IAM

AWS Configのカスタムルールによる自動検出と自動修復の仕組みを使って、「全IAMユーザーに自動でMFAを強制する」仕組みを試してみました。

ymmt (@ymmt2005) です。 昨年までは Neco プロジェクトとして自社データセンターを Kubernetes を中心としたシステムに刷新していました。 次の活動として、今度は Identity and Access Management (IAM) 分野に取り組むことにしました。 IAM というのは、複数のサービスを跨いでサインインするシングルサインオン（SSO）や自動的にユーザーを作成・削除するプロビジョニングなどを実現するものです。 代表的な製品としては Okta や Azure Active Directory があります。 今回はなぜ IAM 分野に取り組むことにしたの…

はじめに 毎回忘れるのでメモ。 やりたいこと AWSアカウントにエイリアスを付与したい。 https://12345678904.signin.aws.amazon.com/console ではなく、 https://hogehoge.signin.aws.amazon.com/console でログインできるようにしたい。 手順 IAMダッシュボードにアクセス 右端のAWSアカウント欄から、 アカウントエイリアスの作成をクリック 優先エイリアスを設定する 参考情報 docs.aws.amazon.com

目次 目次 やること 接続元の制限 ネットワーク・ソースの作成 認証設定 接続確認 制限解除 事前設定 事前確認 OCICLIから制限解除 参考 やること OCIコンソールにログインを許可する接続元のIPアドレスを制限 接続元IP制限で誤ってコンソールログインできなくなってしまった場合の制限解除 接続元の制限 ネットワーク・ソースの作成 ネットワーク・ソースに遷移 ネットワーク・ソースの作成 項目を入力して作成を押下します。 OCI以外からのアクセスを許可する場合は、接続元のCIDRブロックを指定します。(パブリックIP) 認証設定 「認証設定」に遷移します。 認証設定の編集 作成したネットワ…

タダです. GitHub Actions にて OpenID Connect 経由して認証し,AWS へのアクセス可能になったというアナウンスが出て以降に,これまでは IAM ユーザーのアクセスキー/シークレットアクセスキーを設定して認証したのを IAM ロールに入れ替えました.既に試された記事を出されている方々の情報を参考に,入れ替えたときの経験をこの記事にまとめていきます. github.blog OIDC Provider と IAM ロールを作成する 参考記事 上記とは別の権限をつけた IAM ロールを作りたい場合 複数リポジトリを信頼関係に登録したい場合 まとめ OIDC Provi…

こんにちは。中山です。いろいろ便利な世の中になったもので、ちょっと REST API を作りたいなぁと思ったら、AWS の API Gateway や Lambda のサービスを使って、パパーっと提供することができるようになりました。 一方でこの REST API を、しっかりしたセキュリティのもとで提供してほしい、というのはよくある話です。 こういう場合の対策として、たとえばこの API Gateway へのリクエストの際に、AWS の IAM 認証が必要となるように設定しておき、「IAM の認証情報（アクセスキー、シークレットキー）を知っている人だけが API にアクセスできるようにする」…

検証用や個人用のAWSアカウントで、IAMユーザーのIAMポリシーに管理者権限のAdministratorAccessを使用している人は多いのではないでしょうか。・・・・僕もその一人です（汗） クラスメソッドさんの記事でも注意を促していますが、アクセスキーの流出で多額の費用請求されることがまだまだあるようです。 dev.classmethod.jp また、他の方からは「不正利用された場合、以前は個人なら免除もあったが最近はそうでもなくなってきた。」ということも伺いました。 どちらにせよ、アクセスキーの流出で借金負うわけにはいかないです。。。 アクセスキーの流出で痛い目を見ないための方法としては…

ワイヤーロープアイソレーターの特性：解析モデルでの減衰と剛性の使用 Lessons Learnedとは、組織(に関わらないですが)において業務を遂行した上で得られた教訓(学んだ教訓)のことを指しています。 今回はワイヤーロープアイソレータについてです。 ワイヤーロープアイソレーターとは 防振製品の一つです。 ゴムやばねと同様の性質を利用して振動や衝撃のエネルギーを吸収する製品となります。ゴムやばねはサイズ感の違いがあれど、構造的には同じものです。 伸縮性のある分子構造を持つゴム、金属の伸展性とらせん構造を持つばねは、それぞれ伸縮することで振動や衝撃のエネルギーを熱や運動エネルギーに換えています…

はじめに AWS アカウントに IAM ユーザーを作成しログインする代わりに、ID プロバイダー(IdP)を使⽤しシングルサインオンすることができます。これは、組織に独⾃のID 基盤がある場合や、複数の AWS アカウントを使⽤している場合に便利です。今回は AWS 認定ソリューションアーキテクト - プロフェッショナル試験に向けて、SAML を使った AWS へのシングルサインオンに挑戦してみようと思います。 シングルサインオンとは 1度のユーザー認証によって複数のシステム（業務アプリケーションやクラウドサービスなど）の利用が可能になる仕組みを指します。 シングルサインオンに必要な要素 要素…

概要 クロスアカウントでAssumeRoleするときに外部IDを使用させる方法です。 悪意のある第三者にロール名、アカウントIDが漏洩しても、外部IDがわからなければAssumeRoleされないようになり、セキュリティの向上が見込めます。 手順 IAMロール作成 以下のような信頼ポリシーでIAMロールを作成します。 アカウントIDは自分の環境にあわせて変えてあげます。 "sts:ExternalId": "gaibu_id"の箇所が外部IDです。今回外部IDはgaibu_idとしています。 { "Version": "2012-10-17", "Statement": [ { "Effect"…

お世話になっております。凛子です。 今週の運用結果を報告いたします。 ①まずは裁量口座から。 USD/JPYの通貨ペアのロングを２lot、CNH/JPYの通貨ペアのロングを１０lot持越しました。両方とも基本的には長期保有のポジションです。 週末時点の有効証拠金は、￥652,293- です。 今後も握力強く握り続けたいと思います。 ②次に自動売買口座の報告をいたします。 今週末の有効証拠金は￥358,076-となりました。 先週に続きマイナスになったのはショックではありますが、もともとハイロットで運用しているので、これくらいは想定の範囲内としたいです。 以下、来週からのEAと稼働lotの記載で…

皆さんこんにちは！虎の穴ラボのNSSです。 この記事は「虎の穴ラボ 夏のアドベントカレンダー」の5日目の記事です。 4日目はH.Yさんによる「Amazon WorkSpacesで色々試してみる。」が投稿されました。 6日目はS.Sさんによる「SwitchBotのAPIで家電を遠隔操作してみた」が投稿されます。 はじめに 私は約4年前にとらラボ同人誌のネタとして、 AWS サーバーレスアプリケーションモデル (以下AWS SAM)を触ったことがあるのですが、 その時よりもさらに使いやすくなっていました。 そこで、今回はおすすめのクラウドサービスとして、 AWS SAMを使用してサンプルアプリケー…

小西秀和です。 前回は「歴史・年表でみるAWSサービス(AWS Systems Manager編) －機能一覧・概要・アップデートのまとめ・SSM入門－」の記事でAWS Systems Manager(SSM)の機能一覧や機能統合の変遷などを紹介しました。 今回はクラウド上でドメインネームシステム(DNS)をはじめ、様々な関連機能を提供するAmazon Route 53について歴史年表を作成してみました。 今回もAmazon Route 53の誕生から機能追加やアップデートを追いながら主要機能を現在のAmazon Route 53の機能一覧と概要としてまとめています。 これらが、各AWSサービ…

札幌【占い.口コミ.当る.2022年】夢占館（ゆめせんかん）の石原聖山『札幌北区の占いの父』が貴方の【2022年！干支壬寅 （みずのえとら）【下半期】を的確に占う！2022年7月1日（金） 札幌のよく当たる占い師 口コミで当たると評判の札幌北区の占いの父ー 夢占館（ゆめせんかん）の石原聖山が貴方の『202２年!干支壬寅 （みずのえとら）』を的確に占う！占い歴25年、お悩み相談人生アドバイザー『占い＆お悩み相談ＢＯＸ夢占館（ゆめせんかん）』ー石原聖山の元気が出る世界の名言，格言をあなたに・・・2022年７月１日（金） 占い＆お悩み相談ＢＯＸ夢占館（ゆめせんかん） 【あなたの不安や迷いを断ち切り、…

■ はじめに クロスアカウントでのS3アクセスに関して 複数の原因があってハマりにハマったので、メモしておく。 目次 【０】教訓：S3バケットのアクセストラブルの勘所 【１】エラー「An error occured (403) when calling the HeadObject operation: Forbidden」が表示 【２】エラー「The ciphertext refers to a custom master key ...」が表示 【０】教訓：S3バケットのアクセストラブルの勘所 * 以下の点を落ち着いて当たってみるといいかも、、、 １）S3へアクセスしているIAM role…

はじめに 対象者 前提と環境準備の内容 Cloud9について Cloud9概要： メリット： Cloud9の環境準備 SAMについて AWS SAM テンプレート SAM要約： メリット： プロジェクト開始 sam init sam build sam deploy StateMachineの実行 参考文献 はじめに SRE1課の石井です。 現在多数のEC2(主にLinux)が稼働しているプロジェクトに参加しています。 プロジェクトで発生する業務を何かしらの仕組みで自動化して工数を減らしたいと考えてます。 メンテ面を考えると凝った作りのshellscriptやpythonで自動化スクリプトは組…

本日の記事はOpenShiftのマネージドサービスのひとつであるRed Hat OpenShift Service on AWS(ROSA)を、レッドハットが提供するRed Hat Hybrid Cloud Console(いわゆるWebコンソール)からウィザード形式でクラスタをデプロイする手法をご紹介します。ROSAはクラウドサービスです、本記事は2022年6月29日現在の状態で検証した内容となっており、その後サービス提供内容が変化している可能性が御座います。 ・以前から提供されているROSAとの違い・HCCからROSAをデプロイする手順の紹介 はじめに ROSAをデプロイする前に行っておく…

夜勤明けの朝ごはん、10時半頃(^ω^)今日のパンは私が焼きカレーパン、家人が枝豆チーズのパンです。いずれもtre nave 謹製。 pic.twitter.com/vXk7MJLeCN— たかの朱美 (@gohan_takano) 2022年6月30日 夜勤明けの寝て起きてーの晩ごはん、なう(^ω^) pic.twitter.com/jqUkcqWaC6— たかの朱美 (@gohan_takano) 2022年6月30日 チョコちゃんも晩ごはん、にゃう(=^x^=) pic.twitter.com/MozPVIeKgd— たかの朱美 (@gohan_takano) 2022年6月30日 メン…