CEL(Common Expression Language)を使ってIAMポリシーを検索する iam-policy-finder - KAYAC Engineers' Blog

2024/07/26 11 users Cel github.com OSS SREチーム AWS

SREチームの藤原です。 今回は CEL(Common Expression Language) を使って、AWSのIAMポリシーを検索するツールを作ったので紹介します。 github.com 3行でまとめ CEL (Common Expression Language)の式を指定してAWS IAMポリシーを検索するツールをOSSとして作りました。GetAccountAuthorizationDetails APIで取得したIA... 続きを読む

【入門編】IAMポリシー設計のポイントを整理してみる - サーバーワークスエンジニアブログ

2021/09/24 17 users サーバーワークスエンジニアブログ 入門編 ポイント サウナ

週1回のサウナが習慣になったCI部1課の山﨑です。 今回はIAMポリシー設計のポイントを考えて整理してみました。 はじめに IAMポリシーの基本 IAMポリシーの要素 ポリシー例 IAMポリシー設計のポイント 5Wで要件を整理する Organizations SCP リソースベースのポリシー IAMユーザー IAMロール まとめ はじめに AWSにおい... 続きを読む

[S3 Access Points]S3バケットのエンドポイントを作成しセキュリティレベルを分ける #reinvent ｜ Developers.IO

2019/12/05 11 users コンニチハ reinvent セキュリティレベル 千葉 以下

コンニチハ、千葉です。 S3 Access Pointsを利用すると、S3バケットに対しアクセスポイントを作成し、IAMポリシーを書くことができます。 丁度VPCエンドポイントのポリシーのように、アクセスポイント経由で記載したIAMポリシーが評価され適用されます。 例えば、以下のユースケースを考えます。 セキュリティレベル１の... 続きを読む

[AssumeRole] アクセスキーが流出しても被害が最小限になるIAMユーザでCloudFormationにデプロイする方法 ｜ DevelopersIO

2019/09/09 22 users IAMロール CloudFormation 権限 実質 万が一

IAMユーザ & IAMロールを作成 デプロイ用のIAMユーザと付与するIAMポリシーについて このユーザ自身に与える権限は、AssumeRoleできる権限のみです。 そのため、万が一このIAMユーザのアクセスキーが流出しても、流出したアクセスキーでは実質何もできません。 デプロイ用のIAMユーザがAssumeRoleするIAMロールについて ... 続きを読む

AWS Solutions Architect ブログ: Service Last Accessed Dataを用いたIAMポリシーからの不必要な権限の除き方

2015/12/22 13 users 権限 AWS Solutions Architect 原則

セキュリティのベストプラクティスとして、 AWSは特定のタスクを実行するために要求される権限だけを許可する 最小権限の原則 にのっとったAWS Identity and Access Management (IAM) ポリシーを書くことを推奨しています。しかしながら、どの許可をアプリケーションやユーザーが必要としているかを確かめることは困難でもあります。どの権限が必要とされているか決めることを助け... 続きを読む

IAMポリシーで特定のEC2インスタンスへの操作権限付与 - 雑多なインフラエンジニア日記

2014/04/26 24 users 特定 表題 aws.typepad.com 操作権限 http

2013-11-13 IAMポリシーで特定のEC2インスタンスへの操作権限付与 EC2 IAM 表題の通り、IAMポリシーで特定のEC2インスタンスのみに操作権限を付ける ことが可能になったみたいです。(2013/07時点) http://aws.typepad.com/aws_japan/2013/07/resource-permissions-for-ec2-and-rds-resources... 続きを読む