IAM Policy Visualizer
IAM Policy Visualizer
G-genの杉村です。BigQuery への認証・認可は Cloud IAM によって制御されますが、その仕組みは複雑です。当記事では、仕組みを詳細に解説します。 はじめに BigQuery と認証・認可 IAM の基本概念 BigQuery 関連の IAM 権限の理解 ジョブ実行とデータアクセス ジョブ実行権限 データへのアクセス権限 読み取り権限 読み取り権限の検証 書き込み権限 メタデータへのアクセス権限 ロールが持つ IAM 権限 ユースケース別 IAM 設定 BigQuery のデータを含むプロジェクト内の全リソースの閲覧権限を与えたい 設定 説明 深堀り プロジェクトのすべてのデータセットに対する閲覧権限を与えたい 設定 説明 特定のデータセットにだけ閲覧・編集権限を与えたい 設定 説明 特定のプロジェクトの BigQuery 全体管理者 設定 説明 その他のユースケース はじ
こんにちは、NRIデジタルの安藤です。 最近はクラウドのセキュリティに関する設計やアドバイザリーの仕事が増えており、セキュリティの引き出しを広げる必要性を感じる毎日です。 本記事では、AWS re:Invent 2020で発表されたセキュリティ関連セッションを題材に、AWSにおける権限管理の重要性や、次世代の権限管理による最小権限の原則の追求ついてお伝えできればと思います。 明示的な引用箇所以外は、セッションを視聴しての筆者の経験や見解を交えた解説コラムとなっており、抄録(レポート)とは異なりますのでご了承ください。 クラウドの活用を検討中の方とお話ししていると、「クラウドの自由度の高さやアジリティのメリットを享受しつつセキュリティ担当を納得させる説明がしたい」「オンプレミスとの考え方の違いが知りたい」との声をいただくことがあります。 NISTによれば、クラウドの基本的な特徴の一つに、「幅
[GitHub Actions]aws-actions/configure-aws-credentialsを使ってOIDCプロバイダを介したSwitchRoleをする 2021/11/16 この記事の内容は古くなっています。新しい内容を反映した次の記事をご参考ください。 https://dev.classmethod.jp/articles/github-actions-oidc-configure-aws-credentials/ 吉川@広島です。 GitHub ActionsでAWSの永続的なクレデンシャルを渡すことなくIAM Roleが利用できるようになったようです | DevelopersIO aws-actions/configure-aws-credentialsがOIDCプロバイダを介したSwitchRoleに対応していたので実装を辿ってみた | DevelopersIO ア
![[GitHub Actions]aws-actions/configure-aws-credentialsを使ってOIDCプロバイダを介したSwitchRoleをする | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/d1762eaf81b2855f2648b259156f5cb9c7592542/height=288;version=1;width=512/https%3A%2F%2Fv17.ery.cc%3A443%2Fhttps%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F07%2Fgithub-eyecatch.png)
ハンズオン(簡易版): IAM入門(ユーザー)¶ 作成者: 波田野 裕一 公開日: 2020-06-22 更新日: 2023-12-26 目的¶ IAMユーザー/グループの要素の作成・更新・削除を行う。 前提¶ 作業権限条件¶ 本作業は、以下の権限を有する「IAMユーザー」もしくは「IAMロール/インスタンスプロファイルが付与された環境(Cloud9などを含むEC2環境)で行います。 作業権限条件: 必要なIAMポリシー IAMFullAccess 必要なIAMポリシーを利用する環境(「IAMユーザー」「IAMグループ」もしくは「IAMロール/インスタンスプロファイル」)にアタッチした後に、手順を実施します。 作業環境条件¶
はじめに 先日IAMロールについての記事を書いていた際に、AsumeRoleについて調べていました。 調べれば調べるほど、あれ?ここどうなってるんだろう?と疑問が湧いてきたので一つずつ解決していきます。 少し長いですが、よければ気になったところだけでも見てってください。 概要図 まずは以前の記事で書いたIAMロールを使った一時認証の図です。 用語 では、いくつか用語があるのでなんとなく理解していきましょう。 STS Security Token Service(STS) これは一時的な認証情報を発行してくれるサービスです。 AssumeRole Assumeとは「引き受ける」みたいな意味です。 Assume Role、つまりIAM RoleをAssume(引き受ける)するということです。 AssumeRoleというRoleが存在している訳ではありません。(コレ重要) AssumeRoleは
内容 これまで GCP を手動構築していた範囲を、Terraform で IaC 化したので、その内容を記載する これまで手動(Webコンソール, gcloud, etc.)でやっていた内容 (Terraform コード化対象) 構築内容 前述の「これまでやっていた内容 (Terraform コード化対象)」のリンク先内容を実施する 内容は下記で、記載済み内容については説明を省略し、追加するものは補足を記載している箇所がある 組織の作成と共有 VPC 構築 ホストプロジェクト作成 サービスプロジェクト作成 共有 VPC Subnet の設定 [追加] 組織のポリシー追加 [追加] 権限の追加 HA VPN 自宅ラボ向けに HA VPN を構築する 自宅ラボ向けに設定Config例を出力する (EdgeRouer向け) VPC Service Controls サービス境界の作成 限定公開
こんにちは! クラウド事業部の中根です。 AWS認定試験を受けていると、マルチアカウントの構成をよく見かけますよね。 実際に触ってみたいけど、なんだか難しそう、めんどくさそう、というイメージを持っている方も多いのではないでしょうか。 そんなイメージを払拭すべく、個人用マルチアカウントの始め方をステップバイステップで解説します! 所要時間 1. AWS Organizationsでマルチアカウントを構成する 1-1. 組織の管理アカウント、組織の作成 1-2. メンバーアカウントの作成 1-3. 組織単位(OU)の作成 1-4. メンバーアカウントをOUへ移動 1-5. 練習 2. IAM Identity Centerを使ってシングルサインオンを実現する 2-1. ユーザーの作成 2-2. グループの作成 2-3. 許可セットの作成 2-4. ユーザー/グループ×許可セットの割り当て 2-
目次 概要 EC2 利用制限の内容 Developer のIAMポリシー設計 始めにまとめ DenyUntagRole DenyRunInstancesCondition DenyEC2OperationsCondition DenyEC2DeleteTagsCondition DenyEC2CreateTagsCondition 動作確認 前提 インスタンスの起動 インスタンスの起動/停止/再起動/終了 タグの編集・削除対策 まとめ 参考 概要 管理者(Administrator) が開発者(Developer)の IAMロールを管理 所属するプロジェクト Project を示すタグを付与する 開発者(Developer) は 自身のロールに付与された Project タグの値に基づいて、 EC2利用が制限される 上記を実現させるための IAMポリシー例を紹介します。 EC2 利用制限の
iamlive はクライアント側での AWS API 呼び出しを監視して、 IAM ポリシーを作成してくれるツール https://github.com/iann0036/iamlive の README から引用 セットアップ cd /tmp curl --location https://github.com/iann0036/iamlive/releases/download/v0.10/iamlive-v0.10-darwin-amd64.tar.gz --remote-name tar xzvf iamlive-v0.10-darwin-amd64.tar.gz ./iamlive --set-ini # iamlive を起動しているのとは別のターミナルから AWS CLI で `aws sts get-caller-identity` などを実行し、 IAM ポリシーが表示さ
呼び出しを認証する 認証された Cloud Run functions を呼び出すには、基盤となるプリンシパルが次の要件を満たしている必要があります。 関数を呼び出す権限を持っている。 関数を呼び出すときに ID トークンを提供する。 プリンシパルとは何でしょうか。Cloud Run functions の保護で説明されているように、Cloud Run functions は次の 2 種類の ID をサポートしています。これらはプリンシパルとも呼ばれます。 サービス アカウント: 関数、アプリケーション、VM など、人以外の ID として機能する特別なアカウントです。これにより、人以外の認証を行うことができます。 ユーザー アカウント: 個々の Google アカウント所有者、または Google グループのような Google が管理するエンティティの一員など、人を表します。 基本的な
困っていた内容 EC2 インスタンスに IAM ロールを割り当てました。 IAM ロールに付与されている IAM ポリシーでは許可設定をしているにも関わらず、AWS CLI コマンドを実行した際に権限エラーが発生します。 考えられる原因を教えてください。 前提となる知識 AWS CLI コマンド実行時に使われる認証情報には以下の優先順位があります。 1. コマンドラインオプション 2. 環境変数 3. CLI 認証情報ファイル 4. CLI 設定ファイル 5. コンテナ認証情報 6. インスタンスプロファイル認証情報 EC2 インスタンスに割り当てる IAM ロールの優先順位は、インスタンスプロファイル認証情報にあたるため、6 番目となります。インスタンスプロファイル認証情報よりも優先順位の高い認証情報が使用されているかどうかを、チェックする必要があります。 どう対応すればいいの? 前提
インスタンスプロファイル作成とAWS Systems Managerの設定をAWS CLIを使ってやってみようとしたら、IAM ロールとポリシーとAssumeRoleでハマったのでやってみた順番で整理してみた みなさんどうも、新卒エンジニアのたいがーです? 何が起こったのかと言いますと、タイトル通りです。AWS CLIでインスタンスプロファイルとAWS Systems Manager(以下、SSM)の設定をしようとして、とても詰まりました。 私が"どういうところにハマったか、どう解決したか"、実際の流れに沿って書いていきたいと思います。 そもそも何があったのか 始めは、AWS CLIを使ってCloud Formationのテンプレートからスタックを作成しようとしていました。 今回のテンプレートでは、スタック実行前にインスタンスプロファイルを作成する必要があったため、IAMロールを新たに作成
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?
はじめに 日頃Lambda関数の構築において、都度インフラ管理者に依頼して、IAMポリシーとIAMロールを作成してもらうようにしていますが、後から必要な権限が出てきたりして、開発がなかなか進まないこともありますよね。 Lambda関数にアタッチするIAMポリシーとIAMロールを自分で作って試せると嬉しいなと思い、Lambda関数を構築する開発者に必要なIAM周りのIAMポリシーについて考えてみました。 先にお伝えすると、下記のポリシーだと穴があるので、ご使用はお控えください。 別のアイデア大歓迎です!コメントください! 前提条件 AWSの環境は次の通りとします。 Assume Roleを使う Assume Roleを使っている場合、ユーザーに権限をつける際は下記のようなフローになります。 ① IAMポリシーの作成 必要な権限をつけたIAMポリシーを作成する。 ② IAMロールの作成 ①で作
DeNA TechCon 2021では、各セッションごとにTwitterハッシュタグを用意しています。 ぜひ、セッションの感想などを下記のハッシュタグ付きでツイートしてみてください! #denatechcon #techcon_19 このセッションに関するツイートを見る 佐藤 健太 2016年にDeNAに入社。認証認可基盤周辺サービスの開発・運用に従事。大規模流入に対する負荷対策、クラウド間システム移管、アプリケーション実行基盤移管など、様々なクラウド上の運用課題の解決に日々取り組んでいる。ほか、社内Goコミュニティの運営や、エンジニアサマーインターンの課題制作なども行っている。Japan Perl Association代表理事。
今回の課題 以下の前回の記事の機能を実装する際に、権限まわりでエラーが発生してしまったので解決した方法を記録する。 また、一応は解決できたが、解決できた理由がイマイチ理解できていなかったため、色々調査することにした。 発生した問題を解決する 前提 使用している権限 Lambdaにはpractice-Lambda-RDStoS3-role-idais11pというロールで権限が渡されている。 S3にアクセスや操作をできるようにするための権限(s3:GetObjectやs3:DeleteObjectなど)を持ったポリシーをアタッチしている。 こちらのロールの信頼されたエンティティは以下となっている。(Lambda実行時にAssumeRoleによって、ロールが所持しているポリシーの権限をLambdaが使える) import json import boto3 import time from bo
研究開発部 Architectグループにてデータエンジニアとしてデータ基盤の開発・運用を担当しているジャン(a.k.a jc)です。 データ基盤の構築はETL処理の実装やパイプラインの監視だけでなく、セキュリティ、データアクセス制御管理もデータエンジニアリングライフサイクルの一環として、重要な存在になっています*1。データ基盤の第四弾となる今回は、BigQuery上に構築したデータ基盤におけるGoogleグループ・IAMによるアクセス制御を中心に紹介したいと思います。 また、過去のデータ基盤関連の記事も併せてお読みいただければと思います。 【R&D DevOps通信】データ基盤におけるGitHub Actionsを使ったTerraformとCloud ComposerのCI/CD - Sansan Tech Blog 【R&D DevOps通信】Cloud Composerを用いたデータ基
こんにちは、CX事業本部 IoT事業部の若槻です。 今回は、CloudFormationでIAMアクセスキーの発行とSecrets Managerへの格納をしてみました。 なぜCloudFormationとSecrets Managerなのか? (主観ですが)AWSのIaC機能は下記の2つです。 AWS CLoudFormation AWS CDK また、AWSのセキュアなパラメータ管理機能は主に下記の2つです。 AWS Systems Manager Parameter Store(SecureStringを使用) AWS Secrets Manager このうち、IAMアクセスキーの発行とそのクレデンシャルの格納をIaCで完結させられる方法は、調べてみたところ「CloudFormationとSecrets Managerの組み合わせのみ」だったため、今回その方法についてご紹介します。ま
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 本記事はGoogle Cloud Storage(GCS)やBig Query(BQ)を、ユーザーアカウントではなくサービスアカウントから利用する方法を解説します。 環境 筆者は以下の環境を利用していますが、GCのクラウド圏外から圏内にアクセスする場合は、環境問わず考え方は一緒です。 Ubuntu (WSL) python GCS また、厳密にはWSL上でDockerを立ち上げています。DockerイメージはDebianベースのものです。 ニーズが発生した背景 やろうとしている事の意図を補足するセクションなので、読み飛ばしてもOKです。
Azure AD と AWS 間における SAML 2.0 を用いた認証連携にはいくつかの方法があり、混乱することがありましたので、私自身の備忘録も兼ねて Azure AD と AWS Single Sign-On を連携させる方法と Azure AD と AWS アカウントを直接連携させる方法 2 種類の合計 3 つの方法の違いをまとめました。 まとめ Azure AD と AWS の主な認証連携方法である次の 3 パターンの構成イメージと比較表を記載します。各方式には本ブログ限りの名称を付けています。 1. AWS SSO 連携方式 Azure AD と AWS Single Sign-On (以下、AWS SSO) を連携させ、AWS SSO で各 AWS アカウントを管理する方式です。AWS 側では AWS SSO を利用するために AWS Organizations を利用してい
ガートナージャパン株式会社 (本社:東京都港区、以下Gartner) は、2024年のサイバーセキュリティのトップ・トレンドを発表しました。本トップ・トレンドの推進要因には、ジェネレーティブAI (生成AI)、セキュリティ意識の低い従業員の行動、サードパーティのリスク、継続的な脅威エクスポージャ、取締役会でのコミュニケーション・ギャップ、セキュリティに対するアイデンティティ・ファーストなアプローチの6つが挙げられます (グローバルでは2024年2月22日に発表しています)。 シニア ディレクター アナリストのリチャード・アディスコット (Richard Addiscott) は次のように述べています。「生成AIは、対処すべき新たな課題としてセキュリティ・リーダーを悩ませている一方で、生成AIを活用することで、オペレーション・レベルでセキュリティを強化する機会となります。生成AIは考慮すべき
Stay organized with collections Save and categorize content based on your preferences. This document provides an overview of Workload Identity Federation. Using Workload Identity Federation, you can provide on-premises or multicloud workloads with access to Google Cloud resources by using federated identities instead of a service account key. You can use Workload Identity Federation with workloads
概要 AWS 認定ソリューションアーキテクト – プロフェッショナル資格試験に向けた小ネタ集。 今回は様々なところで出題されるIAMポリシーで制限可能などの問題や設問に対し、具体的にIAMポリシーをどう書いたらいいかわからず調べてみたいくつかのIAMポリシーのサンプルです。 [2020年10月] 2回目の受験でついにプロフェッショナル試験に合格しました! 合格体験記/勉強法を以下で投稿しているので良かったら読んでください。 試験受ける予定がある方の少しでも役に立てればと思います(^^) AWS初心者がAWS 認定ソリューションアーキテクト – プロフェッショナル資格試験に合格した時の勉強法 EC2 インスタンスや EBS ボリュームの作成において、指定可能なタグを制限する方法 https://aws.amazon.com/jp/premiumsupport/knowledge-center
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
こんにちは。ピリカ開発チームの伊藤です。 GCPの各種サーバーレスサービスにアクセスするには、認証情報が必要となります。App EngineやCloud Functions上で動作している場合は、GCPの各種ライブラリを使っていれば特に何もしなくても認証が通った状態となり、FirestoreやCloud Storageなどを扱うことができるようになっています。 しかし、ローカルでの動作確認を行う場合など、GCP外で動く場合には認証情報を渡す必要があります。 これまで、ローカルでの認証のためには「サービスアカウントキー」というJSONファイルを取得することが多かったのですが、サービスアカウントキーファイルが漏洩した場合に検知が難しいなどの問題があり、最近は非推奨となっています。 では具体的にどのようにすれば良いのかというと、あまりまとまった情報がありませんでした。 今回は、GAE/Pytho
困っていた内容 IAM ポリシーの作成時に「ポリシーのアクションはリソースレベルのアクセス許可をサポートしておらず、 すべてのリソース を選択する必要があります」というエラーメッセージが表示されています。解決方法を教えてください。 前提となる知識 IAM アクションには、リソースレベルのアクセス許可がサポートされているものと、されていないものがあります。 リソースレベルのアクセス許可がサポートされている場合 Resource 句に当該の IAM アクションが影響するリソースの範囲を指定することができます。 また、Resource 句にアスタリスク(*)を指定することで、すべてのリソースの範囲を指定することもできます。 一部のリソースを指定する場合の IAM ポリシー例 { "Version": "2012-10-17", "Statement": [ { "Sid": "IAMPolicy
こんにちは。CS課の坂本です。 タイトルは違いますが、前回の続きです。前回の処理は、2つのアカウントにまたがって実行されていました。 1. 開発アカウントのLambdaから処理を実行 2. 本番アカウントのCloudWatchのデータを取得 3. 取得したデータを開発アカウントのDynamoDBに入れる という流れでした。 このように別のアカウントにアクセスする場合、ユーザーの「アクセスキー、シークレットアクセスキー」をもう一方のアカウントに知らせて、そのキーを使ってアクセスすることもできますが、ユーザーとキーの管理をしっかりおこなわないといけません。しかし、「AWS STS」を使うとユーザーとキーの管理がいらなくなり、よりセキュアな運用ができます。 AWS STSとは? 開発アカウント(アカウントA)の設定 本番アカウント(アカウントB)の設定 LambdaからSTSのサンプルコードを実
research Amplified exposure: How AWS flaws made Amplify IAM roles vulnerable to takeover April 15, 2024 aws vulnerability disclosure Key Points We identified two variants of a vulnerability in AWS Amplify that exposed identity and access management (IAM) roles associated with Amplify projects, allowing them to become assumable by anyone in the world. If the authentication component was removed fro
SMTPサーバーを冗長構成したい こんにちは、のんピ です。 皆さんはSMTPサーバーを冗長構成にしたいと思ったことはありますか? 私はあります。 メールという複数システムが使用するであろう機能が単一障害点(SPOF)になっているのはとても怖いです。 AWS上でEC2インスタンスの冗長構成を実装する際、HTTP/HTTPS以外のプロトコルを使用するのであれば、NLBを使うことが多いと思います。意外にもDevelopersIOでは NLB + SMTP(Postfix) の組み合わせの記事がなかったので、今回チャレンジしてみたいと思います。 通常メールを送信する際には、tcp/25を使用します。 しかし、以下記事にある通り、AWSではtcp/25を使用して外部にメールを送信する際には、申請が必要になります。 初期状態の EC2 インスタンスでは Eメールを送信する際に利用する SMTP ポー
はじめに AWS マネージメントコンソールに、Identity Provider を使った SSO ログインがやりたいときがあります。AWS Organizations が使える環境だったら、AWS SSO を使えば比較的楽に実現できます。しかし、Organizations が使えない環境でも、AWS IAM で Identity Provider の設定をすることで、SSO が実現できます。 今回は、AWS IAM と Azure AD 間で、SAML を使ったフェデレーションを行っていきます。 わかったこと 今回の検証を通じて、わかったことを最初に書きます。 この記事の構成では、Azure AD 側でプロビジョニングの設定を加えても、AWS IAM User などには自動的に追加されない https://docs.microsoft.com/ja-jp/azure/active-dir
タグ /etc/fstabSQLServerVBSVagrantUUIDSwitchRoleswapStorageGatewaySSLsshd_configSSHSPAwaagent.confServerlessFrameworkserverlessdashbordserverlessS3Route53roleRHELREST APIRedhatVirtualBoxwcPythonホストキャッシュ自己啓発祝日復元勉強分析情報ログリストアモニターマウントパスワードWebカメラトラブルシューティングテレワークディスク拡張サーバレスコラムアプリWorkSpacesWordPressWindowsServerWindows ServerRDSPSOACMAzureBackupCertificateManagerCentOSBudgetsBrotlibookBillingBackupAzureディス
Review last accessed information to identify unused EC2, IAM, and Lambda permissions and tighten access for your IAM roles | Amazon Web Services
AWS Security Blog Review last accessed information to identify unused EC2, IAM, and Lambda permissions and tighten access for your IAM roles September 28, 2023: IAM is incrementally adding support for actions from more services. For a list of services that report action last accessed information, see IAM action last accessed information services and actions. AWS Identity and Access Management (IAM
はじめに AWSを利用する際に必ず使用するIAM。 なんとなく利用することも多いのではないでしょうか。 IAMについて考える機会があったので、今一度整理してみようと思います。 目次 IAMとは IAMポリシーとは IAM設計で意識すべき4つのこと 本番運用に耐えうるIAMとは 1. IAMとは AWS Identity and Access Management(IAM) AWSリソースへのアクセスを安全に管理 下記のいずれかの方法でアクセス許可を付与 適切なアクセス許可ポリシーがアタッチされたグループのメンバーにする (推奨) ポリシーをユーザーに直接アタッチする 2. IAMポリシーとは AWSでのアクセスを管理するために権限を定義したもの。 IAMポリシーには6つのタイプがあります。 アイデンティティベースのポリシー リソースベースのポリシー アクセス許可の境界 組織 SCP アクセ
はじめに CX事業本部IoT事業部の佐藤智樹です。 今回は自分がAWS CDKでIAMユーザやロールのために条件付けした独自のIAMポリシーを作っていて、AWS CDKのデプロイ時に失敗する場合の解決方法を紹介します。 AWS CDKでTypeScriptを使ってリソースを書いている場合は型補完である程度リソースを簡単に記述できますが、IAMポリシーに関してはうまく型補完が効かずに実行した際に失敗する場合があります。そこで実行時に失敗した後にどのようにコードを直していくのかを紹介します。AWS CDKをメインにコードを書いている方で、できればリソースを全てAWS CDKで書きたいという方には参考になるかと思います。 注意点として予めCloudTrailは有効化しておいてください。またCloudFormationでIAMポリシーを作成されている方にはほぼ既出の内容かもしれませんがご了承くださ
G-gen の武井です。 Google Cloud (旧称 GCP) の Cloud IAM (Identity and Access Management) にて、権限不足に伴うエラーが発生した場合の対処方法について説明したいと思います。 Cloud IAM 簡単なおさらい 用語 図説 IAM ロール 事象 対処方法 原因と対処法の確認 最適な IAM ロールの選択 IAM permissions reference Understanding roles IAM ロールの付与 簡単なおさらい 本題の説明に入る前に、まずは基本事項について簡単に振り返りたいと思います。 用語 Cloud IAM を理解する上で重要な用語と、それらの意味は以下のようになります。 用語 意味 Google アカウント IAM の実行主体 (人) Google グループ 上記をグループ化したもの サービスアカウ
Using Google Cloud Service Account impersonation in your Terraform code Terraform is one of the most popular open source infrastructure-as-code tools out there, and it works great for managing resources on Google Cloud. When you’re just kicking the tires and learning how to use Terraform with Google Cloud, having the owner role on the project and running Terraform yourself makes things very easy.
こんにちは!コンサル部のinomaso(@inomasosan)です。 GitHub ActionsにDockerイメージビルドのキャッシュを導入するために、docker/setup-buildx-actionとdocker/build-push-actionを検証したところ、エラーメッセージの対応に時間がかかったので、備忘としてブログにまとめることにしました。 エラー内容 docker/build-push-actionを実行時に、以下のエラーが発生しました。 #6 exporting to image #6 pushing layers 1.2s done #6 pushing manifest for ***.dkr.ecr.ap-northeast-1.amazonaws.com/githubactions-httpd:4fb5333bcd727bd6f6a0409f94a542e
セキュリティ観点で理解しておいた方が良い内容 以下の内容については、CloudTrailでIAM操作を見張ることをお勧めします。 IAMユーザを新規作成する (No.01) IAMユーザのパスワードを変更する (No.02) IAMユーザのアクセスキーを発行する (No.03) IAMユーザにインラインポリシーを付与する (No.06) IAMロールを新規作成する (No.20) IAMロールとIAMユーザの信頼関係を結ぶ (No.23) 共通するフィールド 以下、CloudTrail証跡ログのサンプルになります。形式はJSONになります。 requestParametersとresponseElements以外のフィールドはどのイベントにも存在します。 { "eventVersion": "<ログイベント形式のバージョン>", "userIdentity": { "type": "<イベ
リソースベースポリシーの Principal に存在しないプリンシパルを指定すると Invalid principal in policy などのエラーが発生する Invalid principal(無効なプリンシパル)は、多くの場合「存在しない AWS アカウント」か「存在しない IAM ユーザー/IAM ロール」を指すかと思います。 Invalid principal in policy がでた コンバンハ、千葉(幸)です。 IAM ロールの信頼ポリシーを編集する際に、ダミーの値として存在しない AWS アカウント番号を入れたことがありました。 ↑信頼ポリシーの編集時には IAM Access Analyzer によるポリシー検証が自動で行われますが、そこでは特に指摘事項は検出されていません。 そのままポリシーの更新を実行するとエラーが出ます。 信頼ポリシーを更新できませんでした。 I
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ハンズオン(簡易版): IAM入門(ユーザー) — ハンズオン(簡易版): IAM入門(ユーザー)