日本のAWSのAPN Ambassadorが集まって作り上げるJapan APN Ambassador Advent Calendar 2020の初日です。佐々木の方からは、最近の関心事項であるマルチアカウント管理の中から、認証(ログイン)の一元化の設計について考えてみましょう。 マルチアカウント管理における認証(ログイン)の一元化の必要性 AWSを本格的に使い始めるとすぐに直面するのが、利用するAWSアカウントの増大です。AWSのお勧めのプラクティスの一つとして、用途ごとにAWSアカウントを使い分けてリスクを下げるというのがあります。本番環境と開発環境が同居しているより、分離した上で使えるユーザーを役割ごとに限定した方がリスクを下げることができますよね。一方で、プロジェクトごと・環境ごとにAWSアカウントを分離していくとすぐに10や20のアカウントになってしまいます。その時に第一の課題と
はじめに カミナシでID管理・認証基盤を開発しているmanaty(@manaty0226)です。ラスベガスで開催されているAWS re:Invent 2024に初めて参加しています。今回はチョークトークセッションで開催された「Next-generation SaaS tenant isolation strategies」に参加したレポートをお届けします。 チョークトークセッションでは登壇者と聴講者が互いにディスカッションしながら進めていきます。登壇者の話している内容について疑問に思えば手を挙げて質問できますし、そこで面白い論点が出てきたら登壇者は深掘りしてくれるので、あらかじめ準備された話を聞くよりも学びの深い時間を過ごすことができます。 テナント分離とはなにか セッションはまずテナント分離とはなにか、なぜテナント分離する必要があるのかを問いかけて始まります。テナント分離とは単にテナント
皆さん、IAM使ってますか〜? 今日は、IAMのベストプラクティスの中に呪縛のように存在する、最小権限をテーマに悩みを語ってみようと思います。 IAMでのセキュリティのベストプラクティス まずは、IAMのベストプラクティスの確認です。2020年7月現在では、17個存在しています。一番最後のビデオで説明するの唐突感以外は、どれも納得感がある内容で実践・遵守すべきです。 docs.aws.amazon.com AWS アカウントのルートユーザー アクセスキーをロックする 個々の IAM ユーザーの作成 IAM ユーザーへのアクセス許可を割り当てるためにグループを使用する 最小権限を付与する AWS 管理ポリシーを使用したアクセス許可の使用開始 インラインポリシーではなくカスタマー管理ポリシーを使用する アクセスレベルを使用して、IAM 権限を確認する ユーザーの強力なパスワードポリシーを設定
AWS STS のサービスエンドポイントとしてグローバルエンドポイントとリージョナルエンドポイントがあります。デフォルトではグローバルエンドポイントが使用されますが、リージョナルエンドポイントの使用が推奨されています。一体それはどういうことなのか、整理してみます。 コンバンハ、千葉(幸)です。 AWS Security Token Service (STS) は、一時的な認証情報を提供するサービスです。 AWS STS に対して一時的な認証情報払い出しのリクエストを行う際、リクエスト先となる AWS サービスエンドポイントには以下の2種類があります。 グローバルエンドポイント リージョナルエンドポイント デフォルトでは前者のグローバルエンドポイントが使用されるものの、後者のリージョナルエンドポイントの利用を推奨する、という記述が各種ドキュメントにあります。 👇 デフォルトでは、AWS S
コンバンハ、千葉(幸)です。 2021/4/27 に、JAWS-UG 初心者支部 #36 が しくじり LT というテーマで開催されました。 イベントの概要はこちら。 AWS初心者がやってしまいがちな失敗談を募集します。 過去の失敗事例 初心者が落ち入りそうな事例 初心者が不安に感じそうだけど、XXすれば大丈夫だよ。というセーフティネット的な事例 ハンズオンで高額請求きちゃった事例 失敗は成功のもと!! みなさんの失敗例を、活かして頂ける場になれば幸いです!! 次回以降のハンズオン初心者のアドバイスになるネタがあれば嬉しいです!! ホットなしくじりを持つ AWS 初心者のわたしは、ここぞとばかりに申し込み、登壇することにしました。 プロローグ やぁ、僕はどこにでもいる平凡なエンジニア。ある日 急に、IAM ロールを 1000 個作りたいな、って思ったんだ。みんなもきっとそんなこと、あるよね
PCI DSS に対応すべく Linux サーバーの操作履歴を S3 へ保存する、ログイン時に MFA を使用する、アイドルタイムアウトを実装する方法を紹介します。 こんにちは。 ご機嫌いかがでしょうか。 "No human labor is no human error" が大好きな ネクストモード株式会社 の吉井です。 AWS 上の踏み台サーバー (ここでは Amazon Linux 2 を想定しています) での操作履歴を S3 へ保存する、ログイン時に MFA を使用する、アイドルタイムアウトを実装する方法を紹介します。 PCI DSS の関連して以下のような要件があり、これを実現するために考えた方法です。 ssh ログインは Google Authenticator を利用した二要素認証にしたい ssh ログイン後の操作ログ(コマンドログ)を保管したい 踏み台サーバーから更に業務サ
プラットフォームチームの菅原です。 カンムのサービスで使われている各種アプリケーション(Goアプリ・管理アプリ・Redash等)では、データベースに接続する場合に一般的なパスワード認証を使っていることが多いです。 しかし、パスワード認証はパスワード漏洩のリスクやパスワード管理の手間があり、また要件によっては定期的なパスワードの変更も必要になってきます。 単純な方法で安全にパスワードをローテーションしようとすると、新しいDBユーザーを作成し、アプリケーションの接続ユーザーを変更し、さらに必要であれば元のDBユーザーのパスワードを変更して、接続ユーザーを元に戻す…などのオペレーションが必要になります。 そこで、AWS RDS(PostgreSQL)の「Secrets Managerによるマスターユーザーパスワードのパスワード管理」と「IAMデータベース認証」を利用してシステムから固定パスワード
年明けから IAM 周りの整理をいろいろしなければいけなくなったので、佐々木拓郎さんの「AWSの薄い本」シリーズ2冊を読みました。今回はその読書メモです。 booth.pm booth.pm AWS は普段から使っているので、IAM の基本的な機能はもちろん知っているのですが、最近追加された機能(特にマルチアカウント管理に関する機能)については全然追えてなかったので勉強になりました。 以下、勉強になった点をまとめたメモです。AWS の情報は日々変わっていってしまうので、発行日も併せて記載しました。 AWSの薄い本 IAMのマニアックな話(発行日:2019年9月22日) 第1章 AWSとIAM AWS Organizations は本書の対象外 ポリシー記述の文法的な部分は本書では扱わない。詳細は公式のIAM JSON ポリシーのリファレンス を参照 第2章 IAMの機能 IAMの機能のうち
こんちは、テクニカルサポートチームの丸屋 正志です。 ■ご注意ください このポリシーでは「IAMユーザーと同じ名称でMFA設定を行う場合」のみMFA設定の許可が与えられています。 2022/11よりMFA設定時に任意の名称を指定できるようになっており、上記の名称と異なるMFA名を指定した際にエラーになる場合があります。(上述のセキュアポリシー以外でMFA設定の許可が与えられていればエラーは発生しません。) (参考情報) https://aws.amazon.com/jp/about-aws/whats-new/2022/11/aws-identity-access-management-multi-factor-authentication-devices/ 1. AWSアクセスキーセキュリティ意識向上委員会って何? 昨今、AWSのアクセスキーを漏洩させてしまうことが原因でアカウントへの侵
こんにちは。カミナシでソフトウェアエンジニアをしているaomanです。 私のエンジニアとしての経歴はカミナシが2社目で、前職も含めフロントエンドからバックエンドまで一通り開発はしていました。ですが、AWSなどインフラに関しては、アプリケーション開発時必要になったところを少し触ったりするくらいで、ガッツリと本格的に学んだことがありませんでした。 そんな私ですが、今回ECS Clusterの切り替え作業を先輩エンジニア監修の元一緒に行う機会をいただきました。どのようなことをしたのか、簡単にではありますがご紹介させて頂こうと思います! ざっくり概要 カミナシのサービスでは、APIサーバーの運用にAmazon ECS(on Fargate)を利用しています。また、APIサーバーコンテナの他にいくつかのコンテナが起動しています。以下がざっくりとした図になります。1つのTask定義があり、4つのコンテ
AWSの権限昇格してますか?(挨拶) PMapperは、指定したAWSアカウントのIAMとOrganizationsを分析して、権限昇格可能なパスを可視化してくれるツールです。NCCグループ社製。 github.com PMapperはIAMポリシー、ユーザー、グループなどをノード、権限昇格する(できる)ノードから、されるノードへのベクトルをエッジとして、有向グラフを生成します。こんな感じ。 権限昇格できるノード--昇格方法-->権限昇格されるノード AdministratorsAccess の他、IAMFullAccess のように、自分自身にポリシーを割り当てられるノードをAdminと位置づけ、AssumeRole や PathRole によってAdminに(直接的か間接的かを問わず)なれる別のノードを探す、という感じみたいです。 実行 CloudShellを使いました。Dockerイ
システムプラットフォーム部で SRE をやっている id:nabeop です。システムプラットフォーム部を一言で表すと、基盤を横断的に見る部署という感じです。 過去の発表などでもたびたび言及していますが、はてなのいくつかのサービスは AWS 上で構築されており、これまで「クラウドに構築する」は「AWS で構築する」とほぼ同義な世界でした。 ただし、AWS 以外も全く使っていなかったわけではなく、小さなプロジェクトや個人では Google Cloud の利用もありました。また最近は、各サービスで技術選択の多様化が進み「Google Cloud 上でサービスを構築する」という選択肢も十分ありえる状態になってきました。 このため、各サービスで Google Cloud の利用が本格化する前に、安心して使えるように IAM (Identity and Access Management) など環境
[アップデート]Terraform CloudがValutやAWS,Azure,Google Cloudに対してOIDCで動的なクレデンシャル生成に対応 「Terraform CloudもGithub ActionsみたいにOIDCを使ってAWS認証とかできたら最高だな」 と思ったことはありません? そんな方に朗報です。Terraform CloudがValutとクラウドプロパイダー(AWS,Azure,GCP)に対してOIDCで動的なクレデンシャル生成に対応しました。(beta版 2023/1/31時点 2023/4/9 GAになりました) Terraform Cloud Adds Dynamic Provider Credentials for Vault and Official Cloud Providers 今回はAWSでこのアップデートの内容を試してみました。 アップデート概要
![[アップデート]Terraform CloudがValutやAWS,Azure,Google Cloudに対してOIDCで動的なクレデンシャル生成に対応 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/6b705c59c81a0f6ffe7f8b44d8e1d34f0b831a08/height=288;version=1;width=512/https%3A%2F%2Fsiteproxy.ruqli.workers.dev%3A443%2Fhttps%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2023%2F02%2Fterraformcloud_1200x630.jpg)
テクニカルトレーナーと学ぶ AWS IAM ロール ~ ここが知りたかった ! つまずきやすい部分を理解してモヤっとを解消 - 変化を求めるデベロッパーを応援するウェブマガジン | AWS
こんにちは ! テクニカルトレーナーの杉本圭太です ! 最近読んで面白かった漫画は「あかねさす柘榴の都」と「クジマ歌えば家ほろろ」です。 今回は IAM ロールの説明を、私なりに感じた「理解する時につまずきやすい部分」を紹介する形式でお伝えします ! これは自身の経験やトレーニングの受講者からよくいただく相談などを踏まえたものなので、今まで IAM ロールの説明を聞いたり読んだりしてきたけどいまいちピンときていない方に、ぜひモヤッとを解消していただきたいです ( ・∀・)=b というのも、私は業務でお客様に AWS の様々なトレーニング を提供しているのですが、AWS Identity and Access Management (IAM) について説明をした後に「トレーニングを受講したことで、今まで難しいと感じていた IAM ロールを理解できた !」と言っていただくことがあります。そのた
こんにちは、臼田です。 みなさん、セキュリティ活動してますか?(挨拶 今回はAWS公式トレーニングのSecurity Engineering on AWSで利用できる参考リンクをまとめました。 参考リンク集 モジュール00: コースの紹介 AWS Security Fundamentals (Second Edition) (Japanese) 事前に受けておくといい無料のEラーニング Getting Started with AWS Security, Identity, and Compliance (Japanese) (日本語吹き替え版) IAM周辺の無料のEラーニング モジュール01: AWSのセキュリティ AWS クラウドにおける NIST サイバーセキュリティフレームワークへの準拠 – 日本語のホワイトペーパーを公開しました AWSセキュリティ対策を考える上で参考になるフレー
Amazon GuardDutyは脅威検知のサービスです。うまく活用してインシデントに対応するために運用方法をまとめます。 こんにちは、臼田です。 みなさん、AWSのセキュリティ運用してますか?(挨拶 Amazon GuardDutyはAWS上の脅威検知サービスです。今回はこのサービスにフォーカスしたセキュリティ運用を考えてみます。 ちなみにAWS Security Hubについても同じようにセキュリティ運用についてまとめたので以下もご確認ください。 AWSセキュリティ全体像 フォーカスしていく前に全体の整理をします。以下にざっくりとAWSにおけるセキュリティの要素について書き出してみます。 AWSレイヤー IAM管理 ネットワークセキュリティ 設定管理 OS/アプリレイヤー 不正プログラム対策 脆弱性管理 セキュアアプリケーション アプリケーション保護 全体管理 ガバナンス・コンプライア
![[2021年版]Amazon GuardDutyによるAWSセキュリティ運用を考える | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/667f87d2f54fdeff2f01ae7c6408e45a44404f8e/height=288;version=1;width=512/https%3A%2F%2Fsiteproxy.ruqli.workers.dev%3A443%2Fhttps%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Famazon-guard-duty.png)
こんにちは。技術部の池田です。 この記事では、Github Actions上に「強い」AWSの権限を渡すために以下のことを行います。 App Runnerでお手軽にGoogle ID Token 取得するためのWeb Applicationを動かす。 Web Applicationから取得できるGoogle ID Tokenを信頼するIAM RoleにAssumeRoleする。 AssumeRoleによって得られた一時的な強い権限で、強い権限を要求する作業(Deploy, Terraform Apply)をGithub Actionsで行う。 これにより、Github Actions上にAWSのアクセスキーを置かずに、ある程度安全な方法でAWS上での強い権限を要求する操作を実行できます。 そのため、例えばGithub Repositoryに不正アクセスされてしまったとしても、AWSの本番環
Amazon Web Services ブログ 最小権限実現への4ステップアプローチ 前編 AWS のセキュリティベストプラクティスを実現するに当たり、「最小権限の原則」に戸惑ったことはありませんか? AWS の利用では AWS Identity and Access Management (IAM)サービスを避けて通ることは出来ません。そのベストプラクティスとして掲げられているのが、最小権限の原則です。特に強固なセキュリティを求めるユースケースではこの原則の実現が課題になることが多いかと思います。本ブログでは、この最小権限の原則をシステマチックに検討するアプローチの一例をご紹介します。 はじめに 「最小権限を適切に運用する」ことを計画する際、まず思いつくのはシステムの運用や開発の視点で「必要」となる操作の権限のみを人やアプリケーションに付与するというアプローチです。シンプルですが、権限が
クラウドの運用者に焦点を当てた、技術者向けの新しいテックイベント「Cloud Operator Days Tokyo 」。ここで株式会社カサレアルの新津氏が「これやったの誰?」をテーマに登壇。自動化したオペレーションに対して生じた疑問と学びについて紹介します。 自己紹介と今回のテーマ 新津佐内氏(以下、新津):みなさん、こんにちは。株式会社カサレアルの新津佐内と言います。本日は「これやったの誰?」というタイトルのお話をします。 「これやったの誰?」についてですが、DevOpsと合わせて自動化を進めていく中で、自動化したオペレーションに対しても生じたこの疑問に、実業務の中であらためて向き合ってみました。上記事例の詳細と現時点での我々の答えを紹介します。 まず本日お話しする内容ですが、スライドに書かれているような基盤の運用担当者のユースケースに関わるお話になります。どのようなユースケースかとい
AWS認定のSolution Architect Professional試験用に、AWS IAMに関連したキーポイントを断片的にまとめました。 「SAPの試験問題って、大学センター試験の国語に似てね?」 UdemyにあるAWS認定のSAP模擬試験を4本こなした結果、問題の傾向として気づいたことです。どう考えても絞りきれない選択肢が2つ3つあるんですよね〜。 私は受験教科の中で国語が一番苦手でだったので、塾の先生から「問題文に書いてあることに沿って、合っているものではなく、間違ってないものを選べ」と、しょっちゅう教えられていたことを思い出しました。SAPの試験でも同じように「問題の要件と関係ない用語が含まれている選択肢をまず消去し、選択肢が2つ残ってしまったら、問題文に書いてあることに沿った、間違っていない選択肢を選ぶ」ことが大事だなと感じています。 さて、「間違っていないかどうか」を判断
以前「TerraformでAWSアカウントを作るのは簡単だけど削除はひと手間かかる」というブログを書きました。 タイトル通り、TerraformでAWS Organizations配下のアカウントを作成するのはaws_organizations_accountリソースを定義してterraform applyするだけなのでチョー簡単ですが、削除はaws_organizations_accountリソースを削除してterraform applyするだけではだめで、色々設定が必要になって大変だという内容です。 ですが、少し前に激アツアップデートがありました。 そしてこの簡単削除機能がTerraformでも利用可能になっていることを知ったのでレポートします。 close_on_deletion flag Terraform AWS Provider v4.9.0でaws_organizations
本投稿は DPE Camp blog series の一部です。 こんにちは。 Platform Infra の Kenichi Sasaki (@siroken3) です。メルカリでは主にAWSの管理を業務にしています。今回の投稿ではAWS構成管理リポジトリのセキュアなCI/CD環境を構築した件について紹介します。 背景 メルカリにおけるAWSの役割 メルカリにおけるAWSの利用の歴史は古く、商品画像を格納するためのストレージとしてS3をサービス開始当初から採用しています。その他S3はMySQLデータベースのバックアップ先、パートナー各社様とのデータ連携のための AWS Transfer Family のバックエンドとして使用しています。また2014年当時のUSメルカリのサービス開始時のメインインフラはAWS上にありました。 直近ではお客さま電話窓口やサポート担当の稼働管理ツールとして
TerraformでIAM Policyを書く方法は色々とあるので、紹介していきます。 今回は例として、こちらの公式ドキュメントに出てくる以下ポリシーを使いたいと思います。 { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "dynamodb:*", "Resource": "arn:aws:dynamodb:us-east-2:123456789012:table/Books" } } ファイル外だし policyの中身はtfファイルに書かず、JSONファイルとして外だしします。それをfile関数を使って参照します。 file - Functions - Configuration Language - Terraform by HashiCorp すでに出来上がっているポリシーを流用する場合に便
はじめに こんにちは、ML・データ部MLOpsブロックの岡本です。 MLOpsブロックでは日々複数のGoogle Cloudプロジェクトを管理しています。これらのプロジェクトでは、データサイエンティストやプロジェクトマネージャーなど別チームのメンバーが作業することもあり、必要に応じてメンバーのGoogleアカウントへ権限を付与しています。 権限の付与はプロジェクトの管理者であるMLOpsブロックメンバーが行いますが、これは頻繁に発生する作業でありトイルとなっていました。 また権限付与後はこれらを継続的に管理し、定期的に棚卸しすることで不要になった権限を削除する必要があります。しかし当初の運用だと権限の棚卸しの対応コストが大きく、これが実施されずに不要な権限が残り続けるという課題もありました。 本記事ではMLOpsブロックで抱えていたGoogle Cloudプロジェクト内での権限管理における
GCP上では誰もが同じ権限に、そして開発者全員が一時的に権限付与できるツール「granter」について こんにちは、マネーフォワードケッサイ(以下MFK)SREチームのshinofaraです。今回は権限の仕組みを見直した話と、それを実現する為に開発したgranterというツールについてお話したいと思います。 また今回granterのcore部分をmfkessai/granter_coreとして公開しています。 granter登場以前の世界 MFKでは、2017年の創業時からGoogle Cloud Platform(以下GCP)とGoogle Workspace(当時はG Suite)を選択して利用してきました。 GCPの Cloud Identity and Access Management (IAM)では、Workspaceで作成した個人のアカウントだけでなく、Groupに対して権限
え、IAM ユーザーを作らなくてもマネジメントコンソールにログインできるの!? – シングルサインオン考え方編 | Amazon Web Services
AWS Startup ブログ え、IAM ユーザーを作らなくてもマネジメントコンソールにログインできるの!? – シングルサインオン考え方編 みなさん、こんにちは。ソリューションアーキテクトの稲田(@inariku)です。 今回はセキュリティのお話です。近頃、ビジネスの成長にあわせて、セキュリティの重要性が増してきたスタートアップのお客様からよく「IAM ユーザーの管理の手間が増えてきた。IAM ユーザーの管理で抜け漏れが出そうで怖くなってきた。」などのお声を聞くことが増えてきました。 一般に、アカウント管理を効率化する観点で考えると、IAM ユーザーを作らないことが有効なプラクティスです。しかし、「IAM ユーザーを作らないとマネジメントコンソールに入れないんじゃ..」「AWS CLI が使えないんじゃ..」などと思われた方もいらっしゃると思います。では、どのようにすればよいのでしょう
【やんわり】(副詞) ━ものやわらかであるさま。おだやかなさま。 (デジタル大辞泉より) コンバンハ、千葉(幸)です。 皆さんは IAM の評価論理って難しいと思っていませんか? 実は…… … …… ……… その通り、難しいんです。 やれアインディティベースポリシーとリソースベースポリシーだの、アカウントをまたぐまたがないだの、ガードレールがどうだの、暗黙的だの明示的だの、覚えることがたくさんあって難しいです。 詳細な内容は必要に迫られたときに考えるとして、「だいたいこういうことでしょ」とやんわり理解する状態を本セッションでは目指していきます。 セッションの雰囲気 これが…… こうなる感じ雰囲気のセッションです。 セッションで学べること 章ごとにサマリを描きます。 1. IAM JSON ポリシー IAM のポリシータイプは 6 つあること IAM JSON ポリシーの構成要素として Ef
2021/8/17 に行われた AKIBA.AWS ONLINE #06 – AWS IAM 編 で 『ここが嬉しいABAC、ここが辛いよABAC』 というタイトルで登壇しました。 登壇資料を共有します。参考になれば幸いです。 資料 参考リンク 属性ベースのアクセス制御(ABAC)とは? メリットと適切なアクセス制御モデル | Okta AWS の ABAC とは - AWS Identity and Access Management IAM チュートリアル: タグに基づいて AWS リソースにアクセスするためのアクセス許可を定義する - AWS Identity and Access Management IAM でのポリシーとアクセス許可 - AWS Identity and Access Management SaaSテナント分離をAWS IAMとABACで実装する方法 | Ama
こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。 皆さんは定期的にIAMリソースの棚卸しや管理をしていますか?いつの間にか溜まっちゃってる不要なIAMユーザーやIAMポリシーは無いですか? 不要なIAMリソースを放置することはセキュリティ的に危険です。不要なものは定期的に削除しちゃいましょう。 そこで今回は不要なIAMリソースを少しでも楽に棚卸しする方法をまとめてみました。下記ターゲットに当てはまる方は是非ご一読ください。 本記事のターゲット IAMリソースを管理していない方/出来ていない方 IAMリソースの棚卸しをマネジメントコンソール上から手動でポチポチやって時間がかかっている方 やりたいこと あまり時間をかけずにIAMリソースの棚卸しをしたい 普段使っていないIAMリソースや新規作成したIAMリソースを定期的に確認したい やってみた 今回は以下の3つの
はじめに 2週間ほど前に、iPhone Xsが突然壊れ、いわゆるリンゴループに陥りました。Genius Barでもいろいろ調べてもらったのですが、水没でもなく、容量不足でもなく、ソフトウェアアップデートが起因でもなく、通電障害でもなく、原因はまったくもって不明です。Apple Careも切れていたので、交換修理の75,000円程度を払うのもバカバカしく、結局iPhone 12 Proに買い替えました。 ほとんどのデータをクラウドに逃がしているので、買い替え後の対応はスムーズで、初期設定~データ復旧までは数時間で完了することができました。みなさん、本当にバックアップは大事ですよ。 が、ひとつだけ問題がありました。二段階認証(ワンタイム認証)で使用する Google Authenticator です。 Google Authenticator のバックアップ Google Authentica
この記事は、 DeNA Advent Calendar 2021 の17日目の記事です。 こんにちは、 @karupanerura です。 普段はAWSやGCPを使って仕事をしています。 前作 に引き続き、AWS IAM Userのアクセスキーの定期的なローテーションを自動化したので、今回はそれについて書きます。 IAM Userの使いどころ IAM Userの利用にはアクセスキー(Access Key IDとAccess Key Secretの組)やコンソールログイン用のパスワードなどのクレデンシャルが必要です。 当然これらが漏洩すればそれを不正に利用され得るリスクがあるので、可能であればなるべくIAM Roleを利用するべきです。 IAM Roleならクレデンシャルの管理が不要で、アプリケーションやサービスに対してそのIAM Roleを通して任意の権限を与えることができるため、管理も非
最小権限のIAM Policyを作成するのって地味に面倒ですよね。以前私は、Route53ホストゾーンにDNSレコード作成するのに必要な最小権限のPolicyを作るため、権限ゼロの状態から始めて、権限不足エラーが出るたびに権限を足していくという力技でPolicyを作ったことがあります。 Route53ホストゾーンにDNSレコードをTerraformで作成するのに必要な最小権限 | DevelopersIO もうちょっとスマートなやり方が、CloudFormation(CFn)のコマンドを使うとできる場合があることを学んだのでレポートします。 aws cloudformation describe-type そのコマンドが、 aws cloudformation describe-typeです。--typeオプションでRESOURCEを指定して、 --type-nameでCFnのリソースタイ
酒とゲームとインフラとGCP 第18回 発表資料
AWS ドキュメントに IAM コントロールプレーンとデータプレーンの記述が増えた コンバンハ、千葉(幸)です。 ひとまず以下の絵を 90 秒くらい眺めてください。 眺めましたか? まだ 30 秒も経ってなくないですか?せっかくなのでもうちょっと見てください。 ……眺めましたね? 以上でこのエントリの内容は概ね終わりです。読んでいただきありがとうございました。 ちょっとだけ残りが続きます。 IAM レジリエンスのドキュメントに記述が増えてた AWS IAM のレジリエンス(復元力、耐障害性)に関する記述は以下ドキュメントにあります。 Resilience in AWS Identity and Access Management - AWS Identity and Access Management 上記のページは 2022/5/16 に更新されており、その段階で追記された内容は以下エン
【 デジスマチーム ブログリレー1日目】 こんにちは。 デジスマチームの山本です。 クリニック向けDXサービスであるデジスマ診療のWeb フロントエンド・バックエンド・インフラを担当しています。 今回は先日AWSから発表されたaws-advanced-jdbc-wrapperについて紹介します。 はじめに AWS Advanced JDBC Wrapper 提供Plugin フェイルオーバーとは これまでのフェイルオーバー対策 AWS Advanced JDBC Wrapperを利用した場合のフェイルオーバー対策 Failover Connection Plugin Host Monitoring Connection Plugin 導入方法 Gradle(Kotlin)での依存先の追加 Spring Boot + HikariCPでの設定例 実際に動かしてみた 何も設定しない場合 設定後
こんにちは、株式会社スマートラウンドSREの@shonansurvivorsです。 私は今年5月に1人目のSREとしてこの会社に入社し、既に半年以上が経過しました。 2022年も終わりが近づいて来た中、この場を借りて、スタートアップの1人目SREとして、今年やってきたことを記録として残したいと思います。 なお、本記事で取り扱う内容はSREの理論や原理原則に沿って各種プラクティスを実践したこと、というよりは、セキュリティ、モニタリング、IaC、コスト、パフォーマンス、運用、開発効率などなど、いまこの組織で取り組むことでプロダクトと事業に貢献できるのではないか?と私なりに判断してきたこととなります。 そのため、Site Reliability Engineeringに関して学びのある記事にはなっていないと思いますし、また概ね時系列順に近い形で実施事項を羅列していきますので(述べ方が長たらしいと
MFA認証を使ったAssumeRoleでシンプルにTerraformを実行する(aws configure export-credentials) Terraform実行時のMFA認証を使ったAssume Roleを楽にできる方法がないか調べていたら、以下のコメントを見つけました。 Doesn't ask MFA token code when using assume_role with MFA required #2420 どうやらツールや長いコマンドの実行なしで、MFA認証ありでも簡単にAssume Roleができそうです。 便利だったのでブログにしてみました。 TerraformのMFA認証事情は以下のブログをご確認ください。 結論 この方法では、aws-vaultやaws-mfaなどのツールは不要です。 以下のようにProfileを用意して、terraformのコマンドを打つだけ
G-genの杉村です。Google Cloud(旧称 GCP)の Identity and Access Management(略称 IAM)は、きちんと使いこなすことで強力なセキュリティ統制を効かせることができます。本投稿では、その内部構造まで解き明かしていきます。 IAM とは ID(アカウント) Google Cloud におけるアカウント管理 AWS の IAM ユーザーとの違い Google アカウントとグループ サービスアカウント IAM の仕組み IAM とリソースの関係 継承 許可と拒否 プリンシパルアクセス境界ポリシー IAM の内部構造(IAM ポリシー) gcloud コマンドによる IAM ポリシー操作 サービスアカウント サービスアカウントとは サービスアカウントの利用 サービスアカウントキーの注意点 サービスアカウントの権限借用 サービスエージェント PAM に
はじめに 2023年、最初のブログはAWSセキュリティについて書きます。 MITRE ATT&CK(マイターアタック)という素晴らしいフレームワークには、非常に多くのナレッジが蓄積・公開されています。 パブリッククラウドサービスについても、各種クラウドごとにも纏められています。 さまざまな活用方法があるとは思いますが、自分なりの使い方の一つを共有しておきたいと思います。 今回、紹介するのは、インシデント発生後の再発防止についてです。 手順の概要 インシデント発生後、再発防止策の検討の際には、攻撃内容をもとにセキュリティホールを埋める対応を行いますが、多くの場合、担当者の知識ベースで考察します。 経験のあるエンジニアの場合、当初漏れてしまっていた対策も、この再発防止策を検討する際に気付けることが多いのですが、ここでMITRE ATT&CKと照らし合わせることで、攻撃者視点でのプロセスごとでの
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
最小権限実現への4ステップアプローチ 前編 | Amazon Web Services