困っていた内容 AWS CLI コマンド実行時、また、マネジメントコンソールで操作を行ったところ 「You are not authorized to perform this operation.」というエラーメッセー […]
マルチアカウントな AWS環境のマネジメントコンソールへのアクセス方法をまとめてみた
はじめにまとめ マルチアカウントなAWS環境の マネジメントコンソール(以降マネコン)へのアクセス手段、 それぞれの特徴を以下の表にまとめてみました。 アクセス手段 認証情報管理 Organizations連携 AWS内 […]…
送信元 IP 制限している IAM ユーザ で API Gateway の相互 TLS 認証登録の際に「Unable to access truststore URI ~~」が発生する場合の対応方法
困っていた内容 マネージメントコンソールにて API Gateway のカスタムドメインの相互 TLS 設定を登録する際に、トラストストア URI の入力箇所にアップロードした pem ファイル(S3 URI)を指定後、 […]…
【小ネタ】暗号化していない RDS DBの作成を拒否するポリシー
暗号化していない RDS DBの作成を拒否するポリシー 以下ポリシーを作成しました。 各ステートメント(DenyCreatingNonEncryptedDBInstance, DenyCreatingNonEncrypt […]
IAM 評価論理ファン必見!AWS ドキュメントにリソースベースポリシー評価論理のプリンシパルごとの違いが記載されました
IAM の評価論理、完全に理解した。 コンバンハ、IAM 評価論理おじさん(幸)です。 私としたことがしばらく気づいていなかったのですが、2021年10月5日に IAM の AWS ドキュメントで激アツな更新がされていま […]…
最小権限のIAM Policy作成にCloudFormationのコマンドが役立つ
最小権限のIAM Policyを作成するのって地味に面倒ですよね。以前私は、Route53ホストゾーンにDNSレコード作成するのに必要な最小権限のPolicyを作るため、権限ゼロの状態から始めて、権限不足エラーが出るたび […]…
別アカウントの EC2 インスタンスにクレデンシャルをセットしてクロスアカウントでないアクセスをしてみた
コンバンハ、千葉(幸)です。 突然ですが問題です。 以下のような構成で EC2 インスタンスから S3 にアクセスを行うとします。EC2 インスタンスと S3 バケットは別々のアカウントに属しています。 S3 バケットは […]…
VPCの変更系APIを洗い出してCIDR周りの変更をSCPで止めたいなって思ったときに権限を洗い出す手法
こんにちは、臼田です。 みなさん、IAM書いてますか?(挨拶 今回はちょっと調べ物をした際に良さそうなIAM権限確認方法を見つけた(半分教えてもらった)のでそれと、実際に洗い出したVPCの変更権限を紹介します。 背景 「 […]…
スイッチロール先のアカウントにあるRDSにローカルPCから接続
こんにちは! AWS事業本部コンサルティング部の繁松です! お客様から「スイッチロール先アカウントにあるRDSにローカルから接続したい」というお話がありましたので、 ローカルPCからEC2(踏み台サーバ)間をセッションマ […]…
AssumeRole(スイッチロール)を理解して、AWSへのデプロイを少しでも安全に実施しよう #devio2021
DevelopersIO 2021 Decadeでビデオセッションを公開しました。 概要 CloudFormationをデプロイするユーザのアクセスキーが漏れてしまったら?と心配するあなたへ。 AssumeRoleを活用 […]