ブログ
S3 アカウントリージョナル名前空間でバケット名の衝突と乗っ取りを防ぐ
S3 汎用バケットのアカウントリージョナル名前空間を CLI で検証。リージョン別の prefix 文字数制限、IAM 条件キーによる組織強制、グローバル名前空間での名前保護の挙動を実測データで確認した。
← すべてのタグ
タグ: #iam
「iam」タグが付いたコンテンツ一覧
ブログ記事
ブログ
Aurora DSQL Rust コネクタで IAM 認証・OCC リトライを自動化する
Aurora DSQL の公式 Rust コネクタ(SQLx)を実際に動かし、接続コードの簡素化と OCC リトライの実用性を検証する。デフォルト max_attempts=3 では高並行で不足するケースも確認した。
ブログ
Aurora PostgreSQL が VPC 不要・数秒起動に — Express Configuration の実力を検証する
Aurora PostgreSQL の新機能 Express Configuration を検証。VPC 不要で約30秒起動、Internet Access Gateway 経由の TLS 1.3 接続、IAM 認証デフォルトの挙動を実測データとともに共有する。
ブログ
EKS Pod Identity のセッションポリシーで IAM ロールを増やさずに権限を動的に絞る
EKS Pod Identity の新機能セッションポリシーを検証。IAM ロールの権限をアソシエーション単位で動的に制限でき、ロール数の爆発を防げる。セッションタグとの排他制約やポリシーサイズ上限など、採用前に知るべきトレードオフも整理した。
TIL
TIL
ArgoCD の IAM エラーは手動 refresh しないとリカバリが遅い
IAM ポリシーを修正しても ArgoCD のバックオフにより自動リカバリに時間がかかる。argocd.argoproj.io/refresh=hard アノテーションで即座にリトライできる。
TIL
CodeCommit は存在しないリポジトリでも AccessDeniedException を返す
IAM ポリシーの Resource を特定リポジトリにスコープしている場合、存在しないリポジトリへのアクセスも「リポジトリが見つからない」ではなく AccessDeniedException になる。
TIL
ECS Managed Instances のデーモンには専用の IAM ポリシーが必要
ECS Managed Daemons が起動しない場合、インスタンスプロファイルに AmazonECSInstanceRolePolicyForManagedInstances をアタッチしているか確認する。従来の AmazonEC2ContainerServiceforEC2Role では動かない。
TIL
Security Agent の Application はリージョナルリソース(グローバルではない)
Security Agent の Application は1アカウント1つではなく1リージョン1つ。東京で作成した Application は us-east-1 からは見えず、リージョンごとに create-application が必要。
TIL
AWS Security Agent のサービスロールに CloudWatch Logs 権限が必須(ドキュメント未記載)
Security Agent のペネトレーションテストで PREFLIGHT が AccessDeniedException で即失敗する場合、サービスロールに logs:CreateLogGroup 権限が不足している。公式ドキュメントに記載がない。
TIL
DevOps Agent の IAM アクションプレフィックスは aidevops だった
AWS DevOps Agent の IAM アクションプレフィックスは devops-agent ではなく aidevops。boto3 のクライアント名は devops-agent だがポリシーでは aidevops:* を指定する。AWS CLI は v2.34.20 以降で対応。
TIL
ECS の NLB 用インフラロールポリシーの ARN に service-role/ プレフィックスはない
AmazonECSInfrastructureRolePolicyForLoadBalancers の ARN は service-role/ なし。他の ECS ポリシーと同じパターンで書くと AttachRolePolicy が失敗する。
TIL
EKS Pod Identity セッションポリシーの AccessDenied は原因が明示される
セッションポリシー起因の拒否は「no session policy allows」、IAM ロール起因は「no identity-based policy allows」とエラーメッセージで区別できる。IAM の権限トラブルシューティングが格段にやりやすい。
TIL
Bedrock Foundation Model の IAM ポリシーではアカウント ID を空にする
Foundation Model の ARN は arn:aws:bedrock:region::foundation-model/... のようにアカウント ID が空。サンプルの ACCOUNT_ID プレースホルダーをそのまま置換すると権限が効かない。
TIL
EKS のアクセスエントリとアクセスポリシーは別物で、両方必要
EKS Capabilities が自動作成するアクセスエントリにはデプロイ権限がない。associate-access-policy で別途ポリシーを関連付けないと ArgoCD の同期が失敗する。
約1分
TIL
Lambda Managed Instances のオペレーターロールには AWSLambdaManagedEC2ResourceOperator が必須
EC2 FullAccess や AdministratorAccess をアタッチしても InsufficientRolePermissions で失敗する。専用のマネージドポリシーが必要だった。
TIL
Lambda Durable Functions の IAM アクション名は CheckpointDurableExecution(単数形)
ドキュメントの一部に CheckpointDurableExecutions(複数形)と記載があるが、実際に必要なのは単数形。複数形だと権限エラーになる。