AWS IAM
re:Invent 会期中のニュース発表から漏れた、いわゆる「落選組」のニュースの中で、割と大きめのアップデートとしてOrganzations 組織のメンバーアカウントに対して管理アカウントから集中的に管理ができるようになったニュースがありましたのでその紹介と、…
マネージドサービス部 佐竹です。本ブログは「自分の認証情報(My security credentials)」の画面から、コンソールのパスワードを更新する際に、IAM ユーザーに `iam:ChangePassword` のポリシーが適切に付与されているにも関わらず「iam:ChangePassword へ…
垣見です。 IAMのベストプラクティスとしてよく聞く「MFA有効化」は自動処理ワークロード用のIAMユーザーには適用するべきなのか気になって調査した結果、「そもそもIAMユーザーではなくIAMロールを使うべし」という結論になりました。 はじめに 用語 結論 M…
こんにちは、やまぐちです。 概要 ユーザとグループの管理をどこでするか? Entra ID と IAM Identity Center の両方でユーザとグループを管理する場合(手動プロビジョニング) Entra ID 側のみでユーザとグループを管理する場合(自動プロビジョニング) …
2024年6月のre:Inforceで発表された注目の新機能、AWS Identity and Access Management (IAM) の多要素認証で、PasskeyとしてWindows Helloの顔認証を登録しログインした際の設定手順を紹介します。
マネージドサービス部 佐竹です。本ブログでは AWS Systems Manager クイックセットアップを利用してデフォルトホスト管理設定(Default Host Management Configuration setting)を AWS Organizations 全体で利用する際の具体的なセットアップ方法をステッ…
AWS Identity and Access Management (IAM) が多要素認証用のパスキーをサポートしたという話を耳にしたので早速試してみた。
エンタープライズクラウド部の山下(祐)です。今回は、IAM Access Analyzer の分析結果を、AWS CLI でCSV出力してみたいと思います。 IAM Access Analyzer とは マネジメントコンソールのエクスポートでは、JSONしかエクスポートできない 実行コマンド コマン…
エンタープライズクラウド部の山下(祐)です。 本ブログでは、IAMユーザーの認証情報が漏洩した際の対処を、シンプルに出来るか考えてみたいと思います。 背景 留意事項 前提条件 対象とする認証情報 対象リソース 対象フェーズ 考察 No.1について No.2につい…
この度、既存の IAM マネージドポリシー CloudWatchFullAccess に廃止の案内がありましたので、そのご紹介と解説をするブログ記事となります。 また、本件について 2023年10月24日 前後に配信された AWS 通知に対するご注意事項も含んでいます。
こんにちは! エンタープライズクラウド部技術2課の日高です。 今回はマルチアカウントへの「権限集約のポイントと必要な移行ステップ」についてブログを記載しようと思います。 はじめに マルチアカウントにおけるユーザー認証方法の選択基準 マルチアカウ…
こんにちは!イーゴリです。 今日は下記のAWSアップデートを紹介したいと思います。 aws.amazon.com 新しいコンテキストキーを使用して、ACM ユーザーが証明書発行パラメータをカスタマイズする方法を定義し、1) 特定の証明書の検証方法、2) ワイルドカード…
こんにちは、技術2課の加藤ゆです。 最近ようやく気温が10度代になりましたね、涼しい~薄着で寝たら鼻かぜを引きました。 IAM Policy Simulator とは? 何が出来る? ポイント 使ってみよう IAM ポリシーシミュレーターコンソールへアクセス 使い方 1.IAM…
こんにちは! エンタープライズクラウド部技術2課の日高です。 今回は「IAMグループとIAMユーザー設定を視覚化するスクリプト」を作成したので、そちらについてブログを記載しようと思います。 はじめに 前提と作成したスクリプト解説 前提 作成したスクリプ…
エンタープライズクラウド部 小林(嵩) です。 複数のクラウドサービス導入が進み、認証情報の管理工数削減やセキュリティガバナンスの強化等目的に、シングルサインオン(SSO)の仕組み導入は良くある話かと思います。 AWS マネジメントコンソールへのアクセ…
GitHub ActionsでのAWS連携が一段と便利に。OIDC Identity Provider設定の簡素化により、証明書のthumbprint管理が不要になります。今回のアップデート内容を詳しくご紹介。
こんにちは、テクニカルサポート課の荒川です。 AWS Cost Explorer で表示するために必要な権限について、過去に記事があります。 blog.serverworks.co.jp 今回、新しい IAM アクションが有効となり、上記記事内のポリシーでは AWS Cost Explorer で表示する…
マネージドサービス部 佐竹です。本ブログでは、AWS CLI を MFA を都度入力せずにスイッチロールと共に12時間連続で利用する方法として、実際のコマンドと設定について記載しています。この内容に関するブログは世の中に色々あると思うのですが、今回は比較…
みなさん、こんにちは。 AWS CLI が好きなテクニカルサポート課の市野です。 弊社テクニカルサポート宛でいただいたお問い合わせで、私が認識していなかった挙動についての投稿となります。 発生していた事象 以下のような IAM ポリシーで、接続元グローバル…
3月よりIE課(インターナルエデュケーション課) に異動しました山﨑です。 今回はAWS Organizations における「アクセス統制」について整理してみます AWS Organizations におけるアクセス統制 AWS Organizations のおさらい アクセス統制について ①IAM方式…
こんにちは。AWS CLIが好きな福島です。 はじめに 参考 概要図 やること ①IDプロバイダーの設定 ②IDプロバイダーへのIAMロールの割り当て ③②で作成したIAMロールの信頼関係の編集 ④GitHubのSecretsにIAMロールのARNを保存 ⑤GitHub ActionsによるGitHubからS3…
こんにちは。技術課の山本です。 以前の記事で IAM Roles Anywhere の概要に触れました。 おまけ、OpenSSL 篇: 今回は上の記事で解説した構成を、実際に構築してみます。 認証局は Private CA (Short-Liveモード) を使用して構築します。 ※ 図内に書いてい…
こんにちは。技術課の山本です。 IAM Roles Anywhere の認証方式を理解するために、一通り触ってみて、概要を整理してみました。 具体的な手順等は別の記事に記載予定です。 ⏩書きました。 Private CA 篇: OpenSSL 篇: IAM Roles Anywhere の利用目的 IAM …
こんにちは! 現在研修中の日高です!! AWS Cost Explorer(今後はCost Explorerと略します)をマネジメントコンソールで表示するために必要な権限を知らず、唐突に気になったので備忘録がてら本ブログにまとめていきたいと思います。 前提として今回はアク…
カスタマーサクセス部 佐竹です。 以前ご連絡しました「MFA デバイスを複数登録が可能となった」アナウンスに関連して「元通り1台のみの制限状態で運用したい」というご要望が寄せられましたので、これを可能とする IAM ポリシーを考案しました。
CI2部 技術2課の山﨑です。 AWSリソースを設計する際に一度は目にしたことがある「タグ」の設定ですが、多くのAWSリソースではオプションとしてタグが付与できるようになっています。 今回はAWSリソースのタグ設計について考えてみました。 AWSリソースにお…
コーヒーと DiveDeep が好きな木谷映見です。 皆さん、IAM を利用する際、「AssumeRole」というアクションを目にしたことはありますか?恐らく多くの方がかなりの回数目にしているのではないでしょうか。 私は特にこの「AssumeRole」というアクションが大好…
CI2部の山﨑です。 IAMドキュメントの更新履歴を見る機会があり、そこでアクセスポリシーの評価ロジックが更新されていましたので、その点について簡単にご紹介させて頂きます。 はじめに 変更点 更新前 更新後 各種アクセスポリシーについて 拒否の評価(明…
CI2部 技術2課の山﨑です。 4月27日にIAM Policy の Condition要素で利用可能なGlobal Condition Key が3つ追加されるというアップデートがありました。 aws.amazon.com 今回はこのアップデートで一体何が便利になったのかを一部ご紹介します。 Global Condi…
コーヒーが好きな木谷映見です。 今日はスイッチロールの概念と設定方法についてまとめていきます。 スイッチロールとは? ざっくりとしたイメージ 真面目なイメージ スイッチロールのイメージ 「帽子をかぶって力を得る」 IAM ポリシーの種類 アイデンティ…
コーヒーが好きな木谷映見です。 「IAM ってどんなもの?」という概念をざっくりと掴むことを目的として書きました。 この記事で書くこと IAM の主要概念のみざっくり説明 この記事で書かないこと 具体的な IAM の操作方法 具体的な IAM ポリシーの記述方法 …
こんにちは! クラウドインテグレーション2部 技術3課の樺澤です。 タイトルの件、意外とややこしかったので記録に残します。 はじめに IAMポリシーとは タグベースの制御のユースケース 今回やりたいこと クイズです A B 解説 なぜBが正解? ①Condition句…