re:Invent 2021 で行われた「A least privilege journey: AWS IAM policies and Access Analyzer」セッションのレポートです セッションはオンデマンド […]
【小ネタ】GitHub Actions用のIAMロールをAWSマネジメントコンソールから作成する際の注意点
コンサル部のとばち(@toda_kk)です。 先月、GitHub ActionsがOpenID Connect(OIDC)に対応したことが発表されました。 実はそれ以前から対応は進んでおり、公式なアナウンスはないものの、 […]…
AWS Step Functionsのネストされたステートマシン実行は同期と非同期で必要な権限が異なる
こんにちは。サービスグループの武田です。 AWS Step Functionsのステートマシンでは、タスク状態から異なるステートマシンを呼び出すことができます。これを ステートマシンのネスト と呼んでいます。 さてネスト […]…
スイッチロール先のアカウントにあるRDSにローカルPCから接続
こんにちは! AWS事業本部コンサルティング部の繁松です! お客様から「スイッチロール先アカウントにあるRDSにローカルから接続したい」というお話がありましたので、 ローカルPCからEC2(踏み台サーバ)間をセッションマ […]…
[小ネタ]GitHub ActionsでAssumeRoleするOIDCプロバイダのIssuerURLとオーディエンスの指定が変更されました
9月に話題となったGitHub ActionsでAWS Credentials が不要でAssumeRoleできるようになりましたが、OIDCプロバイダのIssuerURLが変更になりました。 突然の実行エラー 当初は以 […]
AWS CDKで独自のIAMポリシーを作っていてデプロイ時に失敗する場合の解決方法
はじめに CX事業本部IoT事業部の佐藤智樹です。 今回は自分がAWS CDKでIAMユーザやロールのために条件付けした独自のIAMポリシーを作っていて、AWS CDKのデプロイ時に失敗する場合の解決方法を紹介します。 […]…
IAMのセキュアな利用 ココを押さえておけばOK というタイトルで登壇しました #AKIBAAWS
【8/17(火)リモート開催】AKIBA.AWS ONLINE #06 – AWS IAM 編- で登壇しました。スライド資料を共有します。 資料
SSMのログを別AWSアカウントS3に送る方法
テクニカルサポートチームの丸屋 正志(Maruya Masashi)です。 困っていた内容 SSM の実行ログを別 AWS アカウントの S3 バケットに出力したいのですが、どうしたら良いでしょうか? また、複数の送信元 […]…
S3バケットポリシーにIP制限をした状態でMediaConvertを使用する方法
テクニカルサポートチームの丸屋 正志(Maruya Masashi)です。 1. 困っていた内容 S3 バケットポリシーに IP 制限を設定している状態で、バケット内の動画ファイルを MediaConvert で交換しよ […]
AWS SSOのIAM RoleからAssume RoleできるIAM Roleを作成する
AWS SSOを使う時、ユーザーは各アカウントにできたIAM RoleにAssume Roleすることで各アカウントで操作ができるようになります。 このあたりについての詳細は以下を御覧ください。 AWS SSOを図解して […]…