-
CodeCommit上のリポジトリでmasterブランチへのプッシュを禁止してみる
pull requestベースで運用していると、リモートのmasterにpushしちゃって迷惑かけたなんてことないですか?CodeCommitでコード管理すれば簡単に制限できます。その設定方法を解説します。
-
CloudFrontエッジキャッシュクリアのみを行うユーザーの作成
CloudFrontのエッジキャッシュのみを行えるIAMユーザーを作成します
-
Tips and Advice on IAM Policy using aws:SourceIP
You may be looking to implement access restrictions using the aws: SourceIp condition key. For example, if an […]
-
IAMのService-Linked RolesがCloudFormationに対応したので、とてもナイスなリリースということを詳しく書いてみた。
CloudFormationがIAMの「Service-Linked Roles」に対応しました。何がうれしいのかその詳細を探ります。
-
オレゴンリージョンにてPrivateLinkを使用してAWS STS(Security Token Service)が使えるようになりました。
こんにちわ、吉江です。 PrivateLinkにてAWS STSがオレゴンリージョンで利用できるになりましたので、早速試してみました。 AWS STSとは? わかりやすい解説としてこちらの記事をご紹介させて頂きます。 A […]
-
89件のシェア(ちょっぴり話題の記事)
[新機能]IAMの委譲権限を制限可能なPermissions Boundaryが登場したので試してみた
新機能としてIAMの委譲権限を制限可能なPermissions Boundaryが登場したので試してみました。
-
aws:SourceIp キーを使用したIAM ポリシーを使う時に覚えておきたいこと
はじめに aws:SourceIp キーを使用してIAM ポリシーによりアクセス制限を実施していることがあると思います。例えばIAM グループが以下のようなポリシーを持っており、IAM ユーザーはそのIAM グループに属 […]
-
219件のシェア(すこし話題の記事)
AWS を安全に使うために(IAM のベストプラクティス)
セキュリティインシデントを止めるには IAM から。IAM の正しい使い方を一度覚えればセキュリティリスクは低減できます。AWS のドキュメント「IAM のベストプラクティス」をできるだけ具体的に解説してみましたのでご一読ください。
-
163件のシェア(すこし話題の記事)
AWS運用専門の勉強会「Ops JAWS#13」で「IAMの運用 ベストプラクティス」というタイトルで登壇してきました #jawsug #opsjaws
森永です。 Ops JAWS#13で「IAMの運用 ベストプラクティス」というタイトルで登壇しました。 スライド まとめ IAMロールは最高 アクセスキーはつらい ログは必ずとる 上記を守るだけでだいぶ楽になります。権限 […]
-
ツールが未対応でもMFA & AssumeRoleしたい! aws-mfaを使って簡単に一時的な資格情報を生成してみた
aws-mfaを使用してMFAが適用されているアカウントの一時的な資格情報を取得する
-
参照専用の権限を持つIAMユーザの作成
渡辺です。 IAMユーザに不必要な管理者権限を付けていませんか? リソースの確認依頼などを行う時、不用意に強い権限を持ったIAMユーザを発行すると、それ自体がセキュリティリスクとなります。 可能であれば、 必要最小限の権 […]
-
[Lambdaでクロスアカウント] Lambda 関数で AssumeRole して他の AWS アカウントのリソースにアクセスする
こんにちは、菊池です。 Lambda関数で異なるAWSアカウントのリソースにアクセスしたい場合、S3やSQSのようにリソース側でアクセスポリシーを設定可能なサービスであれば、それを利用してクロスアカウントのアクセス許可を […]
-
117件のシェア(ちょっぴり話題の記事)
【待ってた】「東京リージョンだけでXXXの実行を許可する」を簡単に実現するIAMのアップデート
はじめに 中山(順)です 待望のアップデートです! すべてのAWSサービスで特定リージョンへのAPIリクエストを制御できるようになりました! Easier way to control access to AWS reg […]
-
[AWS]ハードウェアMFAって実際どうなの?2018[セキュリティを高めよう!]
コンニチハ、千葉です。 なんと手元にMFAデバイスが到着しました。 サードパーティプロバイダーの Gemalto が提供している、不正開封防止用ハードウェアのキーホルダータイプデバイスです。購入はこちら。 今回はキーホル […]
-
[素朴な手順]CognitoでIdentityID別にS3バケットへのアクセス許可をつけてみます
ベルリンのはんせです。 はじめに モバイルアプリでS3バケット内のオブジェクトに対して利用者ごとに制限をかけたいというお問い合わせがありましたので、手元での動作確認手順をまとめてみました。 AWS CLIをAmazon […]
-
[OneLogin] 複数 AWS アカウントへの Assume Role で AWS CLI を利用する
先日、OneLoginを利用した複数AWSアカウント/IAMロールへのシングルサインオン(SSO)環境の構築を紹介しました。AWS CLI やアプリケーションからのAPI利用を複数AWSアカウントで実現したいと思います。
-
ベストプラクティスに従ったコンソールログイン用のIAM環境をCloudFormationで設定してみた(設置編)
はじめに AWSチームのすずきです。 先日、紹介させていただいたAWSのベストプラクティスに従ったAWSコンソールログイン用設定を CloudFormationテンプレートを利用して、展開する方法について紹介させて頂きま […]
-
IAMロールのセッション期間が1時間から12時間に延長可能になりました
CLI/API セッションの有効時間が最大12時間に延長可能となったIAMロールのアップデート。AWSコンソールでスイッチロールし、1時間以上のセッションが維持可能な事を確認してみました。
-
[AWS]CISで語られているIAMマスターロールとIAMマネージャーロールについて整理
コンニチは千葉です。 はじめに AWSに関するCISベンチマークについて、調査した内容をまとめます。 CISとは下記のような非営利団体です。 米国のNSA(National Security Agency/国家安全保障局 […]
-
マネジメントコンソールで参照可能なサービスを制限する
こんにちは、坂巻です。 今回は、特定のIAMユーザに対して、 マネジメントコンソールから参照できるサービスを制限してみたいと思います。 目次 カスタマー管理ポリシーの作成 ポリシーの内容 ポリシーの作成 ポリシーの適用 […]
-
307件のシェア(そこそこ話題の記事)
JAWS DAYS 2018登壇資料「AWSセキュリティ事始め 〜基礎からはじめてクラウドセキュリティの恩恵を受ける〜」#jawsdays #jawsug #jd2018_i #secjaws
こんにちは、臼田です。 JAWS DAYS 2018に登壇しましたので、資料を共有いたします。 なお、もし資料をSNS等で共有されたい場合にはこのブログをシェアしていただけるとうれしいです☆ミ 登壇資料 資料のテーマとか […]
-
144件のシェア(ちょっぴり話題の記事)
AWSコンソールのログイン用アカウントをIAMのベストプラクティスに従って作成してみた(設定編)
はじめに AWSチームのすずきです。 1つのAWSアカウントを複数の関係者で利用する環境で、AWSコンソールのログイン用アカウント(IAMユーザ)を AWSが公開しているベストプラクティスに従って作成する機会がありました […]
-
別アカウントのS3バケットを利用する手順
AWS アカウントが分かれている (クロスアカウント) 環境で、S3 バケットを共有したいときってありますよね。 本番環境と開発環境で AWS アカウントが分かれている 自社のサービスを AWS 環境で提供していて、ユー […]
-
[レポート] AWS主催のIAM技術セミナーに参加してきました
先日開催されました、AWS 主催の技術セミナーに参加してきましたのでレポートします。 今回のセミナーは「エンタープライズサポート契約を結んでいるパートナー企業限定のトレーニングセッション」ということで、特にサポートエンジ […]
-
IAMユーザーのMFAをAWS CLIで無効化する
AWSでは、特権 のある IAM ユーザーに対して多要素認証(MFA)を有効にして AWS リソースを保護することが推奨されています。 MFA を有効にすることで、 ユーザー名とパスワード (ユーザーが既知の第 1 要素 […]
-
IAMユーザー初回ログイン時のパスワード変更の注意点
DI部近藤です。 先日プチハマりした事象について、今年の終わりに共有しておきたいと思います。 事象 IAMユーザーを作成して利用者に付与したところ、初回ログイン時のパスワードの変更ができずマネジメントコンソールが利用でき […]
-
【レポート】IAM Policy エキスパート(忍者)になろう。 #reinvent #SID314
こんにちは。コカコーラ大好きカジです。 今回はre:Invent 2017で行われた「SID314 - IAM Policy Ninja」についてレポートします。 現地には行っておりませんので、Amazonで公開された、 […]
-
AWS CLIでインスタンスプロファイルからのAssumeRoleが簡単になりました
AWS のクロスアカウント・オペレーションを楽にする地味なアップデートが AWS CLI にきました。 tl;dr というようにクレデンシャル設定($HOME/.aws/credentials)の credential_ […]
-
86件のシェア(ちょっぴり話題の記事)
[新機能]IAMのVisual Editorを使って見た[便利!]
ご機嫌いかがでしょうか、豊崎です。 IAMポリシーの作成と更新時にVisual Editorが利用できるようになりましたので、 試して見たいと思います。 Visual Editorを使って見た では早速ポリシーを作成しま […]
-
[S3]クロスアカウント時のアップロード時の権限エラー[はまった]
コンニチハ、千葉です。 S3のクロスアカウント環境を構築したのですが、クロスアカウント上でアップロードしたファイルをダウンロードしたとろこと権限エラー(Access Denied)になってはまったので記しておきます。 事 […]