さをるにはまず背景はいけいから。 アクセス制御せいぎょ方式ほうしきとしてRBAC(Role-based Access Control)がよく使つかわれます。RBACでは、権限けんげん個人こじんではなくRole(役割やくわり)にてて管理かんりする方法ほうほうで、個人こじんごとポリシーをメンテナンスしなくてくなるのでユーザがえても管理かんりらくになる仕組しくみでした。 しかしこれもすすんでくると、今度こんど

                                                                                  [UPDATE]フェデレーションでタグを渡せるSTSの新機能Session Tagがリリースされました #reinvent | DevelopersIO

                                                                                • IAM ロールの信頼しんらいポリシーで設定せっていする外部がいぶ ID(sts:ExternalId) について | DevelopersIO

                                                                                  IAM ロールの信頼しんらいポリシーに設定せっていする外部がいぶ ID(sts:ExternalI) について勉強べんきょうしました。 こんにちは、岩城いわきです。 3rd Party せいの SaaS と AWS アカウントを連携れんけいするさい専用せんようの IAM ロールの作成さくせい作成さくせいしたロールに以下いかのような信頼しんらいポリシーを定義ていぎして、特定とくていの AWS アカウントから AssumeRole を許可きょかすることがあります。 { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::xxxxxxxxxxxx:iamuser" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "xxx

                                                                                    IAM ロールの信頼ポリシーで設定する外部 ID(sts:ExternalId) について | DevelopersIO
                                                                                  まえのページ 2 3 4 5 6 7 8 9 10 11 つぎのページ

                                                                                  新着しんちゃく記事きじ

                                                                                  はてなブックマーク

                                                                                  公式こうしきTwitter

                                                                                  はてなのサービス

                                                                                  • App Storeからダウンロード
                                                                                  • Google Playで手に入れよう
                                                                                  Copyright © 2005-2024 Hatena. All Rights Reserved.