AWS IAM

エラーメッセージ「iam:ChangePassword に対する許可がありません」に関する注意事項

マネージドサービス部 佐竹です。本ブログは「自分の認証情報(My security credentials)」の画面から、コンソールのパスワードを更新する際に、IAM ユーザーに `iam:ChangePassword` のポリシーが適切に付与されているにも関わらず「iam:ChangePassword へ…

【MFA問題】自動処理ワークロード用権限にはIAMロールを使いましょう

垣見です。 IAMのベストプラクティスとしてよく聞く「MFA有効化」は自動処理ワークロード用のIAMユーザーには適用するべきなのか気になって調査した結果、「そもそもIAMユーザーではなくIAMロールを使うべし」という結論になりました。 はじめに 用語 結論 M…

Microsoft Entra ID と IAM Identity Center を連携させて、AWS アカウントへのログインを実現させる

こんにちは、やまぐちです。 概要 ユーザとグループの管理をどこでするか? Entra ID と IAM Identity Center の両方でユーザとグループを管理する場合(手動プロビジョニング) Entra ID 側のみでユーザとグループを管理する場合(自動プロビジョニング) …

AWS Identity and Access Management (IAM) の多要素認証 (MFA)でWindows Helloを設定した

2024年6月のre:Inforceで発表された注目の新機能、AWS Identity and Access Management (IAM) の多要素認証で、PasskeyとしてWindows Helloの顔認証を登録しログインした際の設定手順を紹介します。

AWS SSM デフォルトホスト管理設定を組織で有効化し Session Manager を利用する場合の注意点

マネージドサービス部 佐竹です。本ブログでは AWS Systems Manager クイックセットアップを利用してデフォルトホスト管理設定(Default Host Management Configuration setting)を AWS Organizations 全体で利用する際の具体的なセットアップ方法をステッ…

【やってみた】AWS Identity and Access Management (IAM) の多要素認証でパスキーを設定してみた

AWS Identity and Access Management (IAM) が多要素認証用のパスキーをサポートしたという話を耳にしたので早速試してみた。

(小ネタ)IAM Access Analyzer の検出結果を、AWS CLI でCSV出力してみた

エンタープライズクラウド部の山下(祐)です。今回は、IAM Access Analyzer の分析結果を、AWS CLI でCSV出力してみたいと思います。 IAM Access Analyzer とは マネジメントコンソールのエクスポートでは、JSONしかエクスポートできない 実行コマンド コマン…

IAMユーザーの認証情報が漏洩した際の対処を、シンプルに出来るか考える

エンタープライズクラウド部の山下(祐)です。 本ブログでは、IAMユーザーの認証情報が漏洩した際の対処を、シンプルに出来るか考えてみたいと思います。 背景 留意事項 前提条件 対象とする認証情報 対象リソース 対象フェーズ 考察 No.1について No.2につい…

IAM マネージドポリシー CloudWatchFullAccess が廃止されます

この度、既存の IAM マネージドポリシー CloudWatchFullAccess に廃止の案内がありましたので、そのご紹介と解説をするブログ記事となります。 また、本件について 2023年10月24日 前後に配信された AWS 通知に対するご注意事項も含んでいます。

マルチアカウントへの権限集約のポイントと必要な移行ステップ

こんにちは! エンタープライズクラウド部技術2課の日高です。 今回はマルチアカウントへの「権限集約のポイントと必要な移行ステップ」についてブログを記載しようと思います。 はじめに マルチアカウントにおけるユーザー認証方法の選択基準 マルチアカウ…

【IAM ポリシー】 AWS Certificate Manager の条件キーで、証明書を制限出来るようになりました

こんにちは!イーゴリです。 今日は下記のAWSアップデートを紹介したいと思います。 aws.amazon.com 新しいコンテキストキーを使用して、ACM ユーザーが証明書発行パラメータをカスタマイズする方法を定義し、1) 特定の証明書の検証方法、2) ワイルドカード…

IAM Policy Simulator の使い方

こんにちは、技術2課の加藤ゆです。 最近ようやく気温が10度代になりましたね、涼しい~薄着で寝たら鼻かぜを引きました。 IAM Policy Simulator とは? 何が出来る? ポイント 使ってみよう IAM ポリシーシミュレーターコンソールへアクセス 使い方 1.IAM…

IAMグループとIAMユーザー設定を視覚化するスクリプトを作ってみた

こんにちは! エンタープライズクラウド部技術2課の日高です。 今回は「IAMグループとIAMユーザー設定を視覚化するスクリプト」を作成したので、そちらについてブログを記載しようと思います。 はじめに 前提と作成したスクリプト解説 前提 作成したスクリプ…

IAM ID プロバイダを使用した Azure AD との SAML 認証連携とマネジメントコンソールログイン

エンタープライズクラウド部 小林(嵩) です。 複数のクラウドサービス導入が進み、認証情報の管理工数削減やセキュリティガバナンスの強化等目的に、シングルサインオン(SSO)の仕組み導入は良くある話かと思います。 AWS マネジメントコンソールへのアクセ…

IAM OIDC Identity Provider の作成時、GitHub, Auth0 など一部の IdP で thumbprint の指定が(実質)不要になりました

GitHub ActionsでのAWS連携が一段と便利に。OIDC Identity Provider設定の簡素化により、証明書のthumbprint管理が不要になります。今回のアップデート内容を詳しくご紹介。

新しい IAM アクションで AWS Cost Explorer を表示するために必要な権限

こんにちは、テクニカルサポート課の荒川です。 AWS Cost Explorer で表示するために必要な権限について、過去に記事があります。 blog.serverworks.co.jp 今回、新しい IAM アクションが有効となり、上記記事内のポリシーでは AWS Cost Explorer で表示する…

AWS CLI を MFA を都度入力せずにスイッチロールと共に12時間連続で利用する方法

マネージドサービス部 佐竹です。本ブログでは、AWS CLI を MFA を都度入力せずにスイッチロールと共に12時間連続で利用する方法として、実際のコマンドと設定について記載しています。この内容に関するブログは世の中に色々あると思うのですが、今回は比較…

接続元 IP アドレスに基づいた制限を持つ IAM エンティティから AWS Marketplace を利用できない事象

みなさん、こんにちは。 AWS CLI が好きなテクニカルサポート課の市野です。 弊社テクニカルサポート宛でいただいたお問い合わせで、私が認識していなかった挙動についての投稿となります。 発生していた事象 以下のような IAM ポリシーで、接続元グローバル…

AWS Organizations におけるアクセス統制

3月よりIE課(インターナルエデュケーション課) に異動しました山﨑です。 今回はAWS Organizations における「アクセス統制」について整理してみます AWS Organizations におけるアクセス統制 AWS Organizations のおさらい アクセス統制について ①IAM方式…

【GitHub Actions】IAMロールを利用したAWSへのアクセス

こんにちは。AWS CLIが好きな福島です。 はじめに 参考 概要図 やること ①IDプロバイダーの設定 ②IDプロバイダーへのIAMロールの割り当て ③②で作成したIAMロールの信頼関係の編集 ④GitHubのSecretsにIAMロールのARNを保存 ⑤GitHub ActionsによるGitHubからS3…

IAM Roles Anywhere を構築してみる。

こんにちは。技術課の山本です。 以前の記事で IAM Roles Anywhere の概要に触れました。 おまけ、OpenSSL 篇: 今回は上の記事で解説した構成を、実際に構築してみます。 認証局は Private CA (Short-Liveモード) を使用して構築します。 ※ 図内に書いてい…

IAM Roles Anywhere の認証方式を理解する

こんにちは。技術課の山本です。 IAM Roles Anywhere の認証方式を理解するために、一通り触ってみて、概要を整理してみました。 具体的な手順等は別の記事に記載予定です。 ⏩書きました。 Private CA 篇: OpenSSL 篇: IAM Roles Anywhere の利用目的 IAM …

AWS CostExplorをマネジメントコンソールで表示するために必要な権限

こんにちは! 現在研修中の日高です!! AWS Cost Explorer(今後はCost Explorerと略します)をマネジメントコンソールで表示するために必要な権限を知らず、唐突に気になったので備忘録がてら本ブログにまとめていきたいと思います。 前提として今回はアク…

IAM ユーザの MFA デバイス名を IAM ユーザ名のみに制限する方法

カスタマーサクセス部 佐竹です。 以前ご連絡しました「MFA デバイスを複数登録が可能となった」アナウンスに関連して「元通り1台のみの制限状態で運用したい」というご要望が寄せられましたので、これを可能とする IAM ポリシーを考案しました。

AWSリソースのタグ設計について考えてみる - 基礎編-

CI2部 技術2課の山﨑です。 AWSリソースを設計する際に一度は目にしたことがある「タグ」の設定ですが、多くのAWSリソースではオプションとしてタグが付与できるようになっています。 今回はAWSリソースのタグ設計について考えてみました。 AWSリソースにお…

AssumeRole について DiveDeep する

コーヒーと DiveDeep が好きな木谷映見です。 皆さん、IAM を利用する際、「AssumeRole」というアクションを目にしたことはありますか?恐らく多くの方がかなりの回数目にしているのではないでしょうか。 私は特にこの「AssumeRole」というアクションが大好…

【更新】AWSにおけるアクセスポリシーの評価ロジック

CI2部の山﨑です。 IAMドキュメントの更新履歴を見る機会があり、そこでアクセスポリシーの評価ロジックが更新されていましたので、その点について簡単にご紹介させて頂きます。 はじめに 変更点 更新前 更新後 各種アクセスポリシーについて 拒否の評価(明…

IAM Policy の Condition要素で利用可能なGlobal Condition Key が3つ追加されました

CI2部 技術2課の山﨑です。 4月27日にIAM Policy の Condition要素で利用可能なGlobal Condition Key が3つ追加されるというアップデートがありました。 aws.amazon.com 今回はこのアップデートで一体何が便利になったのかを一部ご紹介します。 Global Condi…

帽子をかぶって、スイッチロールをマスターしよう

コーヒーが好きな木谷映見です。 今日はスイッチロールの概念と設定方法についてまとめていきます。 スイッチロールとは? ざっくりとしたイメージ 真面目なイメージ スイッチロールのイメージ 「帽子をかぶって力を得る」 IAM ポリシーの種類 アイデンティ…

AWS IAM の概念をざっくり理解する

コーヒーが好きな木谷映見です。 「IAM ってどんなもの?」という概念をざっくりと掴むことを目的として書きました。 この記事で書くこと IAM の主要概念のみざっくり説明 この記事で書かないこと 具体的な IAM の操作方法 具体的な IAM ポリシーの記述方法 …

【IAMポリシー】AMI作成許可を特定タグ付きのEC2に制限する

こんにちは! クラウドインテグレーション2部 技術3課の樺澤です。 タイトルの件、意外とややこしかったので記録に残します。 はじめに IAMポリシーとは タグベースの制御のユースケース 今回やりたいこと クイズです A B 解説 なぜBが正解? ①Condition句…