タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
IAM ロールの PassRole と AssumeRole をもう二度と忘れないために絵を描いてみた | DevelopersIO
コンバンハ、千葉(幸)です。 皆さんは、 PassRole と AssumeRole についてきちんと理解ができていますか?どちらも IAM ロールに関するものですね。 私はカラダ(ボディ)の調子がいい時は思い出せるのですが、雨が降っている日や、ちょっと疲れて気を抜いた時にはすぐ分からなくなってしまいます。 ということで、イメージとして脳に刻み付けることによって忘れられなくしてやろうと思いました。 そこで出来上がったのが以下です。 間違えました。以下です。 あ、でもやっぱり忘れづらいのはこちらかもしれませんね。 どうですか?もう忘れられなくなりましたね? 先にまとめ IAM ロールには以下ポリシーを設定できる アイデンティティベースポリシー Permissions boundary 信頼ポリシー AWS リソースに IAM ロールを引き渡す際には PassRole の権限が必要 PassR
GitHub Actionsに「強い」AWSの権限を渡したい ~作戦3 - AssumeRole with Google ID Token ~ - KAYAC engineers' blog
こんにちは。技術部の池田です。 この記事では、Github Actions上に「強い」AWSの権限を渡すために以下のことを行います。 App Runnerでお手軽にGoogle ID Token 取得するためのWeb Applicationを動かす。 Web Applicationから取得できるGoogle ID Tokenを信頼するIAM RoleにAssumeRoleする。 AssumeRoleによって得られた一時的な強い権限で、強い権限を要求する作業(Deploy, Terraform Apply)をGithub Actionsで行う。 これにより、Github Actions上にAWSのアクセスキーを置かずに、ある程度安全な方法でAWS上での強い権限を要求する操作を実行できます。 そのため、例えばGithub Repositoryに不正アクセスされてしまったとしても、AWSの本番環
クラウドの運用者に焦点を当てた、技術者向けの新しいテックイベント「Cloud Operator Days Tokyo 」。ここで株式会社カサレアルの新津氏が「これやったの誰?」をテーマに登壇。自動化したオペレーションに対して生じた疑問と学びについて紹介します。 自己紹介と今回のテーマ 新津佐内氏(以下、新津):みなさん、こんにちは。株式会社カサレアルの新津佐内と言います。本日は「これやったの誰?」というタイトルのお話をします。 「これやったの誰?」についてですが、DevOpsと合わせて自動化を進めていく中で、自動化したオペレーションに対しても生じたこの疑問に、実業務の中であらためて向き合ってみました。上記事例の詳細と現時点での我々の答えを紹介します。 まず本日お話しする内容ですが、スライドに書かれているような基盤の運用担当者のユースケースに関わるお話になります。どのようなユースケースかとい
MFA認証を使ったAssumeRoleでシンプルにTerraformを実行する(aws configure export-credentials) | DevelopersIO
MFA認証を使ったAssumeRoleでシンプルにTerraformを実行する(aws configure export-credentials) Terraform実行時のMFA認証を使ったAssume Roleを楽にできる方法がないか調べていたら、以下のコメントを見つけました。 Doesn't ask MFA token code when using assume_role with MFA required #2420 どうやらツールや長いコマンドの実行なしで、MFA認証ありでも簡単にAssume Roleができそうです。 便利だったのでブログにしてみました。 TerraformのMFA認証事情は以下のブログをご確認ください。 結論 この方法では、aws-vaultやaws-mfaなどのツールは不要です。 以下のようにProfileを用意して、terraformのコマンドを打つだけ
AssumeRole(スイッチロール)を理解して、AWSへのデプロイを少しでも安全に実施しよう #devio2021 | DevelopersIO
DevelopersIO 2021 Decadeでビデオセッションを公開しました。 概要 CloudFormationをデプロイするユーザのアクセスキーが漏れてしまったら?と心配するあなたへ。 AssumeRoleを活用すれば、アクセスキーが漏洩しても被害が最小限になるIAMユーザでデプロイできます。 動画 スライド コメンタリー テーマ選定の理由は、自分が知りたかったから ある程度、AWSを使っていると、画面ボタンポチポチではなく、Infrastructure as Code(IaC)で管理することが多くなります。AWSでIaCを実現するツールはいくつかあります。 AWS CloudFormtaion AWS SAM AWS CDK Serverless Framework Terraform そして、これらのIaCツールとIAMユーザの「アクセスキー」は、切っても切り離せない関係です(
特定のIAM Identity CenterユーザーのみAssumeRoleできるIAMロールを作成する | DevelopersIO
はじめに マルチアカウント環境ではIAM Identity Centerを使ってメンバーアカウントへログインすることが多いかと思います。 今回は特定のIAM Identity CenterユーザーのみAssumeRoleできるIAMロールを作成してみました。 前提 この記事ではマルチアカウント環境を前提としているため、以下については既に有効化・作成されているものとして進めます。 Control Tower or Organizations IAM Identity Center メンバーアカウントへログインできるIAM Identity Centerユーザー IAM Identity Centerユーザーが利用するアクセス許可セット 今回は以下2つのIAM Identity Centerユーザーを作成して、Administorator権限のアクセス許可セットでログインしています。 User
CircleCIがOpenID ConnectをサポートしたのでAWSと連携させてJWTを使用したAssumeRoleを試してみた | DevelopersIO
CircleCIがOpenID ConnectをサポートしたのでAWSと連携させてJWTを使用したAssumeRoleを試してみた こんにちは、CX事業本部 IoT事業部の若槻です。 このたび、CI/CDプラットフォームCircleCIで、OpenID Connect(OIDC)がいよいよサポートされたとのことです。待ちわびていた人も多いのではないでしょうか。 #OIDC リリースされました! (OpenID Connect Tokens) Twitterでも「1月にでるはずだったよね」という期待をずいぶん頂き、ご関心をひしひしと感じてしました。 - Changelog: https://t.co/oqM0zbE2OF - Doc: https://t.co/fOYKoKfTNd — CircleCI Japan (@CircleCIJapan) March 26, 2022 Circle
AssumeRoleで取得した一時クレデンシャルの情報を環境変数にセットしてもAWS認証が通らずハマった話 | DevelopersIO
こんにちは、CX事業本部の若槻です。 前回投稿した次の記事の執筆のための検証の際に、 AssumeRole(スイッチロール)で一時クレデンシャルを取得して環境変数にセットするワンライナー | Developers.IO 記事で紹介しているワンライナーにより取得した一時クレデンシャルの情報を環境変数にセットしてもAWS認証が通らずハマったので、その際の話を共有します。 事象 前述の記事で紹介している次のコマンドを実行して、AssumeRoleで取得した一時クレデンシャルの情報をを環境変数AWS_ACCESS_KEY_ID、AWS_SECRET_ACCESS_KEYおよびAWS_SESSION_TOKENにセットしました。 % target_profile=<Assume先プロファイル名> % mfa_code=<6桁のMFAコード> % AWS_STS_CREDENTIALS=`aws st
[Terraform CLI]MFA認証を使ったAssumeRole。AWSVaultで解決 | DevelopersIO
はじめに 最近触り始めたTerraform CLI。Terraformコマンドを実行する権限は、AWS CLIと同じく.aws/credentials、.aws/configを利用することができますが、MFA認証を使ったAssumeRoleを使う場合は、ひと手間が必要です。 MFA認証はエラーとなる IAMを利用している方は、ユーザーおよびパスワードだけじゃなくMFAを必須とするポリシーで運用されている方が多いと思います。また、環境分離でAWSアカウント間はスイッチロールする運用されている場合、aws:MultiFactorAuthPresentをtrueとするように設定している方も多いかと思います。Terraform CLIでも同じくMFAを必須とするよう、credentials、configにmfa_serialが指定されたprofileを指定して実行すると以下のエラーが発生します。
AssumeRole(スイッチロール)で一時クレデンシャルを取得して環境変数にセットするワンライナー | DevelopersIO
こんにちは、CX事業本部の若槻です。 今回は、AWS CLIでAssumeRole(スイッチロール)により一時クレデンシャルを取得して環境変数AWS_ACCESS_KEY_ID、AWS_SECRET_ACCESS_KEY、AWS_SESSION_TOKENにセットしてAWS接続時の認証に利用可能とするワンライナーを作ってみたのでご紹介します。 前提 AWSプロファイルが次の通り設定済みであること。(Assume先プロファイルのmfa_serialは必要な場合のみ) [default] region=ap-northeast-1 output=json [profile <Assume先プロファイル名>] region = ap-northeast-1 mfa_serial = arn:aws:iam::xxxxxxxxxxxx:mfa/hoge role_arn = arn:aws:iam
ついにaws-actions/configure-aws-credentials@v1にOIDCでAssumeRoleできる機能が取り込まれました! | DevelopersIO
吉川@広島です。 Release v1.6.0 · aws-actions/configure-aws-credentials 数日おきにチェックしていたのですが、今日見た所3日前にリリースされていました!気づくのに少し遅れを取ってしまいました。 GitHub Actions OIDCでconfigure-aws-credentialsでAssumeRoleする | DevelopersIO GitHub Actions OIDC+configure-aws-credentialsは最高なのですが、唯一、configure-aws-credentialsのリリースバージョンが切られていないことだけが気になっていました。 みんなが待ち望んだrelease GitHubドキュメントでも aws-actions/configure-aws-credentials@master とバージョンではな
コーヒーと DiveDeep が好きな木谷映見です。 皆さん、IAM を利用する際、「AssumeRole」というアクションを目にしたことはありますか?恐らく多くの方がかなりの回数目にしているのではないでしょうか。 私は特にこの「AssumeRole」というアクションが大好きです。目立たないけれど、いつもたくさんのサービスの裏で活躍している究極の縁の下の力持ち、いいやつですよね。 本日は AssumeRole について DiveDeep していきます。 IAM ロールはかぶると力を得る帽子 AssumeRole とは アイデンティティベースのポリシー リソースベースのポリシー IAM ロールの信頼ポリシー IAM ユーザーが引き受ける(かぶる)場合 例外 AWS リソースが引き受ける(かぶる)場合 IAM ロールを「引き受ける」「かぶる」とは さいごに 参考 ひとりごと IAM ロールはか
GitHub Actions OIDCでconfigure-aws-credentialsでAssumeRoleする | DevelopersIO
2022/1/8 aws-actions/configure-aws-credentials@v1アップデートを反映しました https://dev.classmethod.jp/articles/aws-configure-credentials-v1 吉川@広島です。 [GitHub Actions]aws-actions/configure-aws-credentialsを使ってOIDCプロバイダを介したSwitchRoleをする | DevelopersIO 先日こちらのブログを書いたのですが、色々と変わったため、最新内容を反映した手順を新しくブログにすることにしました(古い記事には注釈を入れておきます)。 IDプロバイダを作成 まずIAM ID Providerを作成します。 プロバイダのタイプ: OpenIDConnect プロバイダのURL: https://token.ac
AssumeRole(スイッチロール)で複数AWSアカウント運用【ビギナー向け】 - サーバーワークスエンジニアブログ
技術三課の杉村です。これからAWSを本格的に利用していこうと思っている方のために、複数AWSアカウントの運用を簡単にご説明します。 前回のブログをご理解いただいていることを前提としていますので、未読の方は以下をご参照ください。 AWSアカウントとは?IAMとは?【ビギナー向け】 なお本投稿ではAWSビギナーの方でも理解いただけるよう表現を抽象化したり、あえて深く説明していない部分もありますが、まずは概要を理解するためのものとお考えください。 1. 複数AWSアカウントの利用 前回のブログでは、AWSアカウントを部署単位、あるいは環境単位で分けるメリットを以下のように説明しました。 AWS権限の明確な分離(セキュリティ・ガバナンス上のメリット) AWS利用料金の明確な分離(コスト管理上のメリット) さらに凝った設計(セキュリティ・ガバナンス・コンプライアンス)を考えたとき、下記のAWS La
GetFederationToken は AssumeRole や GetSessionToken と何が違うのか | DevelopersIO
sts:GetFederationToken が好きです。でも sts:AssumeRole はもっと好きです。 コンバンハ、AssumeRole 大好きおじさんです。 AssumeRole とは、IAM ユーザーや AWS サービスといったエンティティが IAM ロールを引き受けるアクションを指します。引き受けた後は「IAM ロールを引き受けたセッション」がプリンシパルとなりアクションを実行します。 IAM ロール自身ではなくそれを引き受けたセッションが実行元である、という部分にえもいわれぬ浪漫を感じますね。このようなプリンシパルはセッションプリンシパルと呼ばれることもあります。 そしてセッションプリンシパルと呼ばれるのは「IAM ロールを引き受けたセッション」だけではありません。GetFederationToken によるフェデレーテッドユーザーもセッションプリンシパルのひとつです。
こんにちは。サービスグループの武田です。 AWS CLIは好きですか?(挨拶) AWSの操作はマネジメントコンソールを利用してぽちぽちする方法も楽ですが、自動化などしたい場合にはAWS CLIも便利です。またAWS CLIにはプロファイルにIAMロールを設定しておくだけで自動的にAssumeRole(スイッチロール)してコマンドを実行してくれる機能もあります。 さてAssumeRoleをして一時的なクレデンシャルを取得する際にはセッション名の指定が必要です。次のようにassume-roleコマンドのリファレンスでも--role-session-nameが必須パラメーターとなっています。 assume-role --role-arn <value> --role-session-name <value> AWS CLIがプロファイルの設定から自動的にAssumeRoleする際には、セッション
Retool で AssumeRole してDynamoDBテーブルにアクセスする(アクセスキーが流出しても、被害を最小限にしよう) | DevelopersIO
いろんなデータベースやAPIと接続してWebアプリをサクッと作れるRetoolですが、DynamoDBと連携する場合は、IAMユーザのアクセスキーを使います。 もし、アクセスキーが流出したら一大事です。 そこで、AssumeRoleを使って、少しでも影響が小さくなる方法を試してみました。 Retoolについては、下記をご覧ください。 おすすめの方 RetoolでAssumeRoleしたい方 IAMユーザとIAMロールと実験用のDynamoDBテーブルを作成する CloudFormationテンプレート 下記を作成します。 Retool用のIAMユーザ Retool用のIAMユーザに付与するIAMポリシー(AssumeRoleのみ可能) Retool用のIAMユーザがAssumeRoleするIAMロール(DynamoDBに対する操作権限のみ) DynamoDBテーブル AssumeRoleを
AWS SDK for JavaScriptで、「多要素認証(MFA)をしてAssumeRole(スイッチロール)」するスクリプトを書いてみた | DevelopersIO
AWS SDK for JavaScriptで、「多要素認証(MFA)をしてAssumeRole(スイッチロール)」するスクリプトを書いてみた Jumpアカウント環境でもAWS SDKを使って操作したかったので、AWS SDK for JavaScript でスクリプト(TypeScript)を書いてみました。 AWS SDK for JavaScriptで簡単に「多要素認証(MFA)をしてAssumeRole(スイッチロール)」したい こんにちは、のんピ です。 皆さんはAWS SDK for JavaScriptで以下のように「多要素認証(MFA)をしてAssumeRole(スイッチロール)」したいと思ったことはありますか? 私はあります。 AWS CLIの場合は、以下記事で紹介している通り、~/.aws/configを設定すれば簡単にスイッチロールして操作ができます。 しかし、それで
AWS CLI で SSO profile を元にした AssumeRole profile の設定 - Qiita
AWS CLI の設定 (~/.aws/config) で、 AssumeRole profile の source_profile として SSO Profile を指定する、という内容です。 この設定により、IAM User とその Key/Secret なしに、特定の AWS アカウント上のリソースに API 経由でアクセス可能となります。 本記事では、上記の具体的な設定方法を紹介します。 また、その設定を用いて AWSアカウント上に特定のIAM Roleに切り替えて、 aws cli (aws コマンド) 実行時もしくは aws-sdk を使ったAWS API呼び出しを行う方法についても記載します。 AssumeRole Profile の適用事例 この切り替え操作により、例えば、 新規機能のリリース前に、事前にローカル環境で権限設定変更による影響をエミュレートすることなどが可能で
今のはスイッチロールではない…AssumeRole からのフェデレーションサインインだ…をやってみた | DevelopersIO
IAM ロールの認証情報でマネジメントコンソールにアクセスする、を実現できるのはスイッチロールだけではありません。一時的な認証情報を使用してサインイントークンを取得し、フェデレーテッドユーザーとしてサインインすることもできます。 コンバンハ、千葉(幸)です。 …今のはスイッチロールでは無い… AssumeRole からのフェデレーションサインインだ… そんなセリフを言いたくなったことはありませんか?私はありません。「AssumeRole からのフェデレーションサインイン」なんて言い回しはきっとこの地球上に存在しないので、ありません。 ここでのスイッチロールとは「① IAM ユーザーのユーザー名とパスワードを利用してマネジメントコンソールにサインインする」「② IAM ロールに切り替える」の流れを指しています。 IAM ロールの認証情報を利用してマネジメントコンソールで操作したい場合には、こ
awsdoに ~/.aws/(config|credentials)の設定情報がなくてもAssumeRoleできるようにするためのオプションと、AssumeRoleしたロールでAWSコンソールにログインするオプションを追加した - Copy/Cut/Paste/Hatena
1年以上前からの久しぶりのアップデートです。 k1low.hatenablog.com --role-arn --source-profile 複数のAWSアカウントを横断して作業することがあり、AssumeRoleのための設定を~/.aws/(config|credentials)に書くのすら面倒になってきたので、設定なしでAssumeRoleができるようにするためのオプション --role-arn と --source-profile を追加しました。 委任元のアカウントAのロール arn:aws:iam::AAAAAAAAAAAAAA:role/example-role を委任先のアカウントBに委任できるようにしている場合、 委任先のアカウントBの設定が ~/.aws/(config|credentials) にある場合は( profile-b )、 $ awsdo --role-a
こんにちは、CX事業本部の若槻です。 AWSでのスイッチロール(AssumeRole)により取得できる一時的な認証情報の有効期限は、各種assumeの方法(AWSマネジメントコンソール、CLI、API)とも既定で1h、最大12hとなっています。 Using IAM roles - AWS Identity and Access Management 今回は、AssumeRoleで取得する一時的な認証情報の有効期限を既定の1hから長くしてみました。 現状の有効期限の確認 コマンド実行で使用する変数を定義します。 % profile=<Profile> % role_name=<Role Name> Assumeの引受けロールの有効期限(MaxSessionDuration)は既定の1hとなっています。 % aws iam get-role \ --profile ${profile} \ -
IAMユーザーにAssumeRoleの権限が無くてもスイッチロールできる(ように見える)のはなぜですか? | DevelopersIO
困っていた内容 スイッチロールの信頼関係設定における AssumeRole権限について質問します。 自アカウントのIAMユーザーに、自アカウントのIAMロールにスイッチできるよう設定を行っています。 ロールの信頼関係を次のようにアカウント( root = アカウント自体 の意味になります)で指定した場合、ユーザーに「sts:AssumeRole」のアクセス権限が必要だと認識しています。 arn:aws:iam::XXXXXXXXXXXX:root 一方で、ロールの信頼関係を次のようにユーザー名で指定すると、ユーザーに「sts:AssumeRole」のアクセス権限が無くてもスイッチロールできてしまいます。 arn:aws:iam::XXXXXXXXXXXX:user/username このような振る舞いの違いが起きるのはどうしてでしょうか? ユーザー名で指定する方法でスイッチロールする場合、
はじめに 業務でほどよくAWSは使用しますが、管理側(?)は経験がありません。 AWSの認定資格の勉強でも、結構アカウント管理周りは机上の理解でした。 そこで、今回はアカウント管理で重要なAssumeRoleについて、実際に触って整理していこうと思います。 はじめに 前提理解 IAMユーザーだけで管理する ロールを使用する 前提のまとめ AssumeRole ケース やってみること ユーザーA ロール1 信頼ポリシー 許可ポリシー ここまで てことでやってみる ふりかえり Switch 確認 まとめ 前提理解 ここは前提として、サクッとまとめます。 IAMユーザーだけで管理する 誰になんの権限をもたせるか、、、複雑ですね。 ロールを使用する さて、これをロールを使用して綺麗にしていきましょう。 前提のまとめ ユーザーだけで権限管理しようとするととても複雑なので、ロールごとにまとめることでシ
GKEのPodからTokenRequestProjectionで発行されたOIDCのID Tokenを使用してAWSのRoleにAssumeRoleしてみる | GRIPHONE ENGINEER'S BLOG
GKEのPodからTokenRequestProjectionで発行されたOIDCのID Tokenを使用してAWSのRoleにAssumeRoleしてみる この記事は GRIPHONE Advent Calendar 2021 2日目の記事です。 SREの徳田です。 GKEのTokenRequestで発行されたID Tokenって外から検証できるんだっけ・・?という疑問から色々探していたところ、OpenID Connect Discoveryまで実装されており外部からID Tokenの検証が可能だったため、これを活用して今回はAWSのRoleにAssumeRoleしてみようと思います。 TL;DR TokenRequestProjectionでTokenをマウントAWSでOIDC Identity Providerの設定とそこからAssumeRoleできるIAM Roleの作成Provi
AWS Step Functionsでタスク毎に別アカウントのロールにAssumeRole(スイッチロール)出来るようになりました! | DevelopersIO
AWS Step Functionsでタスク毎に別アカウントのロールにAssumeRole(スイッチロール)出来るようになりました! AWS Step Functionsでタスク毎に別アカウントのロールにAssumeRole(スイッチロール)出来るようになりました!これでリソースベースポリシーがサポートされてない別アカウントのリソースもStep Functionsから直接操作出来るように! お疲れさまです。とーちです。 最近は AWS re:Invent 2022 の開催が近いせいかすごい数のアップデートが AWS から発表されてますね。 そんなアップデートの中でも個人的にオッと思ったアップデートである AWS Step Functions のクロスアカウントアクセスに関するアップデートをご紹介したいと思います。 かんたんまとめ ステートマシン内のタスク単位で別アカウントのロールに Ass
[超小ネタ]Windows 10でAssumeRole後にAWS CLIのコマンドを試してみた | DevelopersIO
こんにちは!コンサル部のinomaso(@inomasosan)です。 前回、Cyberduckのブログを書いたのですが、ローカル端末でAssumeRoleした場合にどうやってAWS CLIのコマンド実行すればいいんだっけ??となりました。 普段はAWS Cloud Shellを使うことが多いので、時間が経つと忘れそうだなと思い、備忘用にブログで残すことにしました。 まとめ IAMロールのプロファイルを指定してコマンド実行すればよい。 やってみた AWS CLIのクレデンシャル設定 前回と同様に以下のパスにクレデンシャルを設定していきます。 C:\Users\<ユーザ名>\.aws\credentials 以下のようなクレデンシャル設定でコマンドを実行できるか試していきます。 [iam-user] aws_access_key_id = AKIAXXXXXXXXXXXXXXXXXXX aw
[小ネタ]GitHub ActionsでAssumeRoleするOIDCプロバイダのIssuerURLとオーディエンスの指定が変更されました | DevelopersIO
9月に話題となったGitHub ActionsでAWS Credentials が不要でAssumeRoleできるようになりましたが、OIDCプロバイダのIssuerURLが変更になりました。 突然の実行エラー 当初は以下のCloudFormationテンプレートでIAMロールを作成して10/8くらいまで動いていました。 AWSTemplateFormatVersion: "2010-09-09" Parameters: RepoName: Type: String Default: example-nakahara/cfn-cicd Resources: Role: Type: AWS::IAM::Role Properties: RoleName: github-actions-role ManagedPolicyArns: [arn:aws:iam::aws:policy/ReadO
GitHub ActionsとAWSのOIDC連携で特定のRepositoryやBranchにのみAssumeRoleを許可させてみた | DevelopersIO
GitHub ActionsとAWSのOIDC連携で特定のRepositoryやBranchにのみAssumeRoleを許可させてみた こんにちは、CX 事業本部 IoT 事業部の若槻です。 今回は、GitHub Actions と AWS の OIDC 連携で特定の Repository や Branch にのみ AssumeRole を許可させてみました。 設定箇所 GitHub と AWS の OIDC 連携をさせるためには、AWS には次の 2 つのリソースを作成する必要があります。 ID Provider IAM Role(および Inline Policy) そして OIDC 可能な GitHub の Repository や Branch を制限する場合は、IAM Role の Trusted entities のConditionを設定する必要があります。 { "Versi
AWS SDK for JavaScript v3で多要素認証(MFA)をしてAssumeRole(スイッチロール)やEC2インスタンスを作成してみた | DevelopersIO
AWS SDK for JavaScript v3で多要素認証(MFA)をしてAssumeRole(スイッチロール)やEC2インスタンスを作成してみた v2とv3があったらv3を触ってみたくなるのが人の性 こんにちは、のんピ です。 皆さんはAWS SDK for JavaScript v3を触ったことはありますか? 私はありません。 AWS SDK for JavaScript v3は、こちらのwhat's newにある通り、2020/12/15に一般公開されています。 AWS SDK for JavaScript v2とAWS SDK for JavaScript v3があったら、より新しいAWS SDK for JavaScript v3を触ってみたくなるのが人の性というものです。 リリースされた半年以上経った2021年8月現在でも、触ってみた系の記事が少ないのもあり、AWS SDK
インスタンスプロファイル作成とAWS Systems Managerの設定をAWS CLIを使ってやってみようとしたら、IAM ロールとポリシーとAssumeRoleでハマったのでやってみた順番で整理してみた | DevelopersIO
インスタンスプロファイル作成とAWS Systems Managerの設定をAWS CLIを使ってやってみようとしたら、IAM ロールとポリシーとAssumeRoleでハマったのでやってみた順番で整理してみた みなさんどうも、新卒エンジニアのたいがーです? 何が起こったのかと言いますと、タイトル通りです。AWS CLIでインスタンスプロファイルとAWS Systems Manager(以下、SSM)の設定をしようとして、とても詰まりました。 私が"どういうところにハマったか、どう解決したか"、実際の流れに沿って書いていきたいと思います。 そもそも何があったのか 始めは、AWS CLIを使ってCloud Formationのテンプレートからスタックを作成しようとしていました。 今回のテンプレートでは、スタック実行前にインスタンスプロファイルを作成する必要があったため、IAMロールを新たに作成
CircleCIとAWSのOIDC連携で特定のProjectやUserにのみAssumeRoleを許可させてみた | DevelopersIO
こんにちは、CX事業本部 IoT事業部の若槻です。 前回のエントリでは、CircleCIとAWSをOIDC連携させて、永続的な認証情報を使用しないセキュアなAssumeRoleを試してみました。 今回は、CircleCIとAWSのOIDC連携でさらにセキュリティを高める対応として、特定のCircle CI Project(GitHub Repository)やUserにのみAssumeRoleを許可する設定を試してみました。 やってみた 同じCircleCI Organization(GitHub Account)に属するProject(Repository)であるrepository_aとrepository_bで試してみます。 準備 まず準備として、ProjectおよびUserの制限なくOIDCによるAssumeRoleが可能なOIDC設定を構築します。(前回のエントリとほぼ同じ構築内
【AWS IAM 小ネタ】権限を狭めてスイッチロール(AssumeRole)する | DevelopersIO
何か作業を行う際に、作業用のIAMロールへ スイッチロール(AssumeRole)するケースは多いと思います。 そのときの権限は基本的には 「そのロールにアタッチされたポリシー」です。 ですが、その権限を AssumeRole 時に狭められることを最近(今更)知りました。 「セッションポリシー」というものを使って スイッチロール先での権限を狭められるとのこと。 今回はこのセッションポリシーを適用して スイッチロール(AssumeRole)を試してみました。 まずは普通にAssumeRole まずは aws sts assume-role コマンドを使った いつもどおりのスイッチロールを紹介します。 以下シンプルなコマンドサンプルです。 ### スイッチ先のロールARN role_arn="arn:aws:iam::123456789012:role/example-dev-role" ##
GitHub ActionsでAWSにAssumeRoleでデプロイしてSlack通知しようとしたらError: Resource not accessible by integrationが発生した | DevelopersIO
GitHub ActionsでAWSにAssumeRoleでデプロイしてSlack通知しようとしたらError: Resource not accessible by integrationが発生した 2021/11/26追記 本記事の内容をリポジトリのREADMEに取り込んでもらえました。 https://github.com/8398a7/action-slack/pull/177 吉川@広島です。 GitHub Actions OIDCが熱いですね。日本語情報も続々出てきています。 GitHub Actions: Secure cloud deployments with OpenID Connect | GitHub Changelog GitHub ActionsがOpenID Connectをサポート。GitHubからクラウドへのデプロイがより安全に - Publickey G
Boto3でAssumeRoleする際にSTSのリージョナルエンドポイントを使用する | DevelopersIO
こんにちは。サービスグループの武田です。 すべてのリージョンでAWS Configを有効化しようとしたところ、ある特定リージョンのみ次のエラーが出て処理が完了できませんでした。 An error occurred (UnrecognizedClientException) when calling the DescribeConfigurationRecorders operation: The security token included in the request is invalid あるリージョンというのは香港リージョン(ap-east-1)です。香港リージョンのみ処理が失敗すると聞いてピンとくる人もいるでしょうか。たとえば検索すると次のエントリがヒットします。 このエントリにもあるように、オプトインリージョンで正しく処理するためにはSTSエンドポイントに気をつける必要がありま
Use AssumeRole to provision AWS resources across accounts | Terraform | HashiCorp Developer
AWS AssumeRole allows you to grant temporary credentials with additional privileges to users as needed, following the principle of least privilege. To configure AssumeRole access, you must define an IAM role that specifies the privileges that it grants and which entities can assume it. AssumeRole can grant access within or across AWS accounts. If you are administering multiple AWS accounts, you ca
Using AWS AssumeRole with the AWS Terraform Provider
Introduction This article will detail how to use AWS AssumeRole with the AWS Terraform provider to connect to other AWS accounts via one AWS account. AWS AssumeRole allows an IAM user to use security credentials from one AWS account to request temporary security credentials to access other AWS accounts by assuming roles in those accounts. This allows an IAM user to access multiple AWS accounts wit
AWS SDK For Python (Boto3) で「多要素認証(MFA)が必要なAssumeRole(スイッチロール)」をするスクリプトを書いてみる | DevelopersIO
オペレーション部の加藤(早)です。 上図のように、あるAWSアカウントのIAMユーザから別AWSアカウントに存在するIAMロールに対して MFA用のワンタイムパスワードを用いてAssumeRole(スイッチロール)するスクリプトを作成しました。 サンプルコード IAMユーザの持ち主がローカル端末で動かすことを想定しています。 ワンタイムパスワードは対話的に入力します。 from boto3.session import Session # 変数設定 PROFILE = 'default' # 端末の ~/.aws/credentials 内で設定しているプロファイル名 ROLE_NAME='myRole' # スイッチロール先のロール名 TARGET_ACCOUNT='123456789012' # スイッチロール先AWSアカウントID(12桁) REGION = 'ap-northeas
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AssumeRoleとPassRoleでクレデンシャル情報を保持しない運用を AWSの自動化したオペレーションに対して生じた疑問「これやったの誰?」
AssumeRole について DiveDeep する - サーバーワークスエンジニアブログ
AWS CLIがAssumeRoleする際のセッション名を指定する | DevelopersIO
AssumeRoleで取得する一時的な認証情報の有効期限を長くしてみた | DevelopersIO
【AWS】触って理解するIAMユーザー、ロール、AssumeRole - Qiita
momodisson.hatenablog.com
satoko2699.hatenablog.com
aucfan.co.jp
s.kabutan.jp
note.com/sugio_takahashi
www.devex.com