IAM

1. はじめに NTTドコモ 情報システム部の小寺智仁です。 現在担当しているシステムでは、エンドユーザ様向けのサイトを24 時間365 日誰でも閲覧できるように提供しております。 外部イベント要因に伴い、トラフィックが大きく変動するため、2018 年からクラウドリフト・シフトを進めてきました。 APIを数百本以上提供しており、効率的に管理するために、CI/CD化を推進しております。 従来、CloudFormation + CodePipelineでデプロイする仕組みを取っていましたが、デプロイおよび構成管理の効率化を図るため、AWS CDK + CDK Pipelinesの構成へ移行しました…

.entry-inner img{ border: 0.8px solid #a9a9a9; } .equal-width { width: 80%; table-layout: fixed; } こちらの記事は、アソビュー！ Advent Calendar 2024 の17日目（表面）です。 こんにちは。マーケットプレイス開発部の五十嵐です。 もうすぐクリスマスですね。みなさんは、どのようにお過ごしでしょうか？ 今年も我が家では子供達のためサンタさんの準備をしているのですが、6歳の息子の今年の願いは、Switchでハマっているソフトの追加コンテンツだそうです・・・。 ニンテンドープリペイドカ…

概要 特定のEC2に対してのみ、SGの関連付けを変更できるIAMポリシーを考えます。 （例）Tag（system）が「gyoumu」のEC2に対してのみ、SGの関連付けを変更できるように設定する 結論 できませんでした。 仕様上、制御の仕方は以下の2択となります。 ・全てのEC2に対してSGの関連付けを変更できるようにする。 ・全てのEC2に対してSGの関連付けを変更できないようにする。 詳しく SGの関連付けを変更する操作に該当するIAMポリシーは、「ec2:ModifyNetworkInterfaceAttribute」です。 当該操作に対して、EC2を絞ることはできません。 補足ですが、…

概要 仕事でお客様から「IAMポリシーについてちょっとお聞きしたい」という依頼で以下の依頼をもらった AWS CLIによるIAM経由でEC2へは許可したい GUI(AWS Management Console)には、社内IPからのみ接続を許したい AWS CLIは基本的にリモート環境からはアクセス出来る(但し、実行できるCLIの中身は絞りたい) というものでした。 出来なかったこと 本記事では全てのポリシーを載せることは出来ませんが、いくつかのポリシーで AWS Management Console へのアクセス制限以外は出来ており、 残りは AWS Management Console の制…

外部ID（External ID）とは AWS でサードパーティ製品を利用する場合に、「外部ID（External ID）」という要素を利用することがあります。 一般的に AWS において、クロスアカウントでのアクセスを行う場合、リソースを持つアカウントに以下のような信頼関係ポリシーを用意します。 一般的なクロスアカウントアクセスにおいては、Principalの項目に、対象のアカウントや対象のアカウントのロールを記述することが一般的です。 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { …

zako-lab929.hatenablog.com さて、LINE Notify は置いといて、上記記事において Assume Role を実施するために必要なものの準備編です。

こんにちは、AWS グループの尾谷です。 主題の件、スイッチロールには、sts:AssumeRole アクションと信頼ポリシーがセットで必要だと思っていました。 でも、クロスアカウントスイッチロールは両方が必須ですが、同アカウント内でスイッチロールする場合は、信頼ポリシーで IAM ユーザーの ARN さえ設定しておれば、AssumeRole を設定する必要がありませんでした。 非常に勉強になったので、アウトプットさせていただきます。 このブログで言いたいこと クロスアカウントのスイッチロールは、AssumeRole のアクションが必要 同アカウント内のスイッチロールは、信頼ポリシーがあれば …