このアクション、ABAC ないし RBAC に対応してる?難解な IAM リファレンスに立ち向かうための地図を描いてみた | DevelopersIO
コンバンハ、千葉(幸)です。 IAM ポリシーを設計する時に、AWS サービスもしくは個々のアクションが ABAC ないし RBAC に対応しているか ASAP で調べたいなーと思ったことはないでしょうか?私はあります。 調べるためには IAM のリファレンスを見るのが(恐らく)一番手っ取り早いのですが、如何せん構成が複雑なのに加えて情報量が多く、なかなか読み解くのに難儀しました。 いろいろ図を描きながら理解を深めていったところ、最終的に以下が出来上がりました。 この図を基に、IAM ポリシーまわりについて「どのようにリファレンスで調べればいいか」を順番に見ていきましょう。 目次 目次 ABAC と RBAC とは ABAC RBAC IAM リファレンスの関連性のイメージ図 IAM と連携する AWS のサービス ページ サービス アクション リソースレベルのアクセス許可 リソースベース
AWS CLIで動かして学ぶCognito IDプールを利用したAWSの一時クレデンシャルキー発行 | DevelopersIO
「Cognito IDプールってやつはAWSリソースへのアクセスを制御する認可部分を担当しているらしいけど、いったいどういう理屈でそうなってるんだ…?」 そんな自分の疑問からAWSのドキュメントを読み実際に手を動かして得られたCognito IDプールに対する理解をまとめました。 「Cognito IDプールってやつはAWSリソースへのアクセスを制御する認可部分を担当しているらしいけど、いったいどういう理屈でそうなってるんだ…?」 そんな自分の疑問からAWSのドキュメントを読み手を動かして得られたCognito IDプールに対する理解を、 AWS CLIで再現できる形にまとめてみました。 Cognito IDプールでAWSの一時クレデンシャルキーを発行することによって、Cognito IDプールの世界からIAMの世界へ落とし込めると、だいぶイメージが付きやすいんじゃないかと思います。 AW
AWS IAMの属人的な管理からの脱却【DeNA TechCon 2021】/techcon2021-19
AWSをはじめとするクラウドプラットフォームの普及に伴い、DevとOpsの境目はかなり曖昧になっています。その中でもIAMの管理は設定によっては権限昇格を引き起こしかねないことから、その管理権限は慎重な管理になりがちです。結果的に、IAMは属人的な管理を行っている組織が多いのではないでしょうか。 …
IAMロール徹底理解 〜 AssumeRoleの正体 | DevelopersIO
さて、皆様はIAMにどのようなイメージをお持ちでしょうか。プロジェクトに関わる複数人で1つのAWSアカウントを扱う時、各メンバーに配布するアカウントを作れる機能。そして、その気になればアカウントをグループ分けし、権限を厳密に管理できる機能。といったところかと思います。 上記のユースケースで出てきた主なエンティティ(要素)はUserとGroupですね。IAMのManagement Consoleで見てみると、IAMはこれらの他にRoleやIdentity Providerというエンティティによって構成されているようだ、ということがわかります。今日はRoleにフォーカスを当てて、その実態を詳しく理解します。 IAM Role IAM Roleを使うと、先に挙げたIAMのユースケースの他に、下記のようなことが出来るようになります。 IAM roles for EC2 instancesを使ってみ
AWS SDK for Java がデフォルトで参照する credential - Qiita
aws-sdk-java 1.11.179 を参照して書いています。 AWS SDK for Java はデフォルトでいろんな場所から認証情報を読み込みます。 DefaultAWSCredentialsProviderChain の JavaDoc を見ると結構書いてあります。これと各 Provider の実装を見ながらどうなっているか見ていきます。 次のものを順番に試して最初に見つかった認証情報を利用するようになっています。 環境変数 EnvironmentVariableCredentialsProvider AWS_ACCESS_KEY_ID と AWS_SECRET_ACCESS_KEY 環境変数 (Java 以外の SDK でも利用しているのでこちらのほうがオススメ) AWS_ACCESS_KEY と AWS_SECRET_KEY 環境変数 AWS STS を利用する場合は AW
AWS CLIに認証情報を渡す方法アレコレとその優先順位とか確認方法とか - Qiita
AWS CLIでは、認証情報を渡すことでリソースを扱うIAMユーザーを特定します。 また、大抵のリソースはリージョンの指定も必要です。 うまく設定できてなかったら、違うアカウントやリージョンのリソースが更新されたりしてしまいます。 認証情報とリージョンを渡す方法はいくつかあるので、その方法や優先順位、確認方法をまとめてみます。 認証情報の渡し方と優先順位 今回は、以下の3つの情報の渡し方に絞って書いていこうと思います。 STSを使用したときのセッショントークンや、CLIの出力形式なんかもありますが、ここでは触れません。 アクセスキーID シークレットアクセスキー リージョン で、その認証情報の渡し方と優先順位ですが、公式ドキュメントに書いてあります。 コマンドラインオプション 環境変数 CLI認証ファイル CLI設定ファイル コンテナ認証情報 インスタンスプロファイル認証情報 コマンドライ
AWS CLIで使える認証情報とオプションの設定方法まとめ | DevelopersIO
西澤です。AWS CLIで複数環境を操作していると、今使っている認証情報が一体何だったのかわからなくなってしまうことはないでしょうか?当たり前のように使いこなしている方も多いのかもしれませんが、情報整理も兼ねて、AWS CLIで利用できる認証情報と一般オプションの設定方法について整理してみたいと思います。 AWS コマンドラインインターフェイス | AWS AWS CLIで利用する認証情報とオプション 今回話題にするのは、AWS CLIで利用する認証情報の設定方法がメインです。具体的には、下記の3つです。 認証情報の要素 access_key secret_key token(一時認証を利用の場合のみ) 合わせて関連する下記の一般オプションも、同時に確認することが可能です。 一般オプションの要素 profile region output これら合計6つの要素の設定方法とその確認方法を以下
EC2 インスタンスに適切な権限の IAM ロールを割り当てたにも関わらず、権限エラーが発生したときの対処方法 | DevelopersIO
困っていた内容 EC2 インスタンスに IAM ロールを割り当てました。 IAM ロールに付与されている IAM ポリシーでは許可設定をしているにも関わらず、AWS CLI コマンドを実行した際に権限エラーが発生します。 考えられる原因を教えてください。 前提となる知識 AWS CLI コマンド実行時に使われる認証情報には以下の優先順位があります。 1. コマンドラインオプション 2. 環境変数 3. CLI 認証情報ファイル 4. CLI 設定ファイル 5. コンテナ認証情報 6. インスタンスプロファイル認証情報 EC2 インスタンスに割り当てる IAM ロールの優先順位は、インスタンスプロファイル認証情報にあたるため、6 番目となります。インスタンスプロファイル認証情報よりも優先順位の高い認証情報が使用されているかどうかを、チェックする必要があります。 どう対応すればいいの? 前提
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
