aws

aws

AWS CDK を利用したシンプルなサーバレスアプリケーション サンプル

以下のGitHub 上にAWS CDK を利用したシンプルなサーバレスアプリケーションを実行および構築するサンプルをアップしました。 API Gateway / Lambda / DynamoDB を利用したサーバレスな非常にシンプ...
aws

AWS における特権的アクセス権の管理を JIS Q 27002:2014 およびIAM ベストプラクティスに基づいて考える

AWS における特権的アクセス権の管理をJIS Q 27002:2014および、IAM ベストプラクティスに基づいて考えてみたいと思います。なお、この記事では、IAMに関する範囲で記載しています。EC2 OS レイヤーやアプリケーションレ...
aws

MFA トークンを利用して別アカウントのIAM ロールをAssumeRole する際のGetSessionToken とAssumeRole の違い

以下のような前提で考えます 対象アカウントには、Organization のSCP でMFA必須のポリシーが設定されいている開発者は認証アカウントのアクセスキーを利用して、対象アカウントにAssumeRole でアクセスするAssu...
aws

認証用アカウントから開発用アカウントにアクセスキーを利用してアクセスする際にMFA 必須にする方式 ② 設定編

前回記事にて前置きをしましたが、ここでは具体的な設定手順を記載していきます。 以下のようなアカウント構成で、認証アカウントにサインインしたIAM ユーザが開発アカウントへAssumeRole してアクセスします。その認証...
aws

認証用アカウントから開発用アカウントにアクセスキーを利用してアクセスする際にMFA 必須にする方式 ① 前置き

クラウドのメリットの一つに、システム開発のアジリティを向上できるといったものがあります。アジリティを向上させるには、開発者が好きなときに好きなように様々な実験を素早く実施できることが非常に重要となってきます。特にマネージド型サービスを活用...
aws

Amazon GuardDuty のマスターアカウントとメンバーアカウントをすべてのリージョンで設定するAWS CLI スクリプトのサンプル

GuardDuty は単一のマスターアカウントから複数アカウントのGuardDuty をコントロールできる構成を取ることができます。 一元的にGuardDuty をコントロールすることで複数のアカウントに対する脅威に対して備えること...
aws

AWS Organizations とAWS CloudFormation StackSets の連携が強化された

つい先日、CFn StackSets を利用してOrganizations の特定OU 配下のアカウントのすべてのリージョンに自動的にAWS Config の設定をするといった内容を投稿しましたが、さらにこのようなOrganization...
aws

CloudFormation StackSets でAWS Organization 管理下のアカウントのすべてのリージョンにAWS Config を設定して記録を単一バケットに集約するサンプル

AWS Organizations で複数のアカウントを管理してる場合、セキュリティ面からAWS CoudTrail やConfig、GouardDuty などを確実にすべてのアカウトのすべてのリージョンで有効化したいという場合のサンプル...
aws

メモ: SAM でAPIGateway のAuthorizer にAWS_IAM を簡単に指定できるようになっていた

結構前にアップデートがあったようですが、放置していました。 以前、SAM でAPIGatewayの認可をIAMにするように設定する場合、シンプルに"AWS_IAM" を指定すれば良くなっていました。昔はこの指定がサポ...
aws

AWS SAM を利用したシンプルなサーバレスアプリケーション サンプル

以下のGitHub 上にAWS SAM を利用したシンプルなサーバレスアプリケーションを実行および構築するサンプルをアップしました。 サーバレスアプリは、API Gateway/Lambda/DynamoDB で作成されてい...