AWS/IAM
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
|
ログイン
]
開始行:
-ユーザー権限管理で契約アカウント一つに対して複数作ること...
*自分のAWSアカウントセキュリティ対策 [#n48cdd29]
-ユーザーに権限は付与しない
-IPを制限したユーザー(limited)にたいして、必要なAssumeRol...
*CLIでIAMポリシー取得&更新 [#h9cb41e3]
aws --profile assume iam get-policy-version --policy-arn...
*操作 [#w6ff79eb]
**IAMの一覧 [#u84633f4]
右上の「認証情報」メニューからユーザーを選択すると一覧
*権限 [#q2dc77bc]
とても多いので覚えていられない。デフォルトでは何の権限も...
「デフォルト設定では、ユーザーは何もできず、そのユーザー...
**EC2の権限一覧 [#r45cdd63]
http://blog.serverworks.co.jp/tech/2014/02/07/iam-ec2/
**Cloud Watch [#of9f0658]
CloudWatchのAPIを利用するので、「CloudWatch Read Only Acc...
カスタムメトリックを作成する場合は、CloudWatchの「PutMetr...
http://stk-inc.co.jp/2013/01/aws-cloudwatch-ec2/
*ポリシー [#i6df59a6]
ユーザやグループ、ロール、リソースにアクセス許可を割り当...
**管理ポリシーとインラインポリシー [#cdb3e983]
AWS 管理ポリシーはAWS側が提供しているポリシーでAWS要因で...
管理ポリシーとインラインポリシーの違いは、管理ポリシーは...
|AWS Managed Policy|Amazonが管理しているポリシー。勝手に...
|Customer Managed Policy|ユーザーが自由に設定できる管理ポ...
|Inline Policy|個別で設定するポリシー。共有不可能|
3つあるが、定義できることに違いはない。
AWS管理ポリシーにはAmazonS3FullAccessなどサービス名FullAc...
**ポリシーの内部の話 [#q04d0efe]
|Effect|AllowかDenyだが、基本Allowしか書かない|
|Action|操作内容。対象:アクションのように記載。S3ならs3:G...
|Resource|対象となるリソース。awsの独自表記でS3ならarn:aw...
*IAMユーザー、グループ、ロール [#ff57a1b6]
ユーザーとグループは一般的なものと一緒。ロールはちょっと...
**IPアドレス制限 [#l9531f82]
普通にユーザーにIP制限すると、うまくいかない。内部でCloud...
https://hacknote.jp/archives/43145/
がうまくいかない!
aws cliでassume roleするには以下のコマンドでキーを払い出...
aws sts assume-role --role-arn "ロールARN" --role-sessio...
***入り口のIAMロールにIP制限、Admin権限を持つ特権ロールの...
-まずは特定IP以外の全部拒否ポリシー作成 AllowAssumeRoleWi...
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "SourceIPRestriction",
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"xxx.xxx.xxx.xxx/32"
]
}
}
}
]
}
-必要な権限を保持するロールを作成し、上記ユーザーに信頼関...
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::699567825067:user/ONAMAE_LIM...
},
"Action": "sts:AssumeRole",
"Condition": {
"IpAddress": {
"aws:SourceIp": "157.7.139.75/32"
}
}
}
]
}
-AllowAssumeRoleWithSourceIPRestrictionにAssumeRoleの権限...
{
"Version": "2012-10-17",
"Statement": [
# ここから
{
"Sid": "AllowAssumeRole",
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::xxxxxxxxxx:role/Ass...
},
# ここまで追加
{
"Sid": "SourceIPRestriction",
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"xxx.xxx.xxx.xxx/32"
]
}
}
}
]
}
***特定IP以外拒否リスト+許可の組み合わせにする [#jca78d74]
-特定IP以外EC2全部拒否
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowRestriction",
"Action": [
"ec2:*"
],
"Effect": "Deny",
"Resource": [
"*"
],
"Condition": {
"NotIpAddress": {
"aws:SourceIp": "58.0.96.28/32"
}
}
}
]
}
-EC2 許可
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "ec2:*",
"Effect": "Allow",
"Resource": "*"
}
]
}
上記でEC2に関しては、IP制限がきいた。しかしS3などを追加す...
終了行:
-ユーザー権限管理で契約アカウント一つに対して複数作ること...
*自分のAWSアカウントセキュリティ対策 [#n48cdd29]
-ユーザーに権限は付与しない
-IPを制限したユーザー(limited)にたいして、必要なAssumeRol...
*CLIでIAMポリシー取得&更新 [#h9cb41e3]
aws --profile assume iam get-policy-version --policy-arn...
*操作 [#w6ff79eb]
**IAMの一覧 [#u84633f4]
右上の「認証情報」メニューからユーザーを選択すると一覧
*権限 [#q2dc77bc]
とても多いので覚えていられない。デフォルトでは何の権限も...
「デフォルト設定では、ユーザーは何もできず、そのユーザー...
**EC2の権限一覧 [#r45cdd63]
http://blog.serverworks.co.jp/tech/2014/02/07/iam-ec2/
**Cloud Watch [#of9f0658]
CloudWatchのAPIを利用するので、「CloudWatch Read Only Acc...
カスタムメトリックを作成する場合は、CloudWatchの「PutMetr...
http://stk-inc.co.jp/2013/01/aws-cloudwatch-ec2/
*ポリシー [#i6df59a6]
ユーザやグループ、ロール、リソースにアクセス許可を割り当...
**管理ポリシーとインラインポリシー [#cdb3e983]
AWS 管理ポリシーはAWS側が提供しているポリシーでAWS要因で...
管理ポリシーとインラインポリシーの違いは、管理ポリシーは...
|AWS Managed Policy|Amazonが管理しているポリシー。勝手に...
|Customer Managed Policy|ユーザーが自由に設定できる管理ポ...
|Inline Policy|個別で設定するポリシー。共有不可能|
3つあるが、定義できることに違いはない。
AWS管理ポリシーにはAmazonS3FullAccessなどサービス名FullAc...
**ポリシーの内部の話 [#q04d0efe]
|Effect|AllowかDenyだが、基本Allowしか書かない|
|Action|操作内容。対象:アクションのように記載。S3ならs3:G...
|Resource|対象となるリソース。awsの独自表記でS3ならarn:aw...
*IAMユーザー、グループ、ロール [#ff57a1b6]
ユーザーとグループは一般的なものと一緒。ロールはちょっと...
**IPアドレス制限 [#l9531f82]
普通にユーザーにIP制限すると、うまくいかない。内部でCloud...
https://hacknote.jp/archives/43145/
がうまくいかない!
aws cliでassume roleするには以下のコマンドでキーを払い出...
aws sts assume-role --role-arn "ロールARN" --role-sessio...
***入り口のIAMロールにIP制限、Admin権限を持つ特権ロールの...
-まずは特定IP以外の全部拒否ポリシー作成 AllowAssumeRoleWi...
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "SourceIPRestriction",
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"xxx.xxx.xxx.xxx/32"
]
}
}
}
]
}
-必要な権限を保持するロールを作成し、上記ユーザーに信頼関...
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::699567825067:user/ONAMAE_LIM...
},
"Action": "sts:AssumeRole",
"Condition": {
"IpAddress": {
"aws:SourceIp": "157.7.139.75/32"
}
}
}
]
}
-AllowAssumeRoleWithSourceIPRestrictionにAssumeRoleの権限...
{
"Version": "2012-10-17",
"Statement": [
# ここから
{
"Sid": "AllowAssumeRole",
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::xxxxxxxxxx:role/Ass...
},
# ここまで追加
{
"Sid": "SourceIPRestriction",
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"xxx.xxx.xxx.xxx/32"
]
}
}
}
]
}
***特定IP以外拒否リスト+許可の組み合わせにする [#jca78d74]
-特定IP以外EC2全部拒否
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowRestriction",
"Action": [
"ec2:*"
],
"Effect": "Deny",
"Resource": [
"*"
],
"Condition": {
"NotIpAddress": {
"aws:SourceIp": "58.0.96.28/32"
}
}
}
]
}
-EC2 許可
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "ec2:*",
"Effect": "Allow",
"Resource": "*"
}
]
}
上記でEC2に関しては、IP制限がきいた。しかしS3などを追加す...
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
