Как не забывать каждый год обновлять свои собственные сертификаты, когда они импортируются в IAM:
https://aws.amazon.com/blogs/security/how-to-monitor-expirations-of-imported-certificates-in-aws-certificate-manager-acm/
#IAM
https://aws.amazon.com/blogs/security/how-to-monitor-expirations-of-imported-certificates-in-aws-certificate-manager-acm/
Although ACM provides managed renewals that automatically renew certificates in most cases, there are exceptions, such as imported certs, where an automatic renewal isn’t possible. This post provides you with two options for monitoring certificate expirations by using events and metrics that are published into Amazon CloudWatch by ACM. This data is used to produce notifications through Amazon Simple Notification Service (Amazon SNS) as well as to log and report the findings into AWS Security Hub.#IAM
Amazon
How to monitor expirations of imported certificates in AWS Certificate Manager (ACM) | Amazon Web Services
Certificates are vital to maintaining trust and providing encryption to internal or external facing infrastructure and applications. AWS Certificate Manager (ACM) provides certificate services to any workload that requires them. Although ACM provides managed…
Python-библиотека для переключения в нужную IAM роль:
https://github.com/benkehoe/aws-assume-role-lib
Удобно использовать, когда нужно сделать что-то в многих аккаунтах Organizations. Пример использования:
https://gist.github.com/benkehoe/52fdbe425fcfc2675cd0ec2bb996257d
#IAM #Python
https://github.com/benkehoe/aws-assume-role-lib
Удобно использовать, когда нужно сделать что-то в многих аккаунтах Organizations. Пример использования:
https://gist.github.com/benkehoe/52fdbe425fcfc2675cd0ec2bb996257d
#IAM #Python
Кто виноват и что делать?
Наверняка все знают эту картинку (внизу поста). Кто не знает, обязательно стоит изучить, т.к. это база для понимания как работает доступ на AWS.
Когда возникает проблема доступа и вы получаете отлуп access denied от IAM, то проблема может быть результатом запрета доступа на любой из стадий с картинки (куда ещё нужно мысленно добавить политики S3 buckets и VPC endpoints).
И нет способа однозначно понять, кто же заблочил доступ, нужно держать в голове все варианты, итерационно перебирать, от того, что прописано в IAM до того, что доступно лишь админу на уровне Organizations - запрета от SCP.
Но теперь выход есть, то есть будет очень скоро!
https://aws.amazon.com/blogs/security/aws-introduces-changes-to-access-denied-errors-for-easier-permissions-troubleshooting/
Мы, наконец, сможем получать конкретный отчёт — что же стало результатом IAM
🔹 SCP
🔹 Resource-based policies (S3 buckets, ECR, ES etc)
🔹 IAM permissions boundaries
🔹 Session policies
🔹 IAM policies
🔹 VPC endpoint policies
Очень круто, это огромное облегчение для дебага проблем доступа. Так долго ждал этого, как говорится, не прошло и десять лет! (а вот и нет - прошло 😄)
В общем, ждём сентября.
#IAM #SCP #debug
Наверняка все знают эту картинку (внизу поста). Кто не знает, обязательно стоит изучить, т.к. это база для понимания как работает доступ на AWS.
Когда возникает проблема доступа и вы получаете отлуп access denied от IAM, то проблема может быть результатом запрета доступа на любой из стадий с картинки (куда ещё нужно мысленно добавить политики S3 buckets и VPC endpoints).
И нет способа однозначно понять, кто же заблочил доступ, нужно держать в голове все варианты, итерационно перебирать, от того, что прописано в IAM до того, что доступно лишь админу на уровне Organizations - запрета от SCP.
Но теперь выход есть, то есть будет очень скоро!
https://aws.amazon.com/blogs/security/aws-introduces-changes-to-access-denied-errors-for-easier-permissions-troubleshooting/
Мы, наконец, сможем получать конкретный отчёт — что же стало результатом IAM
access denied, в первой версии это будут следующие варианты: 🔹 SCP
🔹 Resource-based policies (S3 buckets, ECR, ES etc)
🔹 IAM permissions boundaries
🔹 Session policies
🔹 IAM policies
🔹 VPC endpoint policies
Очень круто, это огромное облегчение для дебага проблем доступа. Так долго ждал этого, как говорится, не прошло и десять лет! (а вот и нет - прошло 😄)
В общем, ждём сентября.
#IAM #SCP #debug
Худшие практики AWS IAM — ReadOnlyAccess:
https://posts.specterops.io/aws-readonlyaccess-not-even-once-ffbceb9fc908
Нужно помнить, что ReadOnlyAccess IAM Managed policy имеет избыточные права доступа к некоторым сервисам (из которых наиболее критичный - IAM), с помощью которых запросто можно поломать ваше окружение.
Не стоит воспринимать ReadOnlyAccess как какую-то "защиту", правильней рассматривать установку такого доступа как быстрое/временное решение, выдавая лишь в целях какого-то аудита, а не постоянного использования.
#IAM #security
https://posts.specterops.io/aws-readonlyaccess-not-even-once-ffbceb9fc908
Нужно помнить, что ReadOnlyAccess IAM Managed policy имеет избыточные права доступа к некоторым сервисам (из которых наиболее критичный - IAM), с помощью которых запросто можно поломать ваше окружение.
Не стоит воспринимать ReadOnlyAccess как какую-то "защиту", правильней рассматривать установку такого доступа как быстрое/временное решение, выдавая лишь в целях какого-то аудита, а не постоянного использования.
#IAM #security
Medium
AWS ReadOnlyAccess: Not Even Once
A story of too much access and a false sense of security.
Открытая база данных IAM политик:
https://permissions.cloud/
#IAM #security
https://permissions.cloud/
The permissions.cloud website uses a variety of information gathered within the IAM Dataset and exposes that information in a clean, easy-to-read format. It was built in order to provide an alternate, community-driven source of truth for AWS identity.#IAM #security
AWS Authentication: Principals in AWS IAM
https://ben11kehoe.medium.com/principals-in-aws-iam-38c4a3dc322a
Лучшее, что читал по IAM аутентификции (да простит меня Карен), крайне рекомендую — ноль воды, чистые и современные (что важно) знания.
Сложно, но кратко и только по делу. Да и IAM — это, к сожалению, не про просто по определению. В закладки без вариантов.
#IAM
https://ben11kehoe.medium.com/principals-in-aws-iam-38c4a3dc322a
Лучшее, что читал по IAM аутентификции (да простит меня Карен), крайне рекомендую — ноль воды, чистые и современные (что важно) знания.
Сложно, но кратко и только по делу. Да и IAM — это, к сожалению, не про просто по определению. В закладки без вариантов.
#IAM
Medium
AWS Authentication: Principals in AWS IAM
This article explains the basics of AWS authentication: the way you gain an identity that you can use to access AWS services
IAM Permissions Boundary на защите Лямбда инфраструктуры:
https://www.iampulse.com/t/control-the-blast-radius-of-your-lambda-functions-with-an-iam-permissions-boundary
#IAM #Lambda #security
https://www.iampulse.com/t/control-the-blast-radius-of-your-lambda-functions-with-an-iam-permissions-boundary
▪️ Problem 1: IAM is hard and application developers aren’t IAM experts▪️ Problem 2: Traditional organisational policy may disallow IAM role creation by application teamsAn IAM permissions boundary allows us to get the best of both worlds:▫️ Application team retains ownership of granular permissions in per-function roles and can ship independently 👍▫️ Platform team can continue to enforce a maximum blast radius (equal to the EC2Application role) on the application, regardless of how developers specify their function policies 👍#IAM #Lambda #security
Где нужно прописывать временные IAM credentials (не в
https://ben11kehoe.medium.com/never-put-aws-temporary-credentials-in-env-vars-or-credentials-files-theres-a-better-way-25ec45b4d73e
Для работы с временными кредами нужно использовать переменную
Очень полезный документ от Ben Kehoe (как и другие) по внутренностям работы IAM:
🔹 Principals and credentials
🔹 Assuming a role and using the credentials
🔹 Configuring and using named profiles
🔹 Assumed role profiles
🔹 AWS SSO profiles
🔹 Federated sign-in (
🔹
🔹
Очень рекомендуется к прочтению для понимания IAM — это рафинированный опыт, практические знания, сложные, как и вся тема IAM, но при этом и самые важные.
Однозначно в закладки, причём те, что стоит постоянно держать перед глазами.
#IAM #security
~/.aws/credentials) и почему:https://ben11kehoe.medium.com/never-put-aws-temporary-credentials-in-env-vars-or-credentials-files-theres-a-better-way-25ec45b4d73e
Для работы с временными кредами нужно использовать переменную
credential_process. Для случаев, где не работает credential_process, можно использовать авторскую утилиту https://github.com/benkehoe/aws-export-credentials либо на её базе сделать свою.Очень полезный документ от Ben Kehoe (как и другие) по внутренностям работы IAM:
🔹 Principals and credentials
🔹 Assuming a role and using the credentials
🔹 Configuring and using named profiles
🔹 Assumed role profiles
🔹 AWS SSO profiles
🔹 Federated sign-in (
AssumeRoleWithSAML) 🔹
credential_process🔹
aws-export-credentialsОчень рекомендуется к прочтению для понимания IAM — это рафинированный опыт, практические знания, сложные, как и вся тема IAM, но при этом и самые важные.
Однозначно в закладки, причём те, что стоит постоянно держать перед глазами.
#IAM #security
Medium
Never put AWS temporary credentials in the credentials file (or env vars)—there’s a better way
Please, I’m begging you — learn about how the AWS CLI and SDK retrieve and refresh credentials. There are such good options!
This media is not supported in your browser
VIEW IN TELEGRAM
Leapp — утилита для переключения в мультиаккаунтной среде в один клик:
https://github.com/Noovolari/leapp
Утилита не новая, но в последней версии
Кроме AWS также работает с Azure.
#IAM #SSO #multi_account_strategy
https://github.com/Noovolari/leapp
Утилита не новая, но в последней версии
0.7.4 добавилась поддержка AWS SSO, выглядит привлекательно, а потому стоит ознакомиться и попробовать.Кроме AWS также работает с Azure.
#IAM #SSO #multi_account_strategy
👍1
Самая главная диаграмма по IAM обновлена:
https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html#policy-eval-denyallow
Были добавлены Session policies.
p.s. Важно отметить, что кажующаяся сложной диаграмма работы IAM в реальности не отражает настоящей сложности работы IAM. Для действительно полной картины поведения IAM обязательно требуется учитывать таблицу ниже её, где в подробностях перечисляются ситуации и поведение IAM, которые нельзя отразить на картинке.
#IAM
https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html#policy-eval-denyallow
Были добавлены Session policies.
p.s. Важно отметить, что кажующаяся сложной диаграмма работы IAM в реальности не отражает настоящей сложности работы IAM. Для действительно полной картины поведения IAM обязательно требуется учитывать таблицу ниже её, где в подробностях перечисляются ситуации и поведение IAM, которые нельзя отразить на картинке.
#IAM
Всесторонний документ, почему IAM – это боль:
https://www.effectiveiam.com/
Очень полезен и для того, чтобы разобраться в том, как работает IAM, и для того, чтобы глубже понять проблемы настройки политик, и для того, чтобы шире взглянуть на то, почему это так проблематично вообще (спойлер – всё сложно, в прямом смысле этого слова).
Описываются подходы и для настройки IAM политик в рамках одного аккаунта, и для выстраивания процессов в рамках Organizations.
#IAM #security #best_practices
https://www.effectiveiam.com/
Очень полезен и для того, чтобы разобраться в том, как работает IAM, и для того, чтобы глубже понять проблемы настройки политик, и для того, чтобы шире взглянуть на то, почему это так проблематично вообще (спойлер – всё сложно, в прямом смысле этого слова).
Описываются подходы и для настройки IAM политик в рамках одного аккаунта, и для выстраивания процессов в рамках Organizations.
#IAM #security #best_practices
Effective IAM for AWS
Effective IAM for AWS: A guide to realize IAM best practices
Learn how to secure AWS with usable IAM architecture, policies, and automation that scales security best practices efficiently to all developers.
Weekly Summary on AWS (
🔸 ACK (AWS Controllers for Kubernetes) + EKS, ECR, DynamoDB, S3, Autoscaling and API Gateway v2 + GA 👀
🔸 Amazon Linux 2022 + ECS-optimized AMI
🔸 Amplify Geo for Android + GA
🔸 Amplify Studio + GA 💪
🔸 Athena + 10 new data sources 🔥
🔸 Aurora Serverless v2 + GA 🎉
🔸 Batch + dynamically update configuration
🔸 CloudFormation + 35 new resources
🔸 Connect + API for phone numbers
🔸 DevOps Guru Proactive Insights for Serverless Applications
🔸 EC2 Auto Scaling + default instance warm-up time
🔸 EKS + OpenTelemetry Operator addon
🔸 Glue
➖ Auto Scaling + GA
➖ Interactive Sessions + GA
➖ Glue Studio Detect PII + GA
➖ Glue Studio Job Notebooks + GA
🔸 IoT TwinMaker + GA 👍
🔸 Kendra
➖ Box Connector
➖ Quip Connector
🔸 Keyspaces + Spark Cassandra connector
🔸 KMS + HMAC 👀
🔸 Macie + discovering more types of sensitive data
🔸 Migration Hub Orchestrator
🔸 Neptune
➖ Free trial 👈
➖ IAM global condition keys
➖ openCypher GA
🔸 Personalize + starting and stopping recommender
🔸 PrivateLink + Batch
🔸 QuickSight + 1-click public embedding
🔸 RDS + Multi-AZ for Outposts
🔸 Redshift Audit Logging + CloudWatch
🔸 SageMaker Serverless Inference + GA
🔸 Security Hub + cross-Region security scores and compliance statuses
🔸 Step Functions + 20 new AWS SDK integrations
🔸 Textract + Queries
🔹 Corretto 18.0.1, 17.0.3, 11.0.15, and 8u332
🔹 Launch Wizard
➖ IIS
➖ Microsoft Exchange Server
🔹 MQ + ActiveMQ 5.16.4
#AWS_week
April 17-23)🔸 ACK (AWS Controllers for Kubernetes) + EKS, ECR, DynamoDB, S3, Autoscaling and API Gateway v2 + GA 👀
🔸 Amazon Linux 2022 + ECS-optimized AMI
🔸 Amplify Geo for Android + GA
🔸 Amplify Studio + GA 💪
🔸 Athena + 10 new data sources 🔥
🔸 Aurora Serverless v2 + GA 🎉
🔸 Batch + dynamically update configuration
🔸 CloudFormation + 35 new resources
🔸 Connect + API for phone numbers
🔸 DevOps Guru Proactive Insights for Serverless Applications
🔸 EC2 Auto Scaling + default instance warm-up time
🔸 EKS + OpenTelemetry Operator addon
🔸 Glue
➖ Auto Scaling + GA
➖ Interactive Sessions + GA
➖ Glue Studio Detect PII + GA
➖ Glue Studio Job Notebooks + GA
🔸 IoT TwinMaker + GA 👍
🔸 Kendra
➖ Box Connector
➖ Quip Connector
🔸 Keyspaces + Spark Cassandra connector
🔸 KMS + HMAC 👀
🔸 Macie + discovering more types of sensitive data
🔸 Migration Hub Orchestrator
🔸 Neptune
➖ Free trial 👈
➖ IAM global condition keys
➖ openCypher GA
🔸 Personalize + starting and stopping recommender
🔸 PrivateLink + Batch
🔸 QuickSight + 1-click public embedding
🔸 RDS + Multi-AZ for Outposts
🔸 Redshift Audit Logging + CloudWatch
🔸 SageMaker Serverless Inference + GA
🔸 Security Hub + cross-Region security scores and compliance statuses
🔸 Step Functions + 20 new AWS SDK integrations
🔸 Textract + Queries
🔹 Corretto 18.0.1, 17.0.3, 11.0.15, and 8u332
🔹 Launch Wizard
➖ IIS
➖ Microsoft Exchange Server
🔹 MQ + ActiveMQ 5.16.4
#AWS_week
👍2
IAM Roles Anywhere: 🔥🔥🔥
https://aws.amazon.com/blogs/security/extend-aws-iam-roles-to-workloads-outside-of-aws-with-iam-roles-anywhere/
Huge update, don't miss it!
And this is not only for data centers, not only for accessing AWS services through a IAM role from Azure or Google. This means that you can now secure your computer via the TPM chip on the motherboard to the AWS IAM role. No credentials, impossible to steal, no need to log in. This is great!
#IAM
https://aws.amazon.com/blogs/security/extend-aws-iam-roles-to-workloads-outside-of-aws-with-iam-roles-anywhere/
Huge update, don't miss it!
And this is not only for data centers, not only for accessing AWS services through a IAM role from Azure or Google. This means that you can now secure your computer via the TPM chip on the motherboard to the AWS IAM role. No credentials, impossible to steal, no need to log in. This is great!
#IAM
Amazon
Extend AWS IAM roles to workloads outside of AWS with IAM Roles Anywhere | Amazon Web Services
AWS Identity and Access Management (IAM) has now made it easier for you to use IAM roles for your workloads that are running outside of AWS, with the release of IAM Roles Anywhere. This feature extends the capabilities of IAM roles to workloads outside of…
🔥6👍3
AWS SSO переименовали в AWS IAM Identity Center, теперь это часть IAM сервиса.
https://aws.amazon.com/iam/identity-center/
Демо-видео:
https://www.youtube.com/watch?v=4yJp5-jGGNk
AWS SSO стал реально крутым и обязательным для использования сервисом, реализующим правильный подход к безопасности и получивший достаточный набор функционала, ранее присутстсвующий лишь в платных решениях.
Теперь же его инкарнация в виде IAM Identity Center предполагает в том числе продвижение #multi_account_strategy, становясь главным инструментом для входа через user portal.
p.s. Передаю пламенный привет создателям и студентам курсов по AWS сертификации - кому-то переделывать, а кому-то переучивать. 😁
#SSO #IAM
https://aws.amazon.com/iam/identity-center/
IAM Identity Center helps you securely create, or connect, your workforce identities and manage their access centrally across AWS accounts and applications. IAM Identity Center is the recommended approach for workforce authentication and authorization in AWS, for organizations of any size and type. Демо-видео:
https://www.youtube.com/watch?v=4yJp5-jGGNk
AWS SSO стал реально крутым и обязательным для использования сервисом, реализующим правильный подход к безопасности и получивший достаточный набор функционала, ранее присутстсвующий лишь в платных решениях.
Теперь же его инкарнация в виде IAM Identity Center предполагает в том числе продвижение #multi_account_strategy, становясь главным инструментом для входа через user portal.
p.s. Передаю пламенный привет создателям и студентам курсов по AWS сертификации - кому-то переделывать, а кому-то переучивать. 😁
#SSO #IAM
🔥14👍2👎1