MFAèªè¨¼ã‚’使ã£ãŸAssumeRoleã§ã‚·ãƒ³ãƒ—ルã«Terraformを実行ã™ã‚‹(aws configure export-credentials) | DevelopersIO
AWS Lambda ã®ã‚¢ã‚¯ã‚»ã‚¹è¨±å¯ã‚’ç´è§£ã - KAYAC Engineers' Blog
SREãƒãƒ¼ãƒ ã®æ©‹æœ¬ã§ã™ã€‚SRE連載ã®11月å·ã«ãªã‚Šã¾ã™ã€‚ AWSã®å¤šãã®ãƒªã‚½ãƒ¼ã‚¹ã¯IAMã§ã‚¢ã‚¯ã‚»ã‚¹ã‚’一元管ç†ã•ã‚Œã¦ã„ã¾ã™ãŒã€Lambdaã§ã¯ãƒ¦ãƒ¼ã‚¶ãƒ¼ãŒå®Ÿè¡Œã—ãŸã‚Šä»–ã®AWSサービスã‹ã‚‰å®Ÿè¡Œã•ã‚ŒãŸã‚Šã™ã‚‹éƒ½åˆä¸Šã€æ§˜ã€…ãªãƒãƒªã‚·ãƒ¼ãŒçµ¡ã‚“ã§ã„ã¾ã™ã€‚ 特ã«ã€ŒLambdaを呼ã³å‡ºã™è¨±å¯ã€ã«ã¤ã„ã¦ã¯ID(アイデンティティ)ベースã®ãƒãƒªã‚·ãƒ¼ã¨ãƒªã‚½ãƒ¼ã‚¹ãƒ™ãƒ¼ã‚¹ã®ãƒãƒªã‚·ãƒ¼ã§å†…容ãŒè¢«ã‚‹ãŸã‚ã€ã©ã¡ã‚‰ã§è¨å®šã™ã‚‹ã‹æ··ä¹±ã—ã¦ã„るケースも見られã¾ã™ã€‚ 本記事ã§ã¯ã“ã†ã—ãŸãƒãƒªã‚·ãƒ¼äº‹æƒ…ã‚’terraformã®ä¾‹ã¨å…±ã«æ•´ç†ã—ã€æ¨©é™è¨å®šã®ãƒ™ã‚¹ãƒˆãƒ—ラクティスも検討ã—ã¾ã™ã€‚ ãã‚‚ãã‚‚IAMã®ãƒãƒªã‚·ãƒ¼ã«ã¤ã„㦠ドã‚ュメントã«ã‚ˆã‚Œã°AWSã®ãƒãƒªã‚·ãƒ¼ã¯å®Ÿã«6種類もã®ã‚¿ã‚¤ãƒ—ãŒã‚ã‚Šã¾ã™ãŒã€ã€Œä½¿ç”¨é »åº¦ã®é«˜ã„ã‚‚ã®ã‹ã‚‰ã€ã¨ã‚るよã†ã«æœ€åˆã®IDベースãŒéžå¸¸ã«å¤šãã®ã‚µãƒ¼ãƒ“スã§å…±é€šã—ã¦ä½¿ã‚ã‚Œã¦ãŠã‚Šã€æ¬¡ã„ã§2番目ã®ãƒªã‚½ãƒ¼ã‚¹ãƒ™ãƒ¼ã‚¹ãŒä¸€éƒ¨ã‚µãƒ¼ãƒ“スã§å¿…è¦ã«ãªã‚‹ã§ã—ょã†ã€‚
AWS User Notificationsã§ãƒžãƒã‚¸ãƒ¡ãƒ³ãƒˆã‚³ãƒ³ã‚½ãƒ¼ãƒ«ã¸ã®ã‚µã‚¤ãƒ³ã‚¤ãƒ³ã‚’通知ã™ã‚‹ | DevelopersIO
AWS User Notifications サービスを利用ã—㦠AWS マãƒã‚¸ãƒ¡ãƒ³ãƒˆã‚³ãƒ³ã‚½ãƒ¼ãƒ«ã¸ã®ã‚µã‚¤ãƒ³ã‚¤ãƒ³ã‚’メール通知ã™ã‚‹è¨å®šã‚’試ã—ã¦ã¿ã¾ã—ãŸã€‚ サインイン通知ã¯æ¬¡ã®ãƒ–ãƒã‚°ã§ã‚‚紹介ã—ã¦ã„る通りã€Amazon EventBridge ルールを作æˆã™ã‚‹æ–¹æ³•ã§ã‚‚実ç¾ã§ãã¾ã™ãŒã€é€šçŸ¥æ–‡ã‚’æ•´å½¢ã™ã‚‹å¿…è¦ãŒã‚ã‚Šã¾ã—ãŸã€‚AWS User Notifications ã§è¨å®šã™ã‚‹å ´åˆã¯é€šçŸ¥å†…容を AWS å´ã§è¦‹ã‚„ã™ãã—ã¦ãれるメリットãŒã‚ã‚Šã¾ã™ï¼ˆè£ã§ã¯ Amazon EventBridge ルールãŒä½œæˆã•ã‚Œã¾ã™ï¼‰ã€‚ å‚考ブãƒã‚°ã®æ–¹æ³•ï¼ˆAmazon EventBridge ã§è¨å®šã—ã€å…¥åŠ›ãƒˆãƒ©ãƒ³ã‚¹ãƒ•ã‚©ãƒ¼ãƒžãƒ¼ã§é€šçŸ¥å†…容を整形)ã®é€šçŸ¥ä¾‹ã§ã™ã€‚ 本ブãƒã‚°ã§è¨å®šã™ã‚‹ AWS User Notifications ã®é€šçŸ¥ä¾‹ã§ã™ã€‚ AWS マãƒã‚¸ãƒ¡ãƒ³ãƒˆã‚³ãƒ³ã‚½ãƒ¼ãƒ«ã¸ã®ã‚µã‚¤ãƒ³ã‚¤ãƒ³é€šçŸ¥è¨å®š 今回è¨å®šã™ã‚‹ç’°å¢ƒã¯ AWS Orga
Amazon S3 Presigned URLã®ã‚¢ã‚¯ã‚»ã‚¹åˆ¶å¾¡ã‚’æ·±å €ã‚Šã™ã‚‹ - Qiita
ã¯ã˜ã‚ã« S3ã¸ã®ã‚¢ã‚¯ã‚»ã‚¹ã‚’制御ã™ã‚‹ãŸã‚ã«æ§˜ã€…ãªæ©Ÿèƒ½ãŒã‚ã‚Šã¾ã™ãŒã€ã“れらã¯IAMã®ã‚¢ã‚¯ã‚»ã‚¹åˆ¶å¾¡ã¨æ··åŒã—ã¦è€ƒãˆã‚‰ã‚Œã‚‹ã“ã¨ãŒå¤šãã€ä¸¡æ–¹ã®æ©Ÿèƒ½ã®é–¢é€£ã«ã¤ã„ã¦ã€è³ªå•ã‚’éžå¸¸ã«å¤šãå—ã‘ã¦ã„ã¾ã™ã€‚ 以å‰ã« S3ã®ã‚¢ã‚¯ã‚»ã‚¹åˆ¶å¾¡ã¯ã¾ãšã‚·ãƒ³ãƒ—ルã«æ‰ãˆã¦å¯¾å¿œã™ã¹ã ã¨ã„ã†è¨˜äº‹ã‚’書ãã¾ã—ãŸãŒã€ã“ã®è¨˜äº‹ã«æ›¸ã„ãŸã‚ˆã†ã«ã€S3ãƒã‚±ãƒƒãƒˆãƒãƒªã‚·ãƒ¼ã¨IAMãƒãƒªã‚·ãƒ¼ã«ã¯ä»¥ä¸‹ã®ã‚ˆã†ãªé•ã„ãŒã‚ã‚Šã¾ã™ã€‚ S3ãƒã‚±ãƒƒãƒˆãƒãƒªã‚·ãƒ¼ã¯ã€S3å´ã§ã€ã‚¨ãƒ³ãƒ†ã‚£ãƒ†ã‚£ã‹ã‚‰è¡Œã‚れるアクセスã®åˆ¶å¾¡ IAMãƒãƒªã‚·ãƒ¼ã®å ´åˆã€ã‚¨ãƒ³ãƒ†ã‚£ãƒ†ã‚£å´ã§ã€S3ã«å¯¾ã—ã¦è¡Œã†ã‚¢ã‚¯ã‚»ã‚¹ã®åˆ¶å¾¡ ã“ã®ã‚ˆã†ã«ã€ä¸¡è€…ã§ã¯è¨å®šç®‡æ‰€ãŠã‚ˆã³åˆ¶å¾¡ã™ã‚‹æ“作ã®çŸ¢å°ã®æ–¹å‘ãŒç•°ãªã‚Šã¾ã™ã€‚ 基本ã¯ã“ã®2ã¤ã§S3ãƒã‚±ãƒƒãƒˆã‚„オブジェクトã«å¯¾ã™ã‚‹ã‚¢ã‚¯ã‚»ã‚¹åˆ¶å¾¡ã‚’è¡Œã„ã¾ã™ãŒã€ã“ã®2ã¤ã«åŠ ãˆã¦ã€å…¨ãç•°ãªã‚‹ã‚¢ã‚¯ã‚»ã‚¹åˆ¶å¾¡ã®è¦ç´ ãŒåŠ ã‚ã‚‹ã“ã¨ãŒã‚ã‚Šã¾ã™ã€‚ ãã®ä»£è¡¨ä¾‹ã¨è¨€ãˆã‚‹ 「Presigned URL〠を今回ã¯å–り上ã’
In AWS IAM, What is the Purpose/Use of the "Path" Variable?
The path variable in IAM is used for grouping related users and groups in a unique namespace, usually for organizational purposes. From Friendly Names and Paths: If you are using the IAM API or AWS Command Line Interface (AWS CLI) to create IAM entities, you can also give the entity an optional path. You can use a single path, or nest multiple paths as if they were a folder structure. For example,
IAM ãƒãƒ¼ãƒ«ã®ä¿¡é ¼ãƒãƒªã‚·ãƒ¼ã§è¨å®šã™ã‚‹å¤–部 ID(sts:ExternalId) ã«ã¤ã„㦠| DevelopersIO
ã“ã‚“ã«ã¡ã¯ã€å²©åŸŽã§ã™ã€‚ 3rd Party 製㮠SaaS 㨠AWS アカウントを連æºã™ã‚‹éš›ã€å°‚用㮠IAM ãƒãƒ¼ãƒ«ã®ä½œæˆã¨ä½œæˆã—ãŸãƒãƒ¼ãƒ«ã«ä»¥ä¸‹ã®ã‚ˆã†ãªä¿¡é ¼ãƒãƒªã‚·ãƒ¼ã‚’定義ã—ã¦ã€ç‰¹å®šã® AWS アカウントã‹ã‚‰ AssumeRole を許å¯ã™ã‚‹ã“ã¨ãŒã‚ã‚Šã¾ã™ã€‚ { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::xxxxxxxxxxxx:iamuser" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "xxxxxxxxxxxx" } } } ] } Condition ã«ã¯ sts:ExternalId ã¨ã‚ã‚Š
[UPDATE]フェデレーションã§ã‚¿ã‚°ã‚’渡ã›ã‚‹STSã®æ–°æ©Ÿèƒ½Session TagãŒãƒªãƒªãƒ¼ã‚¹ã•ã‚Œã¾ã—㟠#reinvent | DevelopersIO
ã“ã‚“ã«ã¡ã¯ã€è‡¼ç”°ã§ã™ã€‚ ã¿ãªã•ã‚“ã€ID管ç†ã—ã¦ã„ã¾ã™ã‹ï¼Ÿ 今回ã¯IDフェデレーションã§IAMを利用ã—ã¦ã„ã‚‹éš›ã«ã€IdPã‹ã‚‰å±žæ€§(Attribute)ã‚’AWSã®ã‚¿ã‚°ã¨ã—ã¦å—ã‘å–ã‚‹ã“ã¨ãŒã§ãã‚‹Session Tagã®æ©Ÿèƒ½ãŒãƒªãƒªãƒ¼ã‚¹ã•ã‚ŒãŸã®ã§ç´¹ä»‹ã—ã¾ã™ã€‚ New for Identity Federation – Use Employee Attributes for Access Control in AWS | AWS News Blog RBACã¨ABAC 良ã•ã‚’知るã«ã¯ã¾ãšèƒŒæ™¯ã‹ã‚‰ã€‚ アクセス制御ã®æ–¹å¼ã¨ã—ã¦RBAC(Role-based Access Control)ãŒã‚ˆã使ã‚ã‚Œã¾ã™ã€‚RBACã§ã¯ã€æ¨©é™ã‚’個人ã§ã¯ãªãRole(役割)ã«å‰²ã‚Šå½“ã¦ã¦ç®¡ç†ã™ã‚‹æ–¹æ³•ã§ã€å€‹äººã”ã¨ãƒãƒªã‚·ãƒ¼ã‚’メンテナンスã—ãªãã¦è‰¯ããªã‚‹ã®ã§ãƒ¦ãƒ¼ã‚¶ãŒå¢—ãˆã¦ã‚‚管ç†ãŒæ¥½ã«ãªã‚‹ä»•çµ„ã¿ã§ã—ãŸã€‚ ã—ã‹ã—ã“れも進んã§ãã‚‹ã¨ã€ä»Šåº¦ã¯
![[UPDATE]フェデレーションã§ã‚¿ã‚°ã‚’渡ã›ã‚‹STSã®æ–°æ©Ÿèƒ½Session TagãŒãƒªãƒªãƒ¼ã‚¹ã•ã‚Œã¾ã—㟠#reinvent | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/098a01a332248d791825217579652e1b7f202bcb/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F12%2Freinvent2019_update_eyecatch.jpg)
AWSã®CLI作æ¥ã¯ã©ã“ã§è¡Œã†ï¼Ÿ 安全ã«ç®¡ç†ã™ã‚‹ãƒ‘ターンã¨ãƒ¡ãƒªãƒ‡ãƒ¡é›† | DevelopersIO
AWSアクセスã‚ーセã‚ュリティæ„è˜å‘上委員会ã£ã¦ä½•ï¼Ÿ 昨今ã€AWSã®ã‚¢ã‚¯ã‚»ã‚¹ã‚ーをæ¼æ´©ã•ã›ã¦ã—ã¾ã†ã“ã¨ãŒåŽŸå› ã§ã‚¢ã‚«ã‚¦ãƒ³ãƒˆã¸ã®ä¾µå…¥ã‚’å—ã‘〠多é¡ã®åˆ©ç”¨è²»ç™ºç”Ÿãƒ»æƒ…å ±æ¼æ´©ç–‘ã„ãªã©é‡å¤§ãªã‚»ã‚ュリティ事案ãŒç™ºç”Ÿã™ã‚‹ã‚±ãƒ¼ã‚¹ãŒå®Ÿéš›ã«å¤šã€…èµ·ãã¦ã„ã¾ã™ã€‚ ãã“ã§ã€ã‚¢ã‚¯ã‚»ã‚¹ã‚ーé‹ç”¨ã«é–¢ã™ã‚‹å®‰å…¨å‘上ã®å–組ã¿ã‚’ブãƒã‚°ã§ã”紹介ã™ã‚‹ä¼ç”»ã‚’ã¯ã˜ã‚ã¾ã—ãŸã€‚ アクセスã‚ーを利用ã™ã‚‹å ´åˆã¯åˆ©ç”¨ã™ã‚‹ä¸Šã§ã®ãƒªã‚¹ã‚¯ã‚’æ£ã—ãç†è§£ã—〠セã‚ュリティ対ç–を事å‰ã«é©ç”¨ã—ãŸä¸Šã§é©åˆ‡ã«ã”利用ãã ã•ã„。 AWS CLIã€ã©ã“ã‹ã‚‰ä½¿ã£ã¦ã„ã¾ã™ã‹ï¼Ÿ ã–ã£ãã‚Šã€ä»¥ä¸‹4種類ã®ã©ã‚Œã‹ã‚’使ã£ã¦ã„ã‚‹æ–¹ãŒå¤šæ•°æ´¾ã§ã¯ãªã„ã§ã—ょã†ã‹ã€‚ ãƒãƒ¼ã‚«ãƒ«ç«¯æœ« AWS内ã«æ§‹ç¯‰ã—ãŸç®¡ç†ç”¨EC2ã«SSHを利用ã—ã¦æŽ¥ç¶š AWS内ã«æ§‹ç¯‰ã—ãŸç®¡ç†ç”¨EC2ã«SSM(セッションマãƒãƒ¼ã‚¸ãƒ£)を利用ã—ã¦æŽ¥ç¶š AWS CloudShell 一体ã©ã†é•ã†ã®ã§ã—ょã†ã‹ã€‚ 状æ³ã«ã‚ˆã£ã¦è‰¯ã—悪ã—ã¯ç•°ãªã‚‹
IAM ID - AWS Identity and Access Management
IAM ã¯ã€ãƒ¦ãƒ¼ã‚¶ãƒ¼ã€IAM グループã€ãƒãƒ¼ãƒ«ã€ãƒãƒªã‚·ãƒ¼ã€ãŠã‚ˆã³ã‚µãƒ¼ãƒãƒ¼è¨¼æ˜Žæ›¸ã«å¯¾ã—ã¦ã„ãã¤ã‹ã®ç•°ãªã£ãŸ ID を使ã„ã¾ã™ã€‚ã“ã®ã‚»ã‚¯ã‚·ãƒ§ãƒ³ã§ã¯ã€ID ãŠã‚ˆã³ãã‚Œãžã‚Œã® ID ã®ä½¿ã„æ–¹ã«ã¤ã„ã¦èª¬æ˜Žã—ã¾ã™ã€‚ フレンドリåã¨ãƒ‘ス ユーザーã€ãƒãƒ¼ãƒ«ã€ãƒ¦ãƒ¼ã‚¶ãƒ¼ã‚°ãƒ«ãƒ¼ãƒ—ã€ã¾ãŸã¯ãƒãƒªã‚·ãƒ¼ã‚’作æˆã™ã‚‹å ´åˆã€ã¾ãŸã¯ã‚µãƒ¼ãƒãƒ¼è¨¼æ˜Žæ›¸ã‚’アップãƒãƒ¼ãƒ‰ã™ã‚‹å ´åˆã¯ã€ã‚ã‹ã‚Šã‚„ã™ã„åå‰ã‚’付ã‘ã¾ã™ã€‚ãŸã¨ãˆã°ã€Bobã€TestApp1ã€é–‹ç™ºè€…ã€ManageCredentialsPermissionsã€ProdServerCert ãªã©ãŒã‚ã‚Šã¾ã™ã€‚ IAM API ã¾ãŸã¯ AWS Command Line Interface (AWS CLI) を使用ã—㦠IAM リソースを作æˆã™ã‚‹å ´åˆã€ã‚ªãƒ—ションã®ãƒ‘ã‚¹ã‚’è¿½åŠ ã§ãã¾ã™ã€‚å˜ä¸€ã®ãƒ‘スを使用ã™ã‚‹ã“ã¨ã‚‚ã€è¤‡æ•°ã®ãƒ‘ã‚¹ã‚’ãƒ•ã‚©ãƒ«ãƒ€ãƒ¼æ§‹é€ ã¨ã—ã¦ãƒã‚¹ãƒˆã™ã‚‹ã“ã¨ã‚‚ã§ãã¾ã™ã€‚ãŸã¨ãˆã°ã€ä¼šç¤¾ã®çµ„ç¹”æ§‹é€ ã«
PCI DSS対応 AWS 上ã®è¸ã¿å°ã‚µãƒ¼ãƒãƒ¼ã§ã®æ“作ãƒã‚°å–å¾—ã€MFAã€ã‚¢ã‚¤ãƒ‰ãƒ«ã‚¿ã‚¤ãƒ ã‚¢ã‚¦ãƒˆã‚’å®Ÿç¾ | DevelopersIO
PCI DSS ã«å¯¾å¿œã™ã¹ã Linux サーãƒãƒ¼ã®æ“作履æ´ã‚’ S3 ã¸ä¿å˜ã™ã‚‹ã€ãƒã‚°ã‚¤ãƒ³æ™‚ã« MFA を使用ã™ã‚‹ã€ã‚¢ã‚¤ãƒ‰ãƒ«ã‚¿ã‚¤ãƒ アウトを実装ã™ã‚‹æ–¹æ³•ã‚’紹介ã—ã¾ã™ã€‚ ã“ã‚“ã«ã¡ã¯ã€‚ ã”æ©Ÿå«Œã„ã‹ãŒã§ã—ょã†ã‹ã€‚ "No human labor is no human error" ãŒå¤§å¥½ã㪠ãƒã‚¯ã‚¹ãƒˆãƒ¢ãƒ¼ãƒ‰æ ªå¼ä¼šç¤¾ ã®å‰äº•ã§ã™ã€‚ AWS 上ã®è¸ã¿å°ã‚µãƒ¼ãƒãƒ¼ (ã“ã“ã§ã¯ Amazon Linux 2 を想定ã—ã¦ã„ã¾ã™) ã§ã®æ“作履æ´ã‚’ S3 ã¸ä¿å˜ã™ã‚‹ã€ãƒã‚°ã‚¤ãƒ³æ™‚ã« MFA を使用ã™ã‚‹ã€ã‚¢ã‚¤ãƒ‰ãƒ«ã‚¿ã‚¤ãƒ アウトを実装ã™ã‚‹æ–¹æ³•ã‚’紹介ã—ã¾ã™ã€‚ PCI DSS ã®é–¢é€£ã—ã¦ä»¥ä¸‹ã®ã‚ˆã†ãªè¦ä»¶ãŒã‚ã‚Šã€ã“れを実ç¾ã™ã‚‹ãŸã‚ã«è€ƒãˆãŸæ–¹æ³•ã§ã™ã€‚ ssh ãƒã‚°ã‚¤ãƒ³ã¯ Google Authenticator を利用ã—ãŸäºŒè¦ç´ èªè¨¼ã«ã—ãŸã„ ssh ãƒã‚°ã‚¤ãƒ³å¾Œã®æ“作ãƒã‚°(コマンドãƒã‚°)ã‚’ä¿ç®¡ã—ãŸã„ è¸ã¿å°ã‚µãƒ¼ãƒãƒ¼ã‹ã‚‰æ›´ã«æ¥å‹™ã‚µ
SSM セッションマãƒãƒ¼ã‚¸ãƒ£ãƒ¼ã§ã‚µãƒ¼ãƒãƒ¼ä¸Šã®æ“作ãƒã‚°ã‚’å–å¾— | DevelopersIO
ã“ã‚“ã«ã¡ã¯ã€‚ ã”æ©Ÿå«Œã„ã‹ãŒã§ã—ょã†ã‹ã€‚ "No human labor is no human error" ãŒå¤§å¥½ããªå‰äº• 亮ã§ã™ã€‚ AWS 上㮠EC2 ã«å¯¾ã—ã¦ãƒªãƒ¢ãƒ¼ãƒˆã§ãƒ¡ãƒ³ãƒ†ãƒŠãƒ³ã‚¹ã™ã‚‹éš›ã« 監査ã®è¦ä»¶ã§ã‚µãƒ¼ãƒãƒ¼ä¸Šã®æ“作ãƒã‚°ã‚’å–å¾—ã—ã‘ã‚Œã°ãªã‚‰ãªã„システムã¯æ•°å¤šã„ã¨æ€ã„ã¾ã™ã€‚ 今回ã¯ã‚»ãƒƒã‚·ãƒ§ãƒ³ãƒžãƒãƒ¼ã‚¸ãƒ£ãƒ¼ã‚’使ã£ã¦ サーãƒãƒ¼ãƒ¡ãƒ³ãƒ†ãƒŠãƒ³ã‚¹æ“作ãƒã‚°ã‚’徹底的ã«è¨˜éŒ²ã—ã¦ã¿ã¾ã™ã€‚ å‰æ 以下ã®ã‚ˆã†ãªå‰æã‚’ç½®ãã¾ã—ãŸã€‚ リモートã‹ã‚‰ã®ãƒ¡ãƒ³ãƒ†ãƒŠãƒ³ã‚¹ã¯å¿…ãšè¸ã¿å°ã‚µãƒ¼ãƒãƒ¼ã‚’経由ã™ã‚‹ è¸ã¿å°ã‚µãƒ¼ãƒãƒ¼ã¸ã¯ã‚»ãƒƒã‚·ãƒ§ãƒ³ãƒžãƒãƒ¼ã‚¸ãƒ£ãƒ¼çµŒç”±ã§ãƒã‚°ã‚¤ãƒ³ã™ã‚‹ SSH ãƒãƒ¼ãƒˆã¯é–‹æ”¾ã—ãªã„ è¸ã¿å°ã‚µãƒ¼ãƒãƒ¼ã¸ã®ã‚¢ã‚¯ã‚»ã‚¹è¨±å¯ã¯ IAM ã§ç®¡ç† è¸ã¿å°ã‚µãƒ¼ãƒãƒ¼ã¯ Amazon Linux 2 ãƒã‚°ã‚¤ãƒ³ã¯ãƒ¡ãƒ¼ãƒ«é€šçŸ¥ ãƒã‚°ã‚¤ãƒ³å¾Œã®æ“作ãƒã‚°ã¯ S3 ã¸ä¿ç®¡ 準備 リモートメンテナンスを行ã†ã‚¯ãƒ©ã‚¤ã‚¢ãƒ³ãƒˆ PC ã« AWS CLI 㨠Ses
第三者ãŒæ‰€æœ‰ã™ã‚‹ AWS アカウント ã¸ã®ã‚¢ã‚¯ã‚»ã‚¹ - AWS Identity and Access Management
組織内㮠AWS リソースã¸çµ„織外ã®ç¬¬ä¸‰è€…ãŒã‚¢ã‚¯ã‚»ã‚¹ã™ã‚‹å¿…è¦ãŒã‚ã‚‹å ´åˆã«ã¯ã€ãƒãƒ¼ãƒ«ã‚’使用ã™ã‚‹ã“ã¨ã§ã‚¢ã‚¯ã‚»ã‚¹è¨±å¯ã‚’委任ã™ã‚‹ã“ã¨ãŒã§ãã¾ã™ã€‚ãŸã¨ãˆã°ã€çµ„織内㮠AWS リソースã®ç®¡ç†ã‚’第三者ã¸å§”託ã—ã¦ã„るよã†ãªå ´åˆãŒç›¸å½“ã—ã¾ã™ã€‚IAM ãƒãƒ¼ãƒ«ã‚’使用ã™ã‚‹ã“ã¨ã§ã€AWS ã‚»ã‚ュリティèªè¨¼æƒ…å ±ã‚’å…±æœ‰ã™ã‚‹ã“ã¨ãªã第三者㫠AWS リソースã¸ã®ã‚¢ã‚¯ã‚»ã‚¹ã‚’許å¯ã™ã‚‹ã“ã¨ãŒã§ãã¾ã™ã€‚第三者ã¯ä»£ã‚ã‚Šã«ã€AWS アカウント ã«ä½œæˆã—ãŸãƒãƒ¼ãƒ«ã‚’引ãå—ã‘ã‚‹ã“ã¨ã§ã€AWS リソースã«ã‚¢ã‚¯ã‚»ã‚¹ã§ãã¾ã™ã€‚ä¿¡é ¼ã‚¾ãƒ¼ãƒ³ (ä¿¡é ¼ã§ãる組織ã¾ãŸã¯ã‚¢ã‚«ã‚¦ãƒ³ãƒˆ) 外ã«ã‚るアカウントã®ãƒ—リンシパルã«ãƒãƒ¼ãƒ«ã‚’引ãå—ã‘るアクセス権ãŒã‚ã‚‹ã‹ã©ã†ã‹ã«ã¤ã„ã¦ã¯ã€ã€ŒIAM Access Analyzer ã¨ã¯ã€ã‚’å‚ç…§ã—ã¦ãã ã•ã„。 第三者ã¯ã€ä»¥ä¸‹ã®æƒ…å ±ã‚’æä¾›ã™ã‚‹å¿…è¦ãŒã‚ã‚Šã¾ã™ã€‚ã“れらã®æƒ…å ±ã¯ã€ç¬¬ä¸‰è€…ãŒå¼•ãå—ã‘ã‚‹ã“ã¨ã®ã§ãã‚‹ãƒãƒ¼ãƒ«ã®ä½œæˆã«å¿…è¦ã§ã™ã€‚
AWS: 日付ã¨æ™‚刻ã«åŸºã¥ã„ã¦ã‚¢ã‚¯ã‚»ã‚¹ã‚’許å¯ã—ã¾ã™ - AWS Identity and Access Management
ã“ã®ä¾‹ã§ã¯ã€æ—¥ä»˜ã¨æ™‚刻ã«åŸºã¥ã„ã¦ã‚¢ã‚¯ã‚·ãƒ§ãƒ³ã¸ã®ã‚¢ã‚¯ã‚»ã‚¹ã‚’許å¯ã™ã‚‹ ID ベースãƒãƒªã‚·ãƒ¼ã‚’作æˆã™ã‚‹æ–¹æ³•ã‚’示ã—ã¾ã™ã€‚ã“ã®ãƒãƒªã‚·ãƒ¼ã¯ã€2020 å¹´ 4 月 1 æ—¥ã‹ã‚‰ 2020 å¹´ 6 月 30 æ—¥ (UTC) ã®é–“ã«ç™ºç”Ÿã™ã‚‹ã‚¢ã‚¯ã‚·ãƒ§ãƒ³ã¸ã®ã‚¢ã‚¯ã‚»ã‚¹ã‚’制é™ã—ã¾ã™ã€‚ã“ã®ãƒãƒªã‚·ãƒ¼ã§ã¯ã€AWS API ã¾ãŸã¯ AWS CLI ã‹ã‚‰ã€ã“ã®ã‚¢ã‚¯ã‚·ãƒ§ãƒ³ã‚’プãƒã‚°ãƒ©ãƒ ã§å®Œäº†ã™ã‚‹ãŸã‚ã«å¿…è¦ãªã‚¢ã‚¯ã‚»ã‚¹æ¨©ã‚’許å¯ã—ã¾ã™ã€‚ã“ã®ãƒãƒªã‚·ãƒ¼ã‚’使用ã™ã‚‹ã«ã¯ã€ã‚µãƒ³ãƒ—ルãƒãƒªã‚·ãƒ¼ã®ã‚¤ã‚¿ãƒªãƒƒã‚¯ä½“ã®ãƒ—レースホルダーテã‚ストを独自ã®æƒ…å ±ã«ç½®ãæ›ãˆã¾ã™ã€‚次ã«ã€ãƒãƒªã‚·ãƒ¼ã®ä½œæˆã¾ãŸã¯ãƒãƒªã‚·ãƒ¼ã®ç·¨é›†ã®æ‰‹é †ã«å¾“ã„ã¾ã™ã€‚ IAM ãƒãƒªã‚·ãƒ¼ã® Condition ブãƒãƒƒã‚¯å†…ã§è¤‡æ•°ã®æ¡ä»¶ã‚’使用ã™ã‚‹æ–¹æ³•ã«ã¤ã„ã¦ã¯ã€ã€Œæ¡ä»¶å†…ã®è¤‡æ•°ã®å€¤ã€ã‚’å‚ç…§ã—ã¦ãã ã•ã„。
権é™ã‚’Qray -SREã¸ã®ä¸€æ™‚çš„ãªæœ¬ç•ªç’°å¢ƒæ¨©é™ä»˜ä¸Žã®ã—ãã¿- | メルカリエンジニアリング
メルペイSREãƒãƒ¼ãƒ ã® @tjunã§ã™ã€‚ã“ã®è¨˜äº‹ã¯ã€Merpay Tech Openness Month 2020 ã®19日目ã®è¨˜äº‹ã§ã™ã€‚ 今日ã¯ã€ãƒ¡ãƒ«ãƒšã‚¤SREãƒãƒ¼ãƒ ã®ã‚ªãƒšãƒ¬ãƒ¼ã‚·ãƒ§ãƒ³ã®ãŸã‚ã«é–‹ç™ºã—ã¦åˆ©ç”¨ã—ã¦ã„ã‚‹ Qray(クレイ) ã¨ã„ã†ãƒ„ールã®è©±ã‚’ã—ã¾ã™ã€‚ ã¯ã˜ã‚㫠メルペイã§ã¯ã€Google Cloud Platform(以下GCP)を利用ã—ã¦ã‚µãƒ¼ãƒ“スを構築ã—å‹•ã‹ã—ã¦ã„ã¾ã™ã€‚ GCPã«ã¯ Cloud Identity and Access Management (IAM) ã¨ã„ã†æ¨©é™ç®¡ç†ã®ä»•çµ„ã¿ãŒã‚ã‚Šã¾ã™ã€‚IAMã‚’é©åˆ‡ã«ç®¡ç†ã—ã¦ã€ã‚¢ã‚«ã‚¦ãƒ³ãƒˆã«æœ€ä½Žé™ã®æ¨©é™ã‚’付与ã™ã‚‹ã“ã¨ãŒã‚¯ãƒ©ã‚¦ãƒ‰ã‚µãƒ¼ãƒ“スを安全ã«åˆ©ç”¨ã™ã‚‹ãŸã‚ã«ã¯å¿…è¦ãªã“ã¨ã§ã™ã€‚ã“ã‚Œã¯SREãŒæŒã¤æœ¬ç•ªç’°å¢ƒã«å¯¾ã™ã‚‹æ¨©é™ã«ã¤ã„ã¦ã‚‚åŒæ§˜ã§ã€ã§ãã‚‹ã ã‘本番環境ã«å¯¾ã™ã‚‹æ¨©é™ã‚’æŒãŸãªã„よã†ã«ã—ã¦ãŠããŸã„ã®ã§ã™ãŒã€éšœå®³å¯¾å¿œãªã©æœ¬ç•ªç’°å¢ƒã§ã®ã‚ªãƒšãƒ¬ãƒ¼ã‚·ãƒ§ãƒ³
Terraform+GPG 㧠IAM User ã«ãƒã‚°ã‚¤ãƒ³ãƒ‘スワードをè¨å®š | 外é“父ã®åŒ
AWS+Terraform ã®è¨˜äº‹ã‚’書ãã®ã£ã¦ã‚ã¾ã‚Šå¥½ãã˜ã‚ƒãªã„ã‚“ã§ã™ã‘ã©ã€å¹´æœ«ãらã„1ã¤æ›¸ã„ã¦ãŠã“ã‹ãªã¨ã„ã†ç¾©å‹™æ„Ÿçš„ãªã‚¢ãƒ¬ã§ã™ã€ãƒã‚¤ã€‚ Terraform v0.7.8 ã‹ã‚‰ aws_iam_user_login_profile ãŒè¿½åŠ ã•ã‚Œï¼ˆCHANGELOG)ã€IAM User ã«ãƒã‚°ã‚¤ãƒ³ãƒ‘スワードをè¨å®šã—ã¦ã€æš—å·åŒ–ã—㦠state ファイルã«ä¿å˜ã§ãるよã†ã«ãªã£ãŸã®ã§ã‚„ã£ã¦ã¿ã¾ã—ãŸã¨ã„ã†ã€ãŸã‚ã„ç„¡ã„内容ã§ã”ã–ã„ã¾ã™ã€‚ æ¦‚è¦ Terraformã§IAM Userを作æˆã—ã¾ã™ã€‚管ç†ç”»é¢ãƒã‚°ã‚¤ãƒ³ç”¨ã®ãƒ‘スワードè¨å®šã‚‚è¡Œã„ã€ãƒ‘スワードã¯æš—å·åŒ–ã•ã‚ŒãŸçŠ¶æ…‹ã§ terraform.state ã«ä¿å˜ã•ã‚Œã¾ã™ã€‚ aws_iam_user_login_profile ã«æ›¸ã„ã¦ã‚ã‚Šã¾ã™ãŒã€ä½¿ç”¨ã™ã‚‹å…¬é–‹éµã¯ base64 ã§ã‚¨ãƒ³ã‚³ãƒ¼ãƒ‰ã—ãŸã‚‚ã®ã‚’直書ãã™ã‚‹ã‹ã€keybase ã®ãƒ¦ãƒ¼ã‚¶ãƒ¼åを入力ã™ã‚‹ã“ã¨ã«ãªã£ã¦
How to Rotate Access Keys for IAM Users | Amazon Web Services
AWS Security Blog How to Rotate Access Keys for IAM Users Changing access keys (which consist of an access key ID and a secret access key) on a regular schedule is a well-known security best practice because it shortens the period an access key is active and therefore reduces the business impact if they are compromised. Having an established process that is run regularly also ensures the operation
IAM ユーザーã®ã‚¢ã‚¯ã‚»ã‚¹ã‚ーを管ç†ã—ã¾ã™ã€‚ - AWS Identity and Access Management
ベストプラクティスã¯ã€ã‚¢ã‚¯ã‚»ã‚¹ã‚ーã®ã‚ˆã†ãªé•·æœŸçš„èªè¨¼æƒ…å ±ã‚’ä½œæˆã™ã‚‹ã®ã§ã¯ãªãã€IAM ãƒãƒ¼ãƒ«ãªã©ã®ä¸€æ™‚çš„ãªã‚»ã‚ュリティèªè¨¼æƒ…å ±ã‚’ä½¿ç”¨ã™ã‚‹ã“ã¨ã§ã™ã€‚アクセスã‚ーを作æˆã™ã‚‹å‰ã«ã€é•·æœŸçš„ãªã‚¢ã‚¯ã‚»ã‚¹ã‚ーã®ä»£æ›¿æ¡ˆã‚’確èªã—ã¦ãã ã•ã„。 アクセスã‚ーã¯ã€IAM ユーザーã¾ãŸã¯ AWS アカウントã®ãƒ«ãƒ¼ãƒˆãƒ¦ãƒ¼ã‚¶ãƒ¼ ã®é•·æœŸçš„ãªèªè¨¼æƒ…å ±ã§ã™ã€‚アクセスã‚ーを使用ã—ã¦ã€AWS CLI ã¾ãŸã¯ AWS API (直接ã¾ãŸã¯ AWS SDK を使用) ã«ãƒ—ãƒã‚°ãƒ©ãƒ ã§ãƒªã‚¯ã‚¨ã‚¹ãƒˆã«ç½²åã™ã‚‹ã“ã¨ãŒã§ãã¾ã™ã€‚詳細ã«ã¤ã„ã¦ã¯ã€ã€ŒAWS ã‚»ã‚ュリティèªè¨¼æƒ…å ±ã‚’ä½¿ç”¨ã—ã¦ãƒ—ãƒã‚°ãƒ©ãƒ ã§ã‚¢ã‚¯ã‚»ã‚¹ã™ã‚‹ã€ã‚’å‚ç…§ã—ã¦ãã ã•ã„。 アクセスã‚ーã¯ã€ã‚¢ã‚¯ã‚»ã‚¹ã‚ー ID (例: AKIAIOSFODNN7EXAMPLE) ã¨ã‚·ãƒ¼ã‚¯ãƒ¬ãƒƒãƒˆã‚¢ã‚¯ã‚»ã‚¹ã‚ー (例: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY) ã® 2 ã¤
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
Serverless IAM Roles Per Function - Serverless Framework: Plugins
Terraform Registry
AWS: Mejore el registro de CloudTrail para el rol asumido
{{#tags}}- {{label}}
{{/tags}}