IAM

【入門編】IAMポリシー設計のポイントを整理してみる

週1回のサウナが習慣になったCI部1課の山﨑です。 今回はIAMポリシー設計のポイントを考えて整理してみました。 はじめに IAMポリシーの基本 IAMポリシーの要素 ポリシー例 IAMポリシー設計のポイント 5Wで要件を整理する Organizations SCP リソースベース…

【入門編】AWSにおけるアクセスポリシーの評価ロジックを整理してみる

CI部1課に異動しました山﨑です。 AWSにおけるアクセスポリシーの評価ロジックについて簡単に整理したいと思います。 はじめに 評価ロジック 拒否の評価(明示的な拒否) Organizations SCP リソースベースのポリシー IAM Permissions Boundary セッションポ…

SCP を活用してマネジメントコンソールにログイン可能な IAM ユーザの作成を禁止する

CI部 佐竹です。 本日は AWS Organizations の SCP を活用し、ジャンプアカウント以外のアカウントで「マネジメントコンソールにログイン可能な IAM ユーザ」の作成を組織レベルで禁止してみます。

【初心者向け】IAM権限エラーの見方と対処方法

IAM

こんにちは。AWS CLIが好きな福島です。 はじめに エラーの見方 対処方法の前に 対処方法 リソースを絞りたい場合 リソースを絞らない場合 終わりに はじめに 突然ですが、AWSを触っている時に、以下のようなエラーに遭遇したことは、ないでしょうか。 ※見や…

【初心者向け】IAMポリシー(JSON)の見方

IAM

こんにちは。AWS CLIが好きな福島です。 はじめに JSONの見方 固定の記述 Sid Effect Action Resource Condition 終わりに はじめに 突然ですが、IAMポリシーは、JSONで表示および設定することができますが、 JSONで書かれているとなんとなく難しく感じ、敬…

【IAM】MFA 強制ポリシーの注意点【多要素認証】

MFA強制ポリシーとは MFA強制ポリシーのあるある 仮説 検証 公式ドキュメントに載っているIAMポリシーでの対応方法 さいごに クラウドインテグレーション部 柿﨑です。 MFA強制ポリシーと向き合う機会がありましたので、そのときに私が抱いた疑問について書…

WinAuthを使ったMFA(多要素認証)設定方法

クラウドインテグレーション部の村上です。 今回はMFA(多要素認証)の設定方法について紹介します。 今回紹介するWinAuthは名前からも分かるとおり、Windows PC対応のMFAソフトです。 スマホアプリのAuthyを使ったMFA設定方法は、別の記事がありますので参…

AWS SSO、AD、ABACを触ってみる

お久しぶりです。 クラウドインテグレーション部 柿﨑です。 IAMには属性ベースのアクセスコントロール(以下、ABAC)というものがございます。 ドキュメントを読んだだけではちゃんと理解できているか怪しいため、今回は触りながらABACの挙動を確認してみよう…

活動履歴に基づいたIAMポリシーの自動生成機能が利用可能となりました

はじめに IAM Access Analyzerによるポリシーの自動生成 何が嬉しいか 仕組み 想定される利用ケース 実際の操作 ポリシーの生成 ポリシーの確認 アクセス権限のカスタマイズ ポリシーを生成 おわりに はじめに こんにちは、技術1課の三木宏昭です。 在宅勤務…

【IAMポリシー】タグで制御できるリソース & アクションとは

IAM

こんにちは。ポインコと暮らしている高橋です。 兄がインスタをやっているのですが、今年中にフォロワー300が目標だそうです。 ということで、今回はIAMポリシーのタグ制御についての小ネタです。 リソースタグを使用したAWSリソースへのアクセス制御 ↑このA…

特定のリージョンのみのリソース制御するための IAM ポリシー設定

IAM

9月ですね,多田です. IAM 権限の制御としてリージョンレベルで制御したい要件が出てきたので調べてみたところ, aws:RequestedRegionで制限できるようなので検証した結果をブログにまとめます.なお,今回東京リージョンとソウルリージョンに EC2 を起動してい…