投稿 - AWSにおける認証サービス『AWS Identity and Access Management(IAM)』に関する記事です。
記事数:127
みなさん、AWSルートアカウントにMFA(Multi-Factor Authentication)は設定されていますでしょうか。AWSのルートアカウントは、本当になんでもできてしまうアカウントなので、MFAによるアカウン […]
AWS Glueにアクセスするためには認証情報の設定が必要となります。これらの資格情報にはAWS GlueのテーブルやAmazon EC2インスタンスなどのAWS各種リソースにアクセスするための許可が必要となり、予めこの […]
Many Amazon EC2 APIs can control access permission with “Resource-level permissions”. However, some actions do […]
はじめに オペレーションチームの高橋です。 Amazon EC2 APIの多くはリソースレベルでのアクセス許可制限が可能です。 しかしながらリソールレベルのアクセス許可がサポートされていないアクションもあります。 サポー […]
大栗です。 AWSでAMIを作成する時にはPackerをよく使います。多数のアカウントを管理するためSwitch Roleをして操作をすることが多いのですが、今までPackerではSwitch Roleに対応していません […]
まいど、大阪の市田です。 今回は「Duo Security」 というサービスを使って、AWSへのシングルサインオン(SSO)に2段階認証を実装してみたいと思います。 The Trusted Access Company: […]
コンニチハ、千葉です。 AWSのセキュリティブログでこんなポストがありました。 Getting Started: Follow Security Best Practices as You Configure Your […]
こんにちは、菊池です。めずらしく、Deep Securityについてのエントリです。 Deep Securityでは、AWSアカウントと連携することで管理対象のリソースを自動で検出することが可能です。サードパーティの製品 […]
こんにちは。菊池です。 マネジメントコンソールから、IAMポリシーのアクセス制御内容がわかりやすく確認できるようになりました。 IAM ポリシーの理解とトラブルシューティングを容易にするため、3 つの新機能が IAM ポ […]
こんにちは、菊池です。 小ネタです。Lightsailのみアクセス可能なIAMポリシーを設定しようとしたところ、Lightsaiには現状AWS管理ポリシーが存在しません。独自ポリシーでIAMポリシーを設定する必要がありま […]
コンニチハ、千葉です。 IAMユーザを棚卸して安全なAWSアカウント管理を!、こちらにIAMユーザーの棚卸しが書かれていますが 今回は認証情報レポートという機能を使って、IAMユーザーのアクセスキー、パスワードの棚卸しを […]
地味サービス大好き森永です。 AWS Summit in San Franciscoにて様々なアップデートがあって盛り上がっている中、地味なアップデートがありましたのでご紹介したいと思います。 AWS IAM Makes […]
ご機嫌いかがでしょうか、豊崎です。 AWSマネジメントコンソール(以降、AMC)から利用していると気づかない、 インスタンスプロファイルについて調べましたので、書いていきたいと思います。 インスタンスプロファイルってなに […]
こんにちは。菊池です。 はじめに IAMユーザの管理、大丈夫ですか? マネジメントコンソールやアプリケーション/AWS CLIでAWSを利用する上で、必須となるのがIAMユーザです。AWSのアカウント/環境を安全に管理し […]
西澤です。今回は、S3バケットの特定パスに対するアクセス権限制御について、お客様から質問いただき、正確に理解できていなかったところを調査したので、整理してみます。 このポリシーで実行可能なアクションについて正確に回答でき […]
こんにちは、虎塚です。 先日のAWSアップデートで、Lambda関数ポリシーがAWS Management Consoleに表示されるようになりました。 AWS Developer Forums: Lambda func […]
はじめに オペレーションチームの高橋です。 最近、既存のEC2に対してIAM Roleのアタッチ、変更がCLIでできるようになりましたが今回、EC2コンソール上でも可能になりましたのでご紹介します。 Easily Rep […]
こんにちは、虎塚です。 システムのログ収集、監視、アラート通知、アクション実行などにAWS Lambdaを使っていると、LambdaとLambdaをチェーンして使いたいことがあります。さらに、複数のアカウントで発生したイ […]
コンニチハ、千葉です。 AWSマネジメントコンソール利用時に、コンプライアンス要件によりIP制限をしたい場合があります。 しかし、マネジメントコンソールにIP制限すると、思わぬエラーが発生し操作できなくなる場合があります […]
こんにちは、菊池です。 本日(2017/2/10)、既存のEC2に後からIAM Roleを適用することができるようになったのは既報の通りです。 New! Attach an AWS IAM Role to an Exis […]
こんにちは、菊池です。 本日(2017/2/10)、既存のEC2に後からIAM Roleを適用することができるようになりました! New! Attach an AWS IAM Role to an Existing Am […]
大栗です。 先程既存のEC2に対してIAM Roleを設定することができるようになりました!早速試してみます。 New! Attach an AWS IAM Role to an Existing Amazon EC2 […]
はじめに 好物はインフラとフロントエンドのかじわらゆたかです。 Talendで作ったジョブをAWS サービスを使う時にローカル開発とEC2で動かす時に同一のジョブ定義で動かしたいけど、 その時クレデンシャルの管理はこんな […]
コンニチハ、千葉です。 過去エントリーにも、MFA有効化手順がありますが、AWS画面が変わっていることやMFA有効化のためのIAMポリシーをアタッチしたもっとセキュアに利用するための手順としてまとめます。 用意するもの […]
こんにちは、菊池です。 小ネタですがクロスアカウント環境でS3 syncを実行する際の権限設定を紹介します。 はじめに S3 sync コマンドではローカル環境とS3バケット、または異なる2つのS3バケットでオブジュエク […]
Miamとは? Miamとは、AWSアカウントのIAM情報をコード管理出来るツールです。 使い勝手はRoute53とほぼ同様なので、AWS環境をコード管理していると重宝出来ると思います。 GitHub Maim 使い方 […]
大栗です。 多数のシステムを運用するときは、システムに応じてAWSアカウントやVPCを分けて配置することを検討します。システム間で疎結合にメッセージを交換するためにSQSを多用しますが、AWS構成は色々と考えられます。パ […]
はじめに AWSチームのすずきです。 IAM権限の分離や、請求情報の明確化を実現する手段として、AWSアカウントの分割を実施する事があります。 AWSアカウントとVPC、分ける? 分けない?: 分割パターンのメリット・デ […]
渡辺です。 本日紹介するモジュールはIAM User/Group/Roleを管理するiamモジュールです。 AnsibleでIAM User/Group/Roleを管理するでも紹介しましたが、今回はグループ変数ありきのテ […]
こんにちは、菅野です。 本日(2016年10月12日)に開催しています「AWS Cloud Roadshow 2016 札幌」に来ています。 14時00分からの AWS セッション「これで安心!セキュリティとネットワーク […]
第9回クラウド女子会 教えて!先生♡ 私のAWSがこんなに難しいわけがない – JAWS-UGクラウド女子会 | Doorkeeper 2014/06/28 第9回クラウド女子会 教えて!先生♡ 私のAWSがこんなに難し […]
よく訓練されたアップル信者、都元です。AWSを利用していると、APIキーの利用は必要不可欠です。数多くのAWSアカウントを扱っていれば、たまたまAPIキーは利用せず、管理コンソールへのパスワードだけで済んでしまうケースも […]
よく訓練されたアップル信者、都元です。最近私はIAM尽くしです。フルコースでIAM貪りまくりです。 さて、皆様はIAMにどのようなイメージをお持ちでしょうか。プロジェクトに関わる複数人で1つのAWSアカウントを扱う時、各 […]
今回の課題 こんにちは植木和樹です。本日のお題は「現在運用しているFTP/SFTPサーバーをAmazon S3でリプレースしたい」です。 外部関係業者とのファイルのやりとりにFTP/SFTPサーバーを使っているケースは数 […]
よく訓練されたアップル信者、都元です。AWSにはIAMという権限管理のサービスがあります。AWSを専門としている我々にとっては当たり前の知識なのですが、皆さんはこの機能を上手く使えているでしょうか。 AWSにおけるクレデ […]
ども、大瀧です。 データベースやクラウドストレージにアクセスするために、DockerコンテナでパスワードやAPIトークンキーなどのいわゆるクレデンシャル(資格)情報を扱うことがあります。これらの情報の扱い方についていくつ […]
当エントリはSSL証明書自体の発行依頼を行ってから、AWS環境にアップロードして使えるようになるまでの流れを整理したものです。内部向け、というか完全オレ向け備忘録な内容になってしまいますが、同じ様な手順を行うケースは(人 […]
よく訓練されたアップル信者、都元です。AWSにおけるクレデンシャルには大きく「管理コンソールにログインするためのパスワード(Sign-In Credentials)」と「APIアクセスを行うためにAPIキー(Access […]
よく訓練されたアップル信者、都元です。今日もIAMです。 先日のエントリで、プロジェクトメンバーにはIAMユーザを配布しましょう、というプラクティスを示しました。ではそのIAMユーザの権限はどの程度与えれば良いのでしょう […]
よく訓練されたアップル信者、都元です。ブログのエントリみてればわかるとおもいますが、最近AWSのセキュリティに凝ってます。 AWSにおける権限管理について知識を深め、各所に適切な設定を行って行くのは大事なことです。これが […]
はじめに AWSを教育目的等で利用する際、利用費が高額なインスタンスタイプのEC2を起動させたくないなという場合があります。もちろん業務利用においても、オペレーションミスを防ぐために、同様の防御策を採りたいといったケース […]
西澤です。みんな大好きAWS CLIで地味に嬉しいアップデートがあったのでご紹介します。 Release: AWS Command Line Interface 1.10.18 : Release Notes : Ama […]
はじめに こんにちは、虎塚です。 組織でAWSアカウントを利用する際には、担当者ごとにIAMユーザを払い出し、各ユーザが自分でMFA (Multi-Factor Authentication) を有効にすることが推奨され […]
ども、大瀧です。 本日、AWSより2015年3月にIAMポリシードキュメントの文法チェックが厳格化するというアナウンスがありました。具体的にどんな対策をするべきか、まとめてみました。 確認方法 まずは、対策が必要かどうか […]
よく訓練されたアップル信者、都元です。前回(昨日)はAWSのクレデンシャルとプリンシパルを整理し、「開発運用スタッフ」が利用するクレデンシャルについてプラクティスを整理しました。今回はAWS上で稼働する「システム」が利用 […]
よく訓練されたアップル信者、都元です。現状、AWSの管理コンソールには、どのIPアドレスからでもログイン可能です。しかし、管理コンソールへのアクセスを社内ネットワークからのみに絞りたい、というニーズは常に一定数存在します […]
はじめに こんにちは、川原です。 AWSのIAMサービスでは、各AWSサービスへの操作をアクセス制御するために「ポリシー」という概念があります。 AWSのドキュメントを読んでいると、ポリシーにはいくつか種類があることに気 […]
IAM roles for EC2 instancesって何? IAM roles for EC2 instancesは、EC2インスタンス自身が何かAWSの各種サービスにアクセスする際の権限を設定できる仕組みです。通常 […]
当エントリはDevelopers.IOで弊社AWSチームによる『AWS サービス別 再入門アドベントカレンダー 2015』の22日目のエントリです。昨日21日目のエントリは半瀬の『AWS Trusted Advisor』 […]
IAMアカウントはIPアクセス制限ができます IAMアカウントは、AWSアカウントの子アカウントとして複数作成することができます。また、セキュリティ設定が多くあります。ここで、ポリシーの指定でIPアクセス制限を付けること […]
よく訓練されたアップル信者、都元です。突然ですがMFA使ってますか。使ってますよね。使ってますよね! 今どき大事なAWSアカウントをパスワードでしか保護しないのが許されるのは小(自粛 さて、本エントリーですが、下記の流れ […]
よく訓練されたアップル信者、都元です。少し前の話になりますが、2014年7月に Amazon Cognito がローンチしました。Cognitoは、モバイルアプリのためのサービスで、弊社ブログでも何度か取り上げています。 […]
渡辺です。 AWSの各サービスを最小限のリスクで運用するには、IAM(Identity and Access Management)の利用は必要不可欠です。IAMには様々な機能がありますが、基本となるUser, Grou […]
ウィスキー、シガー、パイプをこよなく愛する大栗です。 最近はほとんどCloudFormation職人と化しておりCloudFormationのテンプレートを書いているのですが、いつの間にかCloudFormationがア […]
こんにちは、せーのです。 今日はIAMの運用管理に便利な新機能をご紹介します。「アクセスアドバイザー」といいます。 何に使うのか アクセスアドバイザーはIAMの各リソース(User, Group Role Policy) […]
ども、大瀧です。 AWSのユーザー管理、皆さんどうしていますか?扱うアカウントが増えてくると、アカウントごとにユーザーやパスワード、権限を管理するのが手間になってくると思います。 そこで今回はIDaaS(ID as a […]
ども、大瀧です。 SORACOM Conference 2016 “Connected.”でSORACOMの新サービスがいくつか発表されました。そのうちの一つであるSORACOM Endorseは、SORACOM Air […]
ども、大瀧です。 本日IAMの新機能としてパスワード管理の機能追加とクレデンシャルレポートの出力がリリースされました。IAMユーザーの管理をよりセキュアにする良い機能拡張だと思うので、アップデート内容をまとめてみます。 […]