日々学んだことを残しておこう。きっと未来の自分が探しにくる。 (ただ忘れっぽいだけです…)

AWS IAM Access Policy Language ポリシーをカスタマイズしてみる


AWS IAMユーザ設定を行う際に一番気になったところは、アクセス権限をセットするAccess Policy Languageをカスタマイズするところだと思う。

Select Policy Templateでテンプレートが用意してあります。
・Administrator Access(AWSサービスとリソースにフルアクセス付与)
・Power User Access(ユーザ、グループ管理以外のAWSサービスとリソースにフルアクセス付与)
・Read Only Access(AWSサービスとリソースのリードのみ)
等々

いろいろテンプレートは用意してくれていますが、例えば、あるグループは、S3のこのバケットだけアクセス権限与えるとか権限にカスタマイズがしたいなと。

Policy Generatorというのを使うとAWS ServiceとActionsを指定してなんかカスタマイズできそうだ。
でも、結構重要そうな内容なので、勉強してみる。

ほぼ週刊AWSマイスターシリーズIAM編

Access Policy LanguageはJSONフォーマットで記述する必要がある。

13日の金曜日 PART4 完結篇 [DVD]
ジェーソン。。。
真剣に調べている方に申し訳ないですけど、どうでも良い画像を差し込んでしまいました。
戻ります。


まず、どんな感じか確認するために、テンプレートの最初の3つを見て雰囲気チェック。

Administrator Accessの場合
{
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}
]
}


Power User Accessの場合
{
"Statement": [
{
"Effect": "Allow",
"NotAction": "iam:*",
"Resource": "*"
}
]
}


Read Only Accessの場合
{
"Statement": [
{
"Action": [
"autoscaling:Describe*",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackEvents",
"cloudformation:DescribeStackResources",
"cloudformation:GetTemplate",
"cloudfront:Get*",
"cloudfront:List*",
"cloudwatch:Describe*",
"cloudwatch:Get*",
"cloudwatch:List*",
"directconnect:Describe*",
"dynamodb:GetItem",
"dynamodb:BatchGetItem",
"dynamodb:Query",
"dynamodb:Scan",
"dynamodb:DescribeTable",
"dynamodb:ListTables",
"ec2:Describe*",
"elasticache:Describe*",
"elasticbeanstalk:Check*",
"elasticbeanstalk:Describe*",
"elasticbeanstalk:List*",
"elasticbeanstalk:RequestEnvironmentInfo",
"elasticbeanstalk:RetrieveEnvironmentInfo",
"elasticloadbalancing:Describe*",
"iam:List*",
"iam:Get*",
"route53:Get*",
"route53:List*",
"rds:Describe*",
"s3:Get*",
"s3:List*",
"sdb:GetAttributes",
"sdb:List*",
"sdb:Select*",
"ses:Get*",
"ses:List*",
"sns:Get*",
"sns:List*",
"sqs:GetQueueAttributes",
"sqs:ListQueues",
"sqs:ReceiveMessage",
"storagegateway:List*",
"storagegateway:Describe*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}



といった感じ。

ちょっと大事そうなところメモ。
Effectには、[Allow](許可)と[Deny](拒否)が用意されている。
Actionには、対象となる操作を指定(ワイルドカード使用可能)
Resourceには、対象となるリソースを指定 AmazonResource Nameで記載(ワイルドカード使用可能)
アクセス制御が有効になる条件をConditionに記述し、構文は、直列に記述とAND、並列に記述するとORになる。


アクセス可否の決定ロジックは以下の通り
■アクセス制御の条件は複数設定可能
・ユーザー・グループごとに条件が設定できるため、相反する条件の設定も可能
■すべてのアクセスはデフォルトで拒否(デフォルトDeny)
・アクセス権限に"Allow"の条件があった場合、アクセス許可
・ただしアクセス権限に1つでも"Deny"の条件があった場合、アクセス拒否(明示的なDeny)
・デフォルトDeny < Allow < 明示的なDeny


グループでAllowしても、ユーザで明示的にDenyするとDenyってことか。
なるほどね。

早速S3の設定していたらつまづいたけど、参考サイトに解決に役立つ情報あったので、メモしておこっと。
hogehogeバケット以下の全オブジェクトへアクセス許可の場合、bucketそのものに対するアクセスと、bucket配下のオブジェクトに対するアクセス両方を指定する必要があるため、以下のように記述する必要があるとのこと。
{
"Statement": [
{
"Effect": "Allow",
"Action": "s3:*",
"Resource": [ "arn:aws:s3:::hogehoge", "arn:aws:s3:::hogehoge/*" ]
}
]
}



S3のAmazon Resource Name (ARN)の記述の仕方もまだちょっと抵抗あるな~
Amazon EC2 には Amazon Resource Name(ARN)はないんだね。

う~ん、難しい。要修行だー。

(参考サイト)
IAMポリシーでのarnの記法について(S3特定バケット内へのアクセスを許可する方法)
IAMのAccess Policy Languageをいじる(1)
2013-02-26 : AWS : コメント : 0 : トラックバック : 0
Pagetop

AWS Identity and Access Management (IAM)を使ってみる



AWS Identity and Access Management (IAM) / Will Merydith


これまで、自分の一人でAWSを使っていただけなので、あまり必要性がなかったが、今後、チームでAWSを使うことにするので、IAMについて勉強することに。

そもそもIAMって何て読むの?
オンラインセミナーでは、「アイアム」ってAWSの人が言っているのでアイアムで良さそう。

本家AWSサイトには、こんな説明が。
IAM を使用すると、AWS のユーザーとグループを作成および管理し、アクセス権を使用して AWS リソースへのアクセスを許可および拒否できます。
追加料金なしで利用できる AWS アカウントの機能です。

早速、予習してみる。
ほぼ週刊AWSマイスターシリーズのIAM編

簡単にいうと、会社用AWSアカウントで、社員IAMユーザを作れば、各々がクレジット登録してAWSアカウント作らなくての作業できて、会社の一括の請求になるってことね。
開発者グループ、営業グループとかで、EC2やS3のアクセス権限をそれぞれ設定できて、あまり知識の無いユーザが間違ってインスタンスターミナルさせちゃったみたいなことも防ぐことができる分けですね。


AWS IAM グループ、ユーザ設定方法


AWSマネジメントコンソール

IAM

Group

Create New Group

Group Nameを記入して、[Continue] (例)developers

Select Policy Templateでグループに与えるアクセス権限を決めます。(この辺りの決め方については、次回ブログで詳細まとめよっと)
例えばこんな感じのテンプレートが用意されています。テンプレートベースでカスタマイズも可能。
・Administrator Access
・Power User Access
・Read Only Access

ユーザ名記入し、[Continue]クリック

内容確認して、[Finish]クリック

[Download Credentials]をクリック

[Close Window]で完了


これで、アクセス権限を与えたグループ、ユーザが作成できました。
どうやって使うかというと、IAMユーザにパスワードを付与する必要があります。


IAMユーザにパスワードを付与する


AWSマネジメントコンソール

IAM

Users

パスワード付与するユーザにチェック

右クリックした[Manage Password]もしくは、下部のプロパティ表示の[Security Credentials]タブの[Manage Password]クリック

自動もしくはカスタムでパスワード作成


パスワードポリシーを変更する


IAMユーザに簡易なパスワードを作成されて、アカウントが乗っ取られると困ってしまうので、ちょっと複雑なパスワードにしてもらうためにポリシーを設定できます。

AWSマネジメントコンソール

IAM

Password Policy

デフォルトでは、6文字以上になっていますが、[Minimum Password Length]を8とかにすると8文字以上のパスワードが必須になります。
その他、大文字含むとかいろいろ設定できます。


IAMログインページエイリアス変更


Dashboardの[AWS Account Alias]に[IAM users sign-in link]があって、https://xxxxxx.signin.aws.amazon.com/consoleとあるけど、xxxxxxのエイリアス部分を変えることもできるます。
[Create Account Alias]で変更します。


IAMユーザのログイン方法


IAM users sign-in link:https://xxxxxx.signin.aws.amazon.com/consoleにアクセスしてもらう、IAMユーザネームとパスワードを入力すればマネジメントコンソールに入ることができます。

アクセス権限によってコンソール上での見え方や操作できることが変わってきます。


(参考サイト)
AWSでIAMアカウント作成
AWS Identity and Access Management(IAM)とは
2013-02-26 : AWS : コメント : 0 : トラックバック : 0
Pagetop

心を整える。 感想


心を整える。 勝利をたぐり寄せるための56の習慣

リブセンス本で村上さんがおすすめしていたので読んでみた。

アスリートは、メンタルも大事っていう単純な内容と思っていたら、少し違った。
長谷部選手がどのような習慣で試合に臨んでいるのか分かって面白い。

特にこのやり方が正解だから、みんなも真似てというのでなく、各人の方法を尊重して、心をコントロールできるようになることのメリットを実体験で説明してある。

サッカーは、試合時間が他スポーツよりも長い。
オリンピックの陸上、水泳、フィギアスケートなど、数分で終わる種目は、メンタルの影響が大きいとは思っていたけど、サッカーでも大事だというのが理解できた。

ビジネスでも応用できそうな習慣もあるので、参考にしたい。

いろんなスポーツ選手の心を整える方法が知りたくなった。
Naverまとめとかでないかな~
2013-02-12 : 小ネタ : コメント : 0 : トラックバック : 0
Pagetop

リブセンス 25歳の最年少上場社長 村上太一の人を幸せにする仕事 感想


リブセンス<生きる意味> 25歳の最年少上場社長 村上太一の人を幸せにする仕事

25歳の最年少上場社長 村上太一さんが起業から上場までの道のりのインタビューをまとめてあります。

自分の25歳時はというと。。。
新入社員で、1からプログラムミングやシステム関係の修行中だったかな(笑)
なんだ、この差。

それはおいといて、ものすごく謙虚そうでギラギラ感ないのにびっくりした。

起業時の苦労話とかも面白いけど、個人的に一番、気になった言葉はこちら。

(上場した際に)
でも、私の”妄想”の中では、すでに上場をしてしまっていたんです。

「想像するということをものすごく大事にしています。想像したことが現実になると思っているからです。」
自分でイメージを作り、イメージを自分の中に植え付ける。それが潜在意識の中から自分を動かすのだという。


最近、私も潜在意識系の自己啓発本読んでいたので、なるほどなと思いました。
いつまでも、若いつもりでいたけど、自分がそこまでもう若くないこと判明。
早く結果出さなきゃ。
2013-02-06 : 小ネタ : コメント : 0 : トラックバック : 0
Pagetop

このご時世に IE6 ブラウザチェックするツール


test navegadorestest navegadores / ceslava.com


デモ用のWebサイト作って、発注者にurl教えたら、「ちゃんと表示ができていませんよ」って言われた。
一応、IE、FireFox、Chrome、Safariでチェックしたはずなのになぜだろうと、念のためどのブラウザか聞いてみて、ショッキングな答えが。。。

IE6

がーん、もう2013年だぜー。
ちゃんと推奨ブラウザはIE8以降と書いてあるけどね。IE6対応の最低限の機能はつけるとするか。

でも、自分の環境でIE6の状況をどうチェックすれば良いのか。

ググってみると、なんか、IE6/7/8のブラウザチェックが出来るマイクロソフト純正のソフトを発見。
Expression Web SuperPreview

60日間のトライアル期間は無料で使えるとうれしい限り。
トライアル期間後は、他ブラウザの確認はできないけど、IE系はずっと確認できるとのこと。

早速インストールしてみた。

Expression Web SuperPreviewインストール


Expression Web SuperPreviewサイトにアクセスし[ダウンロード]クリック

SuperPreview_Trial_ja.exeがダウンロード

SuperPreview_Trial_ja.exeダブルクリック

あっという間に完了

Expression Web SuperPreviewの使い方


デフォルトでは、各ブラウザの違いが分かるように左右分割レイアウトになっています。
私は、単純にIE6だけの挙動を見たいだけなので、シングルレイアウトに。

ローカルブラウザの中から、Internet Explorer 6をクリック

上部の場所と書かれたところに、チェックしたいurlを入力し、送信ボタンクリック

この状態で各タグの情報を確認できます

送信ボタンの横の[ページ対話モード]をクリックすると、IE6で開いた時の挙動を確認できます。

なるほどね、こういう風に見えたのねっていうのが把握出来ました!


それにしても、このソフト結構便利だな。
ちょっと良い発見あったとポジティブシンキング。

さっ、修正するか。。。


(参考サイト)
IE6~IE9を同時に表示確認できるMicrosoft純正ソフト
IEのブラウザチェックが出来るマイクロソフト純正のソフト Expression Web SuperPreview IE6/7/8
2013-02-05 : ブログカスタマイズ : コメント : 0 : トラックバック : 0
Pagetop
ホーム  次のページ »

広告

読みたいと思っている書籍

Amazon Web Services クラウドネイティブ・アプリケーション開発技法 一番大切な知識と技術が身につく Amazon Web Services 定番業務システム12パターン 設計ガイド イラストで学ぶ 機械学習 最小二乗法による識別モデル学習を中心に (KS情報科学専門書) イラストで学ぶ ディープラーニング (KS情報科学専門書)

カウンタ

メールフォーム

名前:
メール:
件名:
本文:

GoogleTranslate

管理人のつぶやき

人気記事ランキング

カテゴリ

openclose

ブログ内検索

全記事表示リンク

全ての記事を表示する

ブログパーツ